LANGUAGE

×

総合的な専門知識及び業務能力

『個人情報保護法』に関する若干の重点問題の解説

翰凌法律事務所 翰凌法律事務所 翰凌法律事務所
翰凌法律事務所 翰凌法律事務所 2021-11-08
翰凌法律事務所 翰凌法律事務所 237

    2021年8月20日、待望の『個人情報保護法』が可決され、2021年11月1日より施行され、わが国にもついに個人情報の保護を規制する体系的かつ基本的な法律ができた。これまでは、個人情報の保護に関する規定が数多くの法律法規の中に散在していた。『民法典』といった根本的な大法がある一方で、『ネットワーク安全法』、『消費者権益保護法』といった法律もあって、同時に大量の部門規則、国家標準、行政規範や技術規範等の文書も存在していた。それぞれの法律が、それぞれの角度から個人情報の保護に関する問題について規制し、解明しているため、その中で矛盾点が生じることは避けられない。これは、デジタル経済という環境下において、個人情報の保護という課題が極めて最前線の課題であったことから、先ずは実践の中で経験を蓄積して、コンセンサスを形成した後で、改めて統一的な規則を制定する必要があったためである。そして、『個人情報保護法』の成立は、個人情報の保護が完全に新しい段階に入ったことを示すものである。

     昨年の10月と4月に、『個人情報保護法』の第一次草案と第二次草案がそれぞれ公表され、多くの有識者が各自の立場と視点から、法案について深く踏み込んだ解釈を行ってきた。よって本稿の目的は、『個人情報保護法』の条文について細かな紹介を行うことではなく、『個人情報保護法』の中で比較的重要であると筆者が考える問題について解説を行うことで、この法律の基本的な課題と基本的な思考回路について、読者各位が予備的な理解を得るための手助けを提供することを期するものである。

 

一 『個人情報保護法』がつり合いをとる最も基本的な利益関係:個人データの利用と個人データの保護

    『個人情報保護法』には「保護」という名がついているものの、実際には「保護」がこの法律の唯一の価値基準というわけではない。実のところ、単一の情報の価値は限定的であるが、もし情報に対して大規模な収集と分析をできるとすれば、それが巨大な価値を生む可能性があることを我々は知っている。ネットワークとコンピュータ技術の急速な発展に伴い、数万に上る、ひいては数億にも上る規模の個人情報の収集が、技術の面からも、そしてコストの面からも完全に実現可能となった。しかも、コンピュータ・アルゴリズムが絶えず進歩するにつれて、情報に対するマイニング、処理、分析の能力は過去に比類のないレベルとなっている。この点については、我々の誰もが身をもって感じているはずだ。加工処理を経た情報は、ユーザ・ポートレートに用いることができるほか、精確なマーケティングを行ったり、パーソナライズされたサービスを提供したりといった商業活動にも用いることができる。さらには、各種の社会管理や公共事務にも使用でき、その価値は無限である。まさしく個人情報が巨大な価値を秘めているからこそ、個人情報をめぐって違法行為が発生するのである。技術的な手段によりネットワークシステムに侵入して個人情報を窃取したり、或いは個人情報の管理者が法律やクライアントとの約定に違反して、個人情報を無断で転売したりすることも珍しくない。個人情報の分野は、「野蛮な成長」の状態にあったともいえる。

     そのため、個人情報の流通・利用を保障することと、個人情報を保護することの間には、緊張関係が生じていた。流通と利用を過度に強調すれば、個人情報の主体の合法的な権益を侵害する可能性があり、一方で個人情報の保護を過度に強調すれば、個人情報が生む可能性のある積極的な効果に影響を及ぼすかもしれず、現状のデジタル化の流れと矛盾する。したがって、個人情報の利用と保護の間で、合理的なバランスポイントをどうやって見出すか、それが『個人情報保護法』の最も核心的な課題の一つである。『個人情報保護法』第一条には、本法の目的として「個人情報の権益を保護し」、かつ「個人情報の合理的な利用を促進する」ためであると明確に表明されている。EUの『一般データ保護規則』にも、本規則は「個人データの取扱いに係る自然人の保護及び個人データの自由な流通」に関して制定する、と言及されており、まさに、「利用」と「保護」の間にある矛盾の均衡が体現されている。そして、我々が『個人情報保護法』の条文の考察をさらに進めるにあたり、この核心的な価値基準を常に意識する必要がある。

