インタビューレポート

本日はお時間ありがとうございます。「個人情報の使い方にルールを追加し、悪質な違反には課徴金を科せるようにする法案」について、感じていることや懸念点を伺います。 この法案に、あなたはどういう立場で関わっていますか。

専門的なお立場から関わっていらっしゃるのですね。 今回の個人情報保護法の改正について、現時点でどの程度ご存知ですか。

ありがとうございます。では全体感のところから伺います。 今回の法改正について、全体としてどのように評価していますか。

「どちらかといえば良い」と感じていらっしゃるのですね。 そう評価するうえで、特に効いているポイントはどのあたりですか。

グローバルな個人情報の取り扱いとの整合を意識した点が、評価に効いているのですね。 その「グローバルな取り扱いに配慮している」と感じたのは、この法案の中だと具体的にどの領域（例：AI開発目的でのデータ利活用、こども情報、顔データ、課徴金など）に表れていると思いますか。

こども情報と課徴金のあたりに、グローバルな取り扱いへの配慮が表れていると感じていらっしゃるのですね。 まず「こども情報」について伺います。今回の“16歳未満は保護者同意が必要”“理由を問わず利用停止を求められる”という仕組みは、実務の感覚としてどの程度しっくり来ますか。

こどもの情報は社会全体として保護すべきで、当然だという感覚なのですね。 その「保護すべき」という考えに照らして、今回の“16歳未満”という線引きは、実務・運用面でも納得感がありますか。

なるほど、BtoBで直接の影響が小さく、現時点では運用評価が難しいのですね。 そうすると一般論として伺いたいのですが、こうした「こども情報の保護者同意」を制度として運用するうえで、実務的に一番ボトルネックになりやすいのはどこだと見立てていますか。

保護者同意の「取り方」が一番のボトルネックになりやすい、という見立てなのですね。 その同意取得方法について、実務で現実的だと感じるのは「どんな同意の取り方」（例：書面、オンライン本人確認＋同意、事後確認など）ですか。

マイナンバーカードを使ったオンライン同意が現実的、ということですね。 その方式を前提にした場合、制度として最低限「ここは法令やガイドラインで明確にしてほしい」と思う要件は、どのあたりですか。

同意取得UIの仕様とセキュリティ要件を明確化してほしい、ということですね。 その「同意取得インターフェースの仕様」について、制度側でどこまで具体に規定されるのが望ましいと感じますか。

具体例としてPCIDSS程度の水準感をイメージされているのですね。 その水準で規定する場合、準拠を確認する手段はどの形（例：第三者認証、自己点検＋監査ログの保持、行政への届出など）が現実的だと思いますか。

行政への届出を基本にして、サンプリングで監査する形が現実的、ということですね。 その「行政への届出」では、どんな情報項目まで提出させるのが適切だと思いますか。

自己評価結果を提出させるのが適切、ということですね。 その自己評価結果は、どの粒度（例：チェックリストでの○×、証跡の提出、リスク評価の文章化など）だと実効性が出ると思いますか。

エビデンス提出まで求める粒度が実効性につながる、というお考えですね。 その場合、エビデンスとして「これは最低限必須」と思う種類はどれですか。

ログや設定画面が最低限必要、ただ改ざん可能性があるので後日のサンプリング監査が重要、ということですね。 その「改ざん可能性」を下げるために、ログについて制度側で求めるとよい仕組みとしては、どんなものが現実的だと思いますか。

暗号化やアクセス制限など、ログ保護を多層で求めるのが現実的というお考えですね。 その多層対策の中でも、制度として「必須要件」に入れる優先度が高いのはどれだと思いますか。

暗号化を必須に置きたい一方で、監査側だけが復号できる形は現実的でない、という感覚なのですね。 暗号化を必須要件にする場合、どの暗号化（例：保存時暗号化、通信の暗号化、鍵管理の分離など）を制度としてまず求めるのが適切だと思いますか。

