個人情報保護委員会 子どもの個人情報保護の取組
法改正と教育コンテンツ
個人情報の有用性に配慮しながら、個人の権利や利益を守ることを目的に2005年4月に全面施行された「個人情報保護法(個人情報の保護に関する法律)」。デジタル技術の進展や経済、社会情勢の変化に対応するため3年ごとに施行状況を検討し、必要に応じて措置を講じることが定められている。前回の見直しに伴う法改正が施行されたのは、2022年4月1日。2025年の改正を視野に、個人情報保護委員会は、2024年6月に「個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理」という文書を発表。その中で、子どもの個人情報に関する規定を設ける可能性が高いことが注目を集めた。今回は、2025年の法改正や海外動向等について、個人情報保護委員会事務局 参事官補佐・弁護士の福本 尚記氏と藤田 侑也氏に、また、子ども向けから企業・自治体担当者向けまで幅広く提供する教育コンテンツ等について、課長補佐の越岡 紀之氏にお話を伺った。
子どもの個人情報等に係る規律の在り方
個人情報保護法改正へ向けた中間整理
現行法上、子どもの個人情報の取扱い等に係る明文の規定はありませんが、 2025年の法改正に向けて、どのような規定を設けることを検討されていますか。
大きく次の4つを検討しています。
1.法定代理人(保護者等)の関与を明示的に求める
現行の個人情報保護法上、個人データを第三者に提供する場合等については、原則として、本人の同意が必要とされています。また、個人情報保護法は、漏えい等が発生した場合等、一定の場合に本人への通知等を行うことを要求しています。しかしながら、「本人」が子どもである場合に、誰から同意を取得すべきか、そして、誰に対して通知等をすべきかは、法文上明記されていませんでした。今回、このような場面について、「本人」が子どもの場合には、その法定代理人(保護者等)から同意を取得しなければならないと規定する等、法定代理人の関与を明文化することを検討しています。
この議論の前提として、子どもの年齢基準が論点となりますが、EUのGDPR(一般データ保護規則)の規定等も踏まえ、16歳未満とすることが一つあり得るのではないかと考えています。
2.より柔軟に事後的な利用停止等請求を認める
本人は、一定の場合には、個人情報取扱事業者に、自分の個人データの利用の停止や削除等を要請することが可能です。これを利用停止等の請求と我々は呼んでいますが、現行の規定に基づいてこの請求権を実際に行使できる場面は、事業者による違法行為があった場合等に限られています。子どもの要保護性を踏まえ、子どもの個人データについては、利用停止等ができる範囲を広げることを検討しています。
3.事業者に子どもに対して自主的に特別な配慮をするよう努力義務を課す(責務規定)
責務規定とは、法律の目的や基本理念の実現のために、事業者等が果たすべき役割を明らかにするものです。子どもの保護や最善の利益を確保する観点から、子どもの個人情報等を取り扱うに際しては、特別な配慮を自主的に行うことを求める責務規定の新設を検討しています。
4.子どもの個人データの安全管理措置義務を強化する
当委員会は、2024年2月に大手学習塾に対し、講師が子どもの氏名や生年月日、住所、小学校名等をSNSに投稿して漏えいさせた事件について指導を行いましたが、その際には、事業者は多角的な観点からリスクを検討し、適切な安全管理措置を講じる必要があるとの意見を表明しています。子どもの安全を守るという観点から、子どもの個人データは、大人以上に取扱いに注意する必要があるという意見もあがっているところであり、安全管理措置義務についても見直しの対象として取り上げています。
寄せられたパブリックコメント
6 月 27 日~ 7 月 29 日まで、「個人情報保護法 いわゆる 3 年ごと見直しに係る検討の中間整理」に対するパブリックコメントを募集されていましたが、意見提出はどれくらいあったのですか。