 

二『個人情報保護法』が規制する各種行為の核心的ターゲット:「個人情報」の定義

    個人情報についての定義が『個人情報保護法』の核心的な課題であり、法律全体の規制の幅に関係していることは間違いない。現在、個人情報の定義については、およそいくつかの主流となるアプローチが存在している。一つは、「識別」からのアプローチである。つまり、自然人の身分を識別できるか否かを、個人情報に該当するか否かの判断基準にする。二つ目は、「関連」からのアプローチである。つまり、個人に関連する一切の事項をすべて個人情報とする。三つ目は、「プライバシー」からのアプローチである。つまり、個人情報の範囲を「プライバシー」の範囲に限定する。上記3つのアプローチのうち、「プライバシー」理論がカバーする個人情報の範囲が最も狭くなり、一方で「関連」理論がカバーする範囲は最も広くなる。

    今回成立した『個人情報保護法』第4条は、個人情報を、デジタル形式又はその他の方法を以って記録され、すでに認識され、又は認識し得る、自然人に係る各種の情報をいい、匿名化処理が行われた情報は含まれないと規定している。この定義からは、『個人情報保護法』が個人情報の定義に、「識別」と「関連」を組み合わせたモデルを採用していることが見て取れる。この点は、これまでの関連規定とは異なっている。例えば『民法典』第1034条2項には、個人情報とは電子的又はその他の方式により記録された、単独で、又はその他の情報と組み合わせて特定の自然人を識別できる各種情報をいい、自然人の氏名、生年月日、身分証の番号、生体識別情報、住所、電話番号、電子メールアドレス、健康情報、移動履歴情報等が含まれると規定されている。一方で『ネットワーク安全法』第76条1項には、個人情報とは、電子又はその他の方式により記録され、単独で、又はその他の情報と組み合わせて自然人の個人身分を識別することができる各種情報を指し、自然人の氏名、生年月日、身分証の番号、個人の生体識別番号、住所、電話番号等が含まれると規定されている。『情報安全技術 個人情報安全規範』では、個人情報を「電子又はその他の方式により記録された、単独で、又はその他の情報と組み合わせて特定の自然人の身分を識別し、又は特定の自然人の活動状況を反映することができる各種情報」と定義していて、基本的にはいずれも「識別」基準が採用されている。

    筆者が考えるに、『個人情報保護法』の定義によれば、我々が個人情報を識別する際に、2段階のステップを踏む方法を採用することができる。つまり、最初のステップは、ある情報が、ある特定の自然人を直接識別することができるか否か、或いは他の情報と組み合わせて識別することができるか否かを確定することである。もしこの条件に合致するのであれば、次のステップは、ある情報が当該自然人と関連しているか否かを判断しなければならない。もし関連している場合には、たとえこの情報が単独で、或いはその他の情報と組み合わせてこの自然人を識別できなくとも、個人情報に該当する。実務において、「直接的な識別」と「関連」とは、比較的把握しやすいが、いわゆる「間接的な識別」、つまり、その他の情報と組み合わせた後に特定の自然人を識別する情報については、把握が難しいと筆者は考える。なぜなら、理論的に言って、どのような情報であっても、その識別度がいかに低くとも、十分な量の情報と組み合わせることさえできれば、最終的にはある一自然人を特定することができるからである。例えば、「年齢層」、「趣味」、「本籍地」、「勤務先」、「収入範囲」、「学歴」といった情報だけでは、特定の自然人を識別することはできないが、もし我々がこれらの情報の全部又は一部を組み合わせた場合は、ある特定の自然人を識別できる可能性が大幅に高まる。よって、理論上は、個人に関連するほぼすべての情報は、いずれも個人情報の範囲内に入れることができることになる。その唯一の違いとは、「識別」の難易度及びその他の情報との「組み合わせ」の可能性という問題である。この点について、統一の基準を制定することはおそらく非常に難しく、具体的な個別の案件の中で具体的に分析する必要がある。なぜなら、情報の取扱い者によって、情報を取得するチャネルや取得の能力には大きな差があり、「組み合わせ」の意思にも違いがある。一般的な業務に従事する会社が、労働者の人事管理の目的から個人情報を収集する場合と、インターネットプラットフォーム企業がパーソナライズされたマーケティングを目的に個人情報を収集する場合があるとする。この2種類の状況で、個人情報を組み合わせる技術的な能力、リソースや意思といった面での違いはまったく比べようがなく、つまり、「組み合わせ」の可能性も自然と大きく異なってくる。