AESでの暗号化をまず求めるのが適切、ということですね。 その前提で伺いますが、AESを必須にする場合、制度側で「鍵管理」まで要件化する必要はどの程度あると思いますか。

承知しました。では現時点の感覚で構いません。 鍵管理を要件化するとしたら、「ここだけは最低限押さえたい」と思うポイントはどのあたりになりそうですか。

改ざん対策を鍵管理の最低ラインとして押さえたい、ということですね。 その「改ざん対策」として、鍵管理まわりで制度側が求めるとよい具体策は、どんなものを想定していますか。

承知しました。ここはまだ検討途上なのですね。 では視点を変えて、課徴金について伺います。今回の「悪質な違反に課徴金を科せる」仕組みについて、実務の抑止力としてはどう見ていますか。

課徴金の抑止力は「あまりない」という見立てなのですね。 そう感じられるのは、制度設計のどの部分が効いていると思いますか。

インパクトが弱い、ということですね。 今回の課徴金は「違反で得た利益に相当する額」をベースにしていますが、この設計だとインパクトが出にくいと感じるのは、どういう類型の違反を想定しているときですか。

名簿転売のように「得られる利益」が小さいケースだと、課徴金が数万円程度になり得て、年間コストをかけた安全管理措置のインセンティブになりにくい、ということですね。 その場合、抑止力を上げるために課徴金の算定をどう設計するのが現実的だと思いますか。

GDPRのような枠組みが念頭にあるのですね。 今回の法案の課徴金を、GDPRに近づけるとしたら、どの要素（例：売上連動、定額の下限、違反類型ごとの加重など）を入れるのが適切だと思いますか。

下限を設けつつ売上連動にするのが適切、というお考えですね。 その「下限」について、制度設計としてはどのくらいの水準感が現実的だと思いますか。

企業規模によって下限の水準感は変わる、ということですね。 その場合、企業規模を区分する基準は「何」を使うのが適切だと思いますか。

会社法の区分を使うのが適切、というお考えですね。 その会社法ベースの区分に合わせるとして、課徴金の「下限」は各区分でどんな考え方（定額にする／売上の一定割合にする等）がしっくり来ますか。

売上の一定割合がしっくり来る、ということですね。 その「一定割合」は、どのくらいのレンジ感を想定していますか。

全世界売上の4%という水準感なのですね。 その水準を適用する対象は、どういった違反類型（例：名簿の不正転売、同意なしの第三者提供、顔データの不適切な取り扱い等）にまで広げるのが適切だと思いますか。

不正行為全般に適用するのが適切、ということですね。 ここでいう「不正」の範囲は、制度設計としてどこまでを含めるイメージですか。

確認させてください。いまの「不適切でない行為」は、課徴金の対象に“含めない”という意味でしょうか、それとも“含める”という意味でしょうか。

なるほど、「不正（悪質）」は4%くらい、不適切（悪質までは言いにくいが問題がある）なら2%くらい、という階層設計のイメージなのですね。 その場合、制度上「不正（4%）」と「不適切（2%）」を分ける基準は、どんな要素で線引きするのが実務的だと思いますか。

「不正」と「不適切」の線引きは、個別事情を丁寧に拾える仕組み（傾聴の場）を設けるべき、というお考えなのですね。 その“傾聴”は、どの段階で行うのが適切だと思いますか。

「不正」と「不適切」を見極める局面で傾聴する、ということですね。 その傾聴は、どの主体が担う形（例：個人情報保護委員会、第三者委員会、裁判所など）が適切だと思いますか。

裁判所が担うのが適切、というお考えなのですね。 裁判所が関与する形にするとして、課徴金を科すまでのプロセスは「どの段階」で裁判所判断を入れるのが良いと思いますか。