2500件弱の意見が寄せられました。そのうち、子どもの個人情報に関するものは150件で、生成AIに関するもの(1500件弱)に次いで多く、注目されていることを再認識しました。
子どもの個人情報の取扱いについて、どのような意見が寄せられましたか。
子どもの個人情報に関する規律を新設することに賛同するご意見が、事業者と個人双方から多く寄せられました。これには、すでに諸外国では子どものデータプロテクションに関する法制度があることや技術の発展に伴う子どもの個人情報が取り扱われる場面の増加等も背景にあると考えます。
中間整理の内容よりもさらに厳しい規律を設けるべきとする立場からは、子どもの個人情報を要配慮個人情報として取り扱うべきという声や、プロファイリングやターゲティング広告の禁止を明文化するよう求める声、子どもの年齢基準を成年年齢との平仄を踏まえて18歳未満にすべきという声も多数挙がりました。
一方で、事業者からは、事業者の負担に配慮してほしいという声も目立ちました。
例えば、子どもの年齢基準について、16歳未満ではなく、米国のCOPPA(児童オンラインプライバシー保護法)にならい13歳未満にすべきというご意見もありました。また、子どもであるか否かの確認や、法定代理人の同意を得ているか否かの確認を厳格に求めないでほしいという声も多く見られました。
その他、ネグレクト等法定代理人が機能していない子どももいることや、法定代理人と子ども本人両方の同意の取得が必要ではないかという意見もありました。
海外の子どもの個人情報に関する特別な規律
米国では保護者同意の具体的な取得方法まで規定
EU、英国、米国だけでなく、中国や韓国、インドやインドネシア、ブラジルにも子どもの個人情報等に関する規律がありますが、個人情報保護委員会において調査された内容があれば教えてください。
外部の法律事務所に委託して調査をしていますが、多くの国で子どもの個人情報に関する何かしらの特別な規律が定められています。詳細は委員会のHP上で公表している資料をご覧いただければと思いますが、例えば、米国では、1998年にFTC(連邦取引委員会)の関与のもとで制定されたCOPPA(児童オンラインプライバシー保護法)が、子どもの年齢基準を13歳未満としたうえで、子どもから収集する情報の内容と利用について通知する義務や、子どもの個人情報を収集・利用・開示する際に検証可能な保護者同意を取得する義務等を定めています。
また、かかるCOPPAにおいては、保護者の同意の取得義務について、当該義務を満たすための具体的な方法が規定されている点も特徴です。
EUでは、2016年4月にGDPR(一般データ保護規則)が採択されていますが、子どもの年齢基準を16歳未満としたうえで(加盟国は、国内法で13歳未満まで年齢を引き下げることが可能)、子どもの個人情報の処理にかかる同意については保護者の同意が必要である旨規定されています。また、その他にも、子どもの権利利益に配慮した内容を定めています。
英国では、2020年9月にUK GDPR等に基づきChildren’s Code(年齢適正デザインコード)が策定されており、18歳未満の子どもがアクセスする可能性のある情報社会サービスに、15もの基準を満たすことを要求しています。その基準には、子どもの年齢に応じた適切なレベルの規律の適用、ジオロケーション・プロファイリングのデフォルトオフ等が含まれるほか、透明性については、子どもとその保護者の双方に、子どもの年齢も踏まえてわかりやすく情報提供することを求めています。
教育委員会や学校が意識すべきこと
HP上で研修動画や確認テストを提供
以前は学校が校務支援システム等のクラウドサービスを導入する際には、多くの自治体で個人情報保護審査会への諮問が必要でしたが、2021(令和3)年の個人情報保護法改正(令和5年4月全面施行)により、市町村ごとに個人情報保護法制が異なる、いわゆる「2000個問題」が解消しました。
法の運用の周知徹底に苦労している自治体も少なくないようですが、教育委員会等が現場の担当者に運用の周知を行うにあたって、何か参考にできるものはありますか。