    個人情報の定義に関して、よく言及されるもう一つの問題とは、個人情報とプライバシーとの関係である。事実上、個人情報の保護とプライバシー権との関係は、含むか、或いは含まれるかといった関係ではなく、相互に一部が交錯している。『民法典』第1032条の規定によれば、いわゆるプライバシーとは、自然人の私生活の平穏、及び他人に知られたくない私的空間、私的活動、及び私的情報をいう。よって、プライバシー権がカバーする範囲は、「情報」のみに限定されず、さらには空間や活動等のシーンが含まれる。よって、例えばのぞき見、盗撮又は他人の手紙を無断で開封する等の行為は、いずれもプライバシーの侵害行為に該当するが、個人情報とは関連しない。プライバシー権に含まれる「秘密情報」であっても、その概念や外延は、個人情報と完全には一致しない。『民法典』第1034条3項には、「個人情報のうち、プライベートな情報には、プライバシー権に関する規定を適用する。規定がない場合は、個人情報保護に関する規定を適用する。」と規定されている。よって、秘密情報の範囲は、個人情報の範囲よりも狭いということになる。一般的に言って、例えば氏名、性別、外観相貌、職業等の情報は、「人に知られたくない」秘密情報には該当しないが、これら情報がいずれも個人情報であることは疑いようがない。当然、上記の主要な区別のほかにも、プライバシー権と個人情報とには、法的地位、法的責任や理論のベース等の面で、それぞれ多くの相違点がある。

 

三『個人情報保護法』により与えられたセーフハーバー:個人情報の匿名化

    上記のとおり、『個人情報保護法』の一大目標とは、つまり「利用」と「保護」の間の利益相反のバランスをとることである。ある1項目の情報について、一定の処理を経た後は、もはや特定の自然人を識別することができない場合、たとえその情報が漏洩され、又は悪意で利用されたとしても、自然人に重大な損害を与えることはない。このような情況においては、「利用」がより優先的な位置に置かれることになる。こういった考え方から、『個人情報保護法』は、匿名処理された情報を、個人情報の範疇から明確に除外している。つまり、匿名化処理を行いさえすれば、当該情報のその後の利用と処理については、いずれも『個人情報保護法』の規制に準拠する必要はなくなるのである(但し、一種のデータとして、依然として『データセキュリティ法』等のその他の法律の規制の対象となる可能性はある)。

    匿名化とは何かについて、『個人情報保護法』第72条には、いわゆる匿名化について、個人情報の処理を経て、当該情報に特定の自然人を認識することをできなくさせ、且つ復元することもできなくさせる過程をいう、と規定されている。匿名化と関連して、我々が頻繁に言及するもう一つの概念に、非特定化と呼ばれるものがある。『個人情報保護法』第72条によれば、いわゆる非特定化とは、「追加的な情報に依拠しない情況では、個人情報主体を識別できないようにさせるプロセス」をいう。他の言い方をするなら、非特定化を経た後の情報は、追加的な情報に依拠する情況においては、やはり個人情報の主体を識別することができるということである。そして匿名化のキーポイントは「復元することができない」点にある。つまり、いかなる状況においても、もはや情報の主体を再度識別することはできない。例えを使って説明するなら、非特定化とは、個人情報に鍵をかけてから、鍵を慎重に別の場所で保管するようなものである。一方で匿名化というのは、個人情報に鍵をかけてから、鍵を完全に壊してしまうことである。