ご指摘ありがとうございます。補足すると、日本の行政罰としての「課徴金」は、まず行政機関（この分野だと個人情報保護委員会）が命令を出し、事業者が不服なら裁判で争う、という建て付けが一般的です（裁判所が最初から命令を出す形に限られません）。 この前提を踏まえて伺いますが、課徴金のプロセスの中で「ここは裁判所の事前関与を入れたい」と感じる段階はどこですか。

課徴金の「構造設計」の段階で裁判所の事前関与を入れたい、ということですね。 その場合、裁判所に事前関与してもらう対象は、どの種類の判断（例：不正/不適切の区分、課徴金率の決定、証拠の評価など）のうち、どれが一番しっくり来ますか。

全てについて裁判所の事前関与があるのが望ましい、ということですね。 その前提で伺いますが、裁判所を常に関与させる設計にすると、実務面でいちばん懸念される点はどこだと思いますか。

裁判所の常時関与だと、三権分立のバランスが崩れる懸念がある、ということですね。 その「三権分立が崩れる」と感じるのは、具体的にはどういう構図（行政の執行と司法の役割分担など）を想定されていますか。

行政と司法の役割分担が曖昧になって、牽制が効かなくなる懸念、ということですね。 その懸念がある中でも、課徴金制度の実効性を上げるために「最低限ここだけは司法が関与した方がよい」と思うポイントはどこですか。

エビデンス評価は、裁判所にこれまでの判断の積み重ね（ナレッジ）に基づいて見てほしい、ということですね。 その場合、裁判所に評価してほしい「エビデンス」は、どの種類のものを想定していますか。

「実際の際に得たエビデンス」というのは、具体的にはどういう場面で収集された証拠を指していますか。

サンプリング監査で得られたエビデンス、ということですね。 そのサンプリング監査の設計として、どのくらいの頻度で実施するのが現実的だと思いますか。

提出物と外部の情報を突き合わせて、違和感があるところをAIで検知して監査につなげる、という発想なのですね。 そのAIによる「違和感検知」では、どんな情報を突き合わせるのが現実的だと思いますか。

IRやSNS、提出物を突き合わせるのが現実的、ということですね。 その突き合わせで「これは違和感シグナルとして強い」と感じるのは、どんなパターンですか。

承知しました。まだ具体のパターンはこれから、ということですね。 ではこの方向性で伺いますが、IRやSNSも使って監査対象を絞る仕組みを入れることについて、プライバシーや表現の自由との関係での懸念はどの程度ありますか。

承知しました、懸念は特にないのですね。 その前提で、IRやSNSの情報を使った“監査対象の絞り込み（リスクベース監査）”を制度として入れる場合、どんなガードレールがあると適切だと思いますか。

ありがとうございます。 ここまでで、こども情報については「保護者同意の取得方法」を制度として明確化すべきで、マイナンバーカード等のオンライン同意、PCIDSS級の要件、届出＋サンプリング監査、ログや設定画面などのエビデンス提出、ログ保護の暗号化（AES）といった方向性が重要、というお話でした。 また課徴金は、名簿転売のように利益が小さいケースでは現行案だとインパクトが弱く、下限＋売上連動（不正4%／不適切2%のような階層）に寄せる発想や、エビデンス評価は裁判所のナレッジで見てほしい、監査はAIでリスク検知して効率化できる、という整理でした。 時間の都合もあるので、次に進めます。 今回の法改正で、あなたが特に気になっている点はどれですか。

承知しました。では最後に伺います。 この法案について、制度を設計する人に伝えたいことがあるとしたら、どんな内容になりますか。

ありがとうございます。個人情報は守る前提に立ちつつ、国として強くなるために安心して利活用できる仕組みにしてほしいこと、そしてそれが国民にきちんと伝わる設計・発信が重要、ということですね。 ここまででインタビューの主要な論点は伺えたと思いますので、これまでの内容をまとめ、レポートを作成します。

本日はお時間をいただきありがとうございました。ここまでの内容をレポート案として要約しました。事実関係やニュアンスに誤りがないか、ご確認ください。