１．個人情報処理同意案内書および処理方針作成指針の公開

個人情報保護委員会（以下「個人情報委員」といいます。）が２０２２年３月３日付で「分かりやすい個人情報処理同意案内書（以下「案内書」といいます。）」と「個人情報処理方針作成指針（以下「作成指針」といいます。）」を公開しました。

個人情報処理同意および個人情報処理方針は、『個人情報保護法』における規制が一般の利用者と直接関連のある領域であり、個人情報保護規制における実務上の重要性が高い領域であるにもかかわらず、過剰に形式化されているため実質的な機能を果たすことができていないという指摘が多くなされていました。

これに対し、個人情報委員では、個人情報保護原則の実質的な具現およびこれを通じた情報主体の権利保障に重点を置き、上記案内書および作成指針の作成作業が進められ、その成果である案内書および作成指針の主な内容と示唆点について、下記のごとく整理しました。

２．主な内容

ア．「分かりやすい個人情報処理同意案内書」の主な内容

○ （同意慣行改善の必要性）情報主体の同意は、憲法上の個人情報自己決定権を実現し、情報主体が自らの個人情報処理を統制できる最も重要な手段となります。

• ※ 公共・民間の個人情報処理者の９４％以上が「情報主体の同意が個人情報収集の根拠」であると回答しています（２０２１年個人情報保護実態調査）。

• しかし、その間、個人情報処理者の過度な同意要求の慣行と同意の形式化により、持続的にその実効性に対する疑問を訴える声が上がっていました。

○ （同意時の遵守事項）これに対し個人情報委員は、既存の同意慣行の改善を通じた個人情報保護原則の実質的な具現を目的として、個人情報処理同意を受領する際の遵守事項を４つに分類し案内書に提示しました。

• （①必要最低限の個人情報処理） 一つ、個人情報処理者は、個人情報処理の必要性を予測して同意を包括的に事前に得るのではなく、必要な際に、必要最低限の個人情報処理についてのみ同意を得て処理しなければなりません。

• （②同意内容の明確な告知） 二つ、個人情報処理者は、個人情報処理の主体と処理の内容について明確に告知しなければなりません。
  - このとき、具体的な脈略を考慮し、同意の如何の判断に必要な内容を情報主体が明確に認知できるよう告知しなければなりません。
  - また、同意書における重要な内容*は、９point以上で他の内容に比べ２０％以上大きくするなど、わかりやすく表示しなければなりません。
  *財貨やサービスの弘報・販売勧誘等の目的で情報主体に連絡することができるという事実、センシティブな情報・固有識別情報の処理、保有・利用期間、提供を受ける者

• （③情報主体の能動的な意思確認） 三つ、個人情報処理者は、情報主体の能動的な意思を確認できるよう誰でも容易に理解できる言語で同意内容の案内をしなければならず、情報主体の同意意思は、積極的な動作や陳述を通じて明確に表示しなければなりません。
  ※オンラインを通じて個人情報処理同意書を作成する場合「同意する」のチェックボックスが基本値に設定されていないよう留意しなければなりません。

• （④情報主体の選択権保障）四つ、必要な最低限の範囲を超え、個人情報処理につき同意を拒否するという理由で財貨・サービスの提供拒否等の不利益を与えてはなりません。 
  ※仮に、必要最低限の範囲を超える個人情報処理に同意しなければ、オンライン上次の画面に進めないよう設定されている場合、情報主体がオンライン上で同意をしたとしても、これを情報主体の実質的な同意としてみるのは難しいです。

イ．「個人情報処理方針作成指針」の主な内容

○ （作成指針づくりの必要性））『個人情報保護法』は、個人情報処理の透明性を高めるため、個人情報処理者に対して個人情報処理の内訳を個人情報処理方針にて作成して公開するものとしています。