    匿名化の概念を理解することは難しくはないものの、実務においては、困難に直面することがある。先ず、技術という観点からいえば、理論的には匿名化された情報は、いずれも復元することができる。複数の匿名データを対比及び分析することにより、情報の主体を識別できる可能性が非常に高い。ただ個人情報の取扱い者がこのような技術を持っているか否か、そして甚大なリソースを費やしてこの操作を行う意思があるかどうかである。次に、多くの情報は、匿名化を行った後に、その価値が大幅に下がり、おそらく利用価値がなくなる。例えば、現在、ビッグデータの運用が成功しているシーンの一つに精確なマーケティングが挙げられるが、個人情報に対して匿名化処理をしてしまえば、こういった応用の価値は大幅に低下する。よって、技術的な観点からも、利用価値という観点からも、完全な、徹底的な匿名化は実現が非常に難しい。将来的に、法律の観点から「匿名化」に対して画定を行うとしたら、動態的に、個別の案件ごとに判断を下すというプロセスとなるであろう。情報処理者の技術能力、情報の復元コストと復元の難易度等の各方面から、ある情報が匿名化の要件に合致しているか否かを総合的に判断する必要がある。それにより、個人情報の合法的な利用と保護の間に、適切なバランスポイントを見つけ出すことが期待できる。

 

四『個人情報保護法』コンプライアンスの基礎:個人情報の収集

   『個人情報保護法』には、個人情報の収集、保管、使用、加工、伝送、提供、公開を含む全サイクルが包括されている。但し、個人情報の収集が、個人情報の取扱いにおけるコンプライアンスの基礎であることは間違いない。コンプライアンスに反する個人情報の収集は、その後の個人情報に対する各種取扱い作業に影響を及ぼすことになる。

  『個人情報保護法』が可決されるまで、個人情報の収集は一般的に、情報主体の「同意」を条件としていた。例えば、『全国人大常務委員会のネットワーク情報の保護強化に関する決定』第2条では、ネットワークサービスのプロバイダーやその他企業・事業単位が個人情報を収集するには、「被収集者の同意を得る」必要があると規定している。『ネットワーク安全法』第41条1項には、ネットワーク運営者が個人情報を収集、使用するときは、適法、正当、必要の原則を遵守するものとし、収集及び使用の規則を公開し、情報の収集及び使用の目的、方法及び範囲を明示し、且つ提供者の同意を得なければならないと規定されている。しかし一部の法規においては、情報主体の同意を得ずに個人情報を収集することについて、空間が留保されている。例えば『民法典』第1035条には、個人情報の取扱いは、当該自然人又はその監護人の同意を取得しなければならないが、法律又は行政法規に別段の定めがある場合を除く、と規定されている。『情報安全技術 個人情報安全規範』の中には、個人情報の主体の同意を得なくともよい11種類の事由が具体的に列挙されている。

    今回可決された『個人情報保護法』の第13条には、以下に掲げる事由があれば、個人の同意を必要とせずに個人情報を収集することができると明確にされている。具体的には、次のとおりである。個人が当事者の一方となる契約の締結又は履行に必要なとき、または法律に従い制定された労働規則及び集団契約に基づくヒューマンリソースの管理の実施に必要なとき。法定の職責又は法定の義務の履行に必要なとき。突発的な公共衛生事件への対応、又は緊急時における自然人の生命・健康・財産の安全の保護に必要なとき。本法規の規定に従って、合理的な範囲内において、すでに公開されている個人情報を取り扱うとき。公共の利益のために、ニュースの報道、世論の監督等の行為を実施する際に、合理的な範囲内において個人情報を取り扱うとき。法律又は行政法規の定めるその他の事由。「同意」という大原則を保持したうえで、一定の柔軟性を与えることで、個人情報の利用におけるいくつかの実質的なニーズに配慮している。但し、これらの例外条項を適用する際には、留意すべき問題がいくつかある。