個人情報保護委員会のホームページに、国の行政機関や地方公共団体等が内部向けに研修を行う際に活用できるパンフレットや資料、動画、個人情報の適正な取扱いに関する10問の確認テストも掲載しています。パンフレットは2023(令和5)年に都道府県だけでなく各市町村・広域連合・一部事務組合あわせて計3,000を超える機関に約100部ずつ送付もしました。周知徹底を図るためにお役立ていただければ幸いです。
学校の教育活動は個人情報をもとに行われます。近年は、きめ細かな対応、「個別最適な学び」の実現が求められるようになり、情報量が多いほど教育効果も大きくなると期待される中、いわゆる学力だけでなく、アンケート調査等で取得された認知特性、性格、興味・関心、忍耐力や自制心、社交性、好奇心、精神的な安定性、家庭環境等の情報がデジタルデータ化・共有され、留年・退学・不登校・成績の推移等さまざまな予測値も算出されています。
また、教員の授業力向上のため、子どもの表情・姿勢や脈拍、脳波によって集中度を測定したり、児童生徒の発言内容を録音・テキスト化しながら話し合いをさせる、声の調子から感情を判定する、ペンストローク等の操作ログから思考過程をたどるといった実証研究も珍しくなくなってきました。その学校に通っている以上、保護者も本人もなかなか拒否できない、同意しなくても技術的に1人分を取得しないのは難しいといった状況があるかと思いますが、要配慮個人情報の取得・利用であるとして問題となるのでしょうか。
集中度測定や子どもへのプロファイリングが問題ではないかと社会的反響があった事案は、我々も把握しており、大変難しい問題と受け止めています。
「要配慮個人情報」を取得する場合には原則として本人の同意が必要となりますが、「要配慮個人情報」は、本人の人種、信条、社会的身分、病歴、犯罪の経歴等、個人情報保護法及びその政令・規則において明示されたものに限定されており、例えば、宗教の本の購入履歴等、要配慮個人情報を推知させるに留まる情報は含まれません。以上を前提にすると、個別の事案次第ではありますが、挙げていただいた事例が要配慮個人情報の取得に当然に当たるわけではないように思います。要配慮個人情報規制とはまた別の切り口で捉えるべき問題なのかもしれません。
その一方で、このような事例に反対するご意見が挙がっていることも認識しておりますし、子どもの最善の利益という観点から社会全体でgood practiceを模索していく必要があると考えています。
学校現場での生成AI活用も進んでいますが、何か働きかけをしましたか。
昨年6月に「生成 AI サービスの利用に関する注意喚起等」を公表しています。例えば、個人情報取扱事業者との関係では、「あらかじめ本人の同意を得ることなく生成 AI サービスに個人データを含むプロンプトを入力し、当該個人データが当該プロンプトに対する応答結果の出力以外の目的で取り扱われる場合、当該個人情報取扱事業者は個人情報保護法の規定に違反することとなる可能性がある。そのため、このようなプロンプトの入力を行う場合には、当該生成 AI サービスを提供する事業者が、当該個人データを機械学習に利用しないこと等を十分に確認すること」等と注意喚起しました。
個人情報の範囲、取得・利用の同意書を作成したり、同意する際に特に意識すべき基準について教えてください。
大前提として、個人情報保護法は全ての個人情報の取得や利用について本人の同意を求めているわけではありません。個人データの第三者提供、利用目的の変更、要配慮個人情報の取得時等に限って本人の同意が必要となります。
そのうえで、同意の取り方についても画一的な基準を設けてはいませんが、個人情報の保護に関する法律についてのガイドライン(通則編) 2-16「本人の同意」には下記のように記載されています。
”「本人の同意を得(る)」とは、本人の承諾する旨の意思表示を当該個人情報取扱事業者が認識することをいい、事業の性質及び個人情報の取扱状況に応じ、本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な方法によらなければならない。”