• しかし、個人情報処理方針が形式的に作成され、内容も複雑であるため、情報主体の大多数が個人情報処理方針を確認せずにいるため、情報主体の権利保障に限界があるという指摘も引き続き上がっていました。
  ※個人情報処理方針を確認する情報主体は３６．１％に過ぎないものと分かりました（２０２１年個人情報保護実態調査）。

○ （作成指針の改善） これに対し個人情報委員は、より一層の個人情報処理方針の実質化を図る方向で、作成指針を改善しました。

• （①重要事項の記載勧奨）一つ、個人情報保護法令に基づく個人情報処理方針の義務記載事項と勧奨記載事項とを区分する一方、個人情報保護法令上の義務記載事項ではないものの、重要な事項*を勧奨記載事項に盛り込みました。
  *個人情報の国外移転、満１４歳未満の児童の同意、緊急事態の際の個人情報処理等

• （②核心事項の記号公開） 二つ、個人情報処理方針の核心事項を情報主体が容易に分かるよう記号で構成された個人情報処理表示（ラベリング）を導入し、処理方針の冒頭に要約された形式で公開するものとしました。

• （③業種別の作成指針づくり） 三つ、一般的に適用可能な作成指針の他に、業種別*特性を反映した作成指針を提示し、多様な業種の個人情報処理者が参考にできるものとしました。
  *医療、学習塾等、旅行、公共機関

３．示唆点

個人情報委員は、２０２０年のデータ三法の改正を通じ、個人情報保護総括機構として新たに発足されて以来、積極的に個人情報保護規制の改編に動いており、今回の案内書および作成指針の公開もその延長線上にあります。特に、適法な根拠なく、情報主体から同意を得ていない個人情報の処理または個人情報処理方針の未樹立・未公開の場合には、行政制裁がなされる余地もあるということに留意する必要があります。

今回の案内書および作成指針の公開に先立ち、個人情報委員は、個人情報の処理における同意制度および個人情報処理方針に関連し、２０２１年９月国会に提出した『個人情報保護法』第２次改正案を通じて、情報主体との契約締結・履行の過程における同意の要件を緩和し、個人情報収集の要件を合理的なものとして改善しようと試みる反面（案第１５条第１項第４号）、個人情報処理方針については、作成指針の遵守の如何等の個人情報処理方針の適正性を評価し、その結果によって改善を勧告することができるという規定（案第３０条の２）を新設するなど、規制の実質化に向けた努力も続けています。

このように、現在の個人情報委員の規制改編の方向は、規制の強化ないし緩和のいずれかの方向であると定義付けができない状況であるため、個人情報保護関連の規制の動向を引き続き把握し、これへの対応力を備えておく必要があります。

さらに、今回の案内書および作成指針の公開は、個人情報処理における同意手続きおよび個人情報処理方針を検討する機会になり得るものと判断され、今回公開された作成指針は、今後『個人情報保護法』第２次改正案が国会を通過する場合、個人情報処理方針の適正性について判断する基準になり得るため、より一層の関心と注意が求められます。

About Shin & Kim’s ICT Group

法務法人(有)世宗は、個人情報分野における独歩的な専門性と人的ネットワーク（元行政安全部次官の金榮浩顧問、元科学技術情報通信部次官の崔在裕顧問等）を擁しており、企業らのための個人情報保護法とGDPRをはじめとする国内外の個人情報規制、個人情報漏洩事件への対応、個人情報保護コンプライアンス体系の樹立等の個人情報保護に関する専門的なアドバイスをご提供しております。特に、データ三法の改正および下位法令の制定、関連制度改善において、民間領域において主導的な役割を担っているところ、ICT産業の全般に対する規制動向の把握や官公庁向けの業務、立法コンサルティング、規制の影響力の分析と企業の戦略づくり等に対するリーガル・アドバイスをご提供しております。より専門的な内容やご質問等がございましたら、下記の連絡先までご連絡ください。より詳細な内容について対応させて頂きます。