    先ず、同意を得る必要がないということは、告知義務を履行する必要がないという意味ではない。『個人情報保護法』第17条には、個人情報の取扱者は、個人情報を取り扱う前に、顕著な方法、明瞭且つ平易な言葉で、個人情報取扱者の身分及び連絡先、個人情報の取扱いの目的、取扱い方法並びに取り扱う個人情報の種類及び保管期間、個人が本法の定める権利を行使する方法及び手順を個人に告知しなければならない、と規定されている。「個人情報取扱者は個人情報を取り扱うとき、法律行政規定の規定に基づき、秘密保持義務を負い、または告知する必要がないその他の事項があれば、前条第1項の事項を個人に告知しなくでもよい」(『個人情報保護法』第18条)の場合を除き、この事前告知の義務は、個人情報の主体からの同意を必要とせずに個人情報を収集できることを理由に免除されない。なお、『個人情報保護法』第17条第二項には更なる要求として、個人情報取扱者は、個人情報の取り扱い規則を制定する方法により、第一項に規定する事項を告知する場合、取扱い規則を公開するものとし、且つ取扱い規則は、調査閲覧と保管が行いやすくなければならない、と規定している。

    次に、個人情報の主体の同意を得る場合においても、個人情報の主体の同意は、「事情を十分に知り得ており、任意的かつ明確でなければならない」(『個人情報保護法』第14条)。筆者がかつて処理した案件においては、ある企業がその内部の規則制度の中で、従業員の個人情報の収集と取扱いについて、非常に大雑把に、概括的に規定しただけで、これを従業員による「同意」の基礎としていた。このようなやり方は、『個人情報保護法』の枠組みにおいては、相当に高いコンプライアンス・リスクが存在する。なお、『個人情報保護法』の中で、一部の特殊な情況については、「単独の同意」が要求されている。例えば、個人情報の取扱い者が、自らが取り扱った個人情報を第三者に提供するとき(『個人情報保護法』第23条)、個人情報を公開するとき(『個人情報保護法』第25条)、センシティブな個人情報を取り扱うとき(『個人情報保護法』第29条)及び個人情報を国外に提供するとき(『個人情報保護法』第39条)等の状況においては、必ず個人情報の主体の「単独の同意」を取得しなければならない。どのような同意が「単独の同意」の要件に合致するかについては、『個人情報保護法』の中に明確に定められていない。一般的に、個人情報の取扱い者は、単独の告知表明を制定することにより、或いは少なくとも統一的な告知表明の中で明確に目立たせる方法で、情報主体が関係する内容に目を向けられるように注意喚起することにより、「単独の同意」の目的を達成することができる。

    第三に、情報主体の同意を必要としない各種事由のうち、「個人が当事者の一方となる契約の締結又は履行に必要な場合」及び「本法の規定に従って、合理的な範囲内ですでに公開されている個人情報を取り扱う場合」という事由が用いられることが多くなるであろうと考えられる。前者について注意すべきは、「個人が当事者の一方となる契約」の履行に必要な情報に限定されていることである。例えば、消費者があるショッピング・プラットフォームでオンラインショッピングをした場合に、物流会社は、配送契約を履行するために、ショッピング・プラットフォームから消費者の連絡先や配達先の住所等の個人情報を収集する。この時、配送契約が消費者個人と物流会社の間で締結されたものであれば、契約当事者である当該消費者の個人情報を収集するのであるから、消費者の同意を得る必要はない。しかし、配送契約がショッピング・プラットフォームと物流会社の間で締結されたものである場合は、厳密にいえば、やはり個人の同意を取得する必要がある(当然、この種の同意は事前に取得することができる)。いかにして「合理的な範囲内ですでに公開されている個人情報を取り扱う」かについては、『個人情報保護法』第27条に、個人情報の取扱い者によるすでに公開されている個人情報の取扱いは、当該個人情報の公開時の用途と一致していなければならないと規定されている。当該用途に係る合理的な範囲を超える場合は、本法の規定に従って個人の同意を取得しなければならない。個人情報の公開時の用途が不明確な場合は、個人情報の取扱い者は、すでに公開されている個人情報を合理的かつ慎重に取り扱わなければならない。すでに公開されている個人情報を利用し、個人に重大な影響を及ぼす活動に従事する場合は、本法の規定に従って個人の同意を取得しなければならない。例えば、我々は仕事をする中で、名刺交換、ウェブサイトや電子メールの形式により自分の連絡先を不特定多数の人に公開することがある。これらの情報公開の目的は、既存又は潜在的な業務パートナーと、仕事や業務上の連絡を取り合うことにある。これらの個人情報を他の無関係な目的に使用する場合には、情報主体の同意を取得する必要がある。

