インタビューレポート

こんにちは。本日は「個人情報の使い方にルールを追加し、悪質な違反には課徴金を科せるようにする法案」について、ご意見をうかがうインタビューです。 まず、この法案にどういう立場で関わっていますか。

ありがとうございます。一般の立場で個人データの使われ方が気になる、ということですね。 今回の個人情報保護法の改正について、現時点でどの程度ご存知ですか。

ありがとうございます。 今回の法改正について、全体としてどのように評価していますか。

率直にありがとうございます。「どちらかといえば良くない」と感じられているのですね。 その評価にいちばん影響している論点は、どのあたりですか。

その点がいちばん引っかかっているのですね。統計やAI開発目的で、本人同意なしに第三者提供ができるようになるのは不安、ということだと受け取りました。 その仕組みについて、どんな場面を想像すると特に「よくない」と感じますか。

ありがとうございます。では確認させてください。 その「特に『よくない』と感じる場面」は、どんなサービスや状況を思い浮かべていますか。

具体的に挙げていただきありがとうございます。①流通が広がること、②統計目的の実効性がブラックボックスになりやすいこと、③想定外の保有先が増えて漏えいリスクが上がること、という懸念なのですね。 いま挙げていただいた中で、特に現実に起きそうだと感じるのはどれですか。

全部が現実に起きそう、という感覚なんですね。 では、その中でも「いちばん怖い結果につながりそう」と感じるのは、①②③のどれですか。

無理に絞らなくて大丈夫です。①（同意なく流通が広がる）と③（想定外の保有先が増えて漏えい等のリスクが上がる）が特に重い、ということですね。 ①について伺います。「さまざまな企業等に流通していく」と聞いたときに、いちばん気になるのは“どこまで広がるか”の部分でしょうか、それとも“自分が把握できない”という部分でしょうか。

把握できないこと自体が強い不安につながっているのですね。 この法案の「統計・AI開発目的なら同意なしで第三者提供ができる」仕組みについて、あなたとしては「どんな情報が、どこに提供されているか」を知れる仕組みがあれば、不安はどの程度やわらぎそうですか。

なるほど、同意（オプトイン）は不要にするとしても、少なくとも「提供前の通知」と「拒否できる権利（オプトアウト）」は必須、というご要望なんですね。 その「提供前に必ず本人に通知」について、どんな通知の形だと現実的に確認できそうですか。

メール通知がいちばん確実、ということですね。 そのメールには、どんな情報が書かれていれば「自分で判断して拒否する／しない」を決められそうですか。

具体的にありがとうございます。通知メールに「提供する個人情報の項目」「提供先の名称」「提供先の安全管理措置」「統計利用の具体内容」まで書かれていることが判断材料になる、ということですね。 もし制度設計として、いま挙げていただいた情報のうち一部は“詳細はWebで確認”という形になった場合でも、メール本文に最低限これは必ず書いてほしい、というものはどれですか。

ありがとうございます。 メール本文には最低限「提供先の名称」と「統計利用の具体的な内容」がないと判断できない、ということですね。 次に③の懸念（まさか保有していると思わない企業で漏えい等が起きるリスク）について伺います。どんな種類の個人情報が広く流通してしまうのが、特に危ないと感じますか。

挙げていただいた情報、かなり広い範囲で「流通してほしくない・漏えいが怖い」と感じていらっしゃるのですね。 その中でも、いったん外に出てしまった場合に「取り返しがつかない」と感じるのは、どの種類の情報ですか。

たしかに、そのあたりは一度広く出回ると回収が難しく、詐欺やなりすましにも直結しやすい情報ですね。 その「金融機関にある情報」について、具体的にはどんな情報を想定していますか。

具体化ありがとうございます。口座情報や残高、証券口座の保有資産状況まで含めて想定されているのですね。また、細部が個人情報保護委員会規則に委ねられている点も不安、ということもよく伝わりました。 制度設計として、個人情報保護委員会が後から定めるルールの中で「これは法案（法律）本文に書いて確実に担保してほしい」と思うのは、どの部分ですか。

ありがとうございます。①漏えい等の防止策、②事前通知と拒否権、③同意なしで許される「統計利用」の範囲制限と、不適切なプロファイリング等の禁止——この3点は省令や規則ではなく、法律本文で担保してほしいということですね。 この3点のうち、法律に書き込むとしたら最優先で入れてほしいのはどれですか。

承知しました。どれもセットでないと不安が残る、という感覚なのですね。 では少し聞き方を変えます。もし法律に書き込めるのが「権利（本人側が使える手続）」か「事業者側の義務（守るべきルール）」のどちらか一方だけだとしたら、どちらを優先してほしいですか。

事業者側の義務を優先、ということですね。たしかに権利があっても、現実には行使の手間が壁になることは大きいと思います。 事業者側の義務として、具体的にどんな義務が法律で課されると「本人が動けなくても最低限守られる」と感じますか。

ありがとうございます。本人側が忙しくて権利行使しにくい現実を踏まえると、事業者に「提供前の事前通知」と「拒否できる旨の明示」を義務として課してほしい、ということですね。 その「拒否」は、実際の運用としてはどんな形でできるのが一番使いやすいですか。

ありがとうございます。メールからWebページに遷移して、その場で拒否できる形がいちばん使いやすいのですね。 その「拒否のWebページ」は、どんな操作になっていると迷わず拒否できそうですか。

具体的なイメージまでありがとうございます。 「◻︎（提供先）への提供を拒否する」のように、提供先ごとにチェックを入れられるUIだと迷わず使える、ということですね。 この仕組みで、拒否のチェックを入れた場合は「その後ずっと提供しない（継続的に停止）」のがよいですか、それとも「今回の提供だけ止める（都度停止）」のがよいですか。

なるほど、理想は「今回だけ」か「今後ずっと」かを選べること、現実的な負担を考えると「今後ずっと提供しない」だけでも良い、というお考えですね。 この法案について、制度を設計する人に伝えるとしたら、どんな要望としてまとめて伝えたいですか。

ありがとうございます。ご本人が想定できない提供先へ、同意なしに個人情報が流通していくこと自体を止めてほしい、という強いご要望なのですね。 ここまでのお話を踏まえて伺います。今回の法改正で、あなたが特に気になっている点はどれですか。

ありがとうございます。やはり「一定の条件のもとに、同意なく個人データが使われるようになること」が一番気になっている点なのですね。 その点が気になるのは、どのような背景やきっかけがあってのことですか。

おっしゃる通りで、ここまでで懸念の背景は十分伝わっています。ありがとうございます。 このあとは、これまで伺った内容をまとめてレポートにしてよいですか。

ここまで丁寧にお話しいただき、ありがとうございます。伺った内容をもとにレポート案をまとめました。内容に誤解や抜けがないか、ご確認ください。