「合理的かつ適切な方法」かどうかがポイントであり、ガイドラインでは、該当例として「本人による同意する旨の確認欄へのチェック」等が挙げられています。
なお、最初に述べたとおり、個人情報保護法は、あらゆる場面において本人同意を求めているわけではありませんし、GDPRのように個人データの処理全般に法的根拠を求めているわけでもありません。そうはいっても、明文上同意が必要とされていない限りはあらゆる利用を行ってよいというわけではなく、不適正な個人情報の利用は禁止されていますので、事業者の方にはご注意いただきたく存じます。
また、「子ども」の対象年齢は16歳未満とすることを検討されているとのことですが、16歳以上の生徒・学生は本人同意が基本ということでしょうか。同意者が本人の場合と保護者の場合で違いはありますか。
子どもの年齢基準を16歳未満と定めるのであれば、本人同意に関しては16歳以上の方は未成年者であったとしても、自ら同意を行うことになります。
「同意者が本人の場合と、保護者の場合での違い」については、3年ごと見直しの結果も踏まえて議論・検討していく必要がありますが、現行のガイドラインにおいて既に「合理的かつ適切な方法」とありますので、この記載も踏まえて考えていくことになるかと思います。
個人情報について考える機会を
個人情報の大切さを伝える出前授業
13歳からGoogleやYouTube、各種SNSのアカウントを作ることができるような状況を踏まえると、小学生のうちに自分や友達の個人情報の価値を学ぶ必要があると考えられますが、個人情報の取扱いについて、主な読者である学校の先生や教育委員会、保護者へメッセージをお願いいたします。
個人情報は国民の皆さま1人1人が日々の生活を送る中で身近に接するものです。SNSやオンラインゲームが広く普及している近年では、小学生の頃から個人情報に関するリテラシーを高めることが非常に重要といえます。
個人情報保護委員会としては、それらの対策の1つとして「出前授業」を行っております。これは個人情報保護委員会の職員が各学校に訪問し、個人情報が大切な理由やその取扱いの注意点について、事例を交えながらわかりやすく説明を行うというものです。これまで50回以上実施してきました。
子ども向けの資料や動画を用いながら、SNSやアプリといった身近なツールを例に挙げ、子どもが巻き込まれる可能性のある具体的なリスクを盛り込むことで、個人情報を守る大切さを自分のこととして考えてもらえるよう工夫しています。学校の先生方からは非常に参考になったというご意見をいただいています。
出前授業は何年生が対象ですか。
現在のところ、主に小学校4~6年生を対象としていますが、小学校1~3年生、中学校や高校への対応も可能です。個人情報保護委員会のホームページではキッズページを設けており、そこで出前授業を紹介しているほか、子ども向けの個人情報リテラシー向上のためのハンドブックや動画も掲載しています。
出前授業や、子ども向けの資料の発送の申込みは常に承っておりますので、ぜひお気軽にご連絡いただければと思います。我々としては、こうした取組が、子どもだけでなく、保護者や教職員の方々にとっても個人情報の大切さやその取扱いの注意点等個人情報について考える機会につながればと願っております。
記者の目
GIGAスクール構想により、児童生徒1人1人に対して端末が整備されたうえ、幼少期からスマートフォンに触れることが珍しくなくなったこの時代。SNSやオンラインゲームの浸透も相まって、個人情報トラブルに子どもが巻き込まれるというニュースは後を絶たない。このような時勢だからこそ、「まだ子どもだから」ではなく、子どものときこそ個人情報への正しい知識を得ることが非常に重要といえるだろう。
個人情報保護委員会が公開する教育コンテンツ
取材・文・写真:学びの場.com編集部
※当記事のすべてのコンテンツ(文・画像等)の無断使用を禁じます。
ご意見・ご要望、お待ちしています!
この記事に対する皆様のご意見、ご要望をお寄せください。今後の記事制作の参考にさせていただきます。(なお個別・個人的なご質問・ご相談等に関してはお受けいたしかねます。)