    最後に、注意が必要な問題として、間接的に個人情報を収集する情況において、個人情報の原始的な収集手続きのコンプライアンス性に特別な関心を示す必要があるという点である。個人情報の収集は、個人情報の主体から直接取得したか否かによって、「直接的な収集」と「間接的な収集」に大きく分けることができる。直接的な収集であれ、間接的な収集であれ、個人情報の収集はいずれも必ず『個人情報保護法』の規定に合致していなければならない。直接収集する場合、収集者は、個人情報の主体とある程度、直接連絡を取ることができる。よって、告知と同意等の義務の履行は、比較的易しい。しかし、間接的に収集する場合には、収集者は個人情報の主体と直接連絡を取ることができないため、コンプライアンス・リスクも大きくなる。このような情況においては、個人情報の出処、収集目的、収集手続き、授権範囲等について細かく確認を行って、合理的な注意義務を尽くすことにより、収集とその後の取扱い行為の合法性を確保しなければならない。

 

五『個人情報保護法』の枠組み内における個人情報の国境を越えた提供

    個人情報の国境を越えた提供は、今回の『個人情報保護法』の中でもとりわけ大きな注目を集めている問題である。これまでは、『個人情報出境安全評価弁法(意見募集原稿)』のなかで、個人情報の国境を越えた提供について、安全評価を実施しなければならないと言及されていたに過ぎない。そのため、多くの企業、特に多国籍企業が少なからず困惑させられてきた。経済のグローバル化を背景に、個人情報の国境を越えた提供は、普遍的に存在する現象となっている。例えば、多国籍企業が、内部の人事管理の必要性から、その中国にある分支機構を介して従業員の個人情報を収集する場合である。このような、純粋な日常管理における個人情報の国境を越えた提供にも、安全評価を実施する必要があるのか否か、多くの企業にとって悩みの種であった。

    今回成立した『個人情報保護法』の第38条は、個人情報の国境を越えた提供を区別して扱っている。『個人情報保護法』第40条の個人情報の保管に関する規定も加味して見ると、重要な情報インフラの運営者及び取り扱う個人情報の数量が国家のインターネット情報部門が規定する数量に達している個人情報取扱者については、個人情報を必ず国内で保管しなければならず、国外に提供する必要がある場合には、国家のインターネット情報部門が実施する安全評価に合格しなければならないことが分かる。その他の主体は、専門機構を介して個人情報保護認証を取得し、或いは中国国外の受領者との間で国家インターネット情報部門の制定する標準契約を締結する方法により、国境を越えて個人情報を提供することができる。このモデルにおいては、一般業務に従事する多国籍企業が、純粋に内部管理の必要性から、その中国国内の分支機構を通じて大量ではない個人情報を収集する場合には、標準契約を締結すればよいと推測できる。但し、安全評価を受けるか否かに関わらず、国境を越えて個人情報を提供するには、必ず「業務等の必要性」がなければならず、しかも国境を越えて提供する必要性が「確かにある」ときに限られる。つまり、個人情報の国境を越えた提供は、目的の正当性と必要性の原則に合致していなければならない。

    国境を越えた提供に関して、注意が必要なもう一つの問題とは、『個人情報保護法』が一定の域外適用効力を備えているという点である。『個人情報保護法』第3条第二項には、次のように規定されている。中華人民共和国の域外において、中華人民共和国内の自然人の個人情報を取り扱う活動が、次の各号のいずれか一に該当する場合にも、本法を適用する。(1)国内の自然人に対して商品又は役務を提供することを目的とする場合、(2)国内の自然人の行為を分析、評価する場合、(3)法律・行政法規が規定するその他の事由。つまり、国外の情報受領者が、中国から提供された個人情報を受け取るとき、それが上記第3条第二項に規定する目的による場合は、安全評価に関する手続きを履行する必要があるにとどまらず、『個人情報保護法』の規制を全体的に受けることとなり、『個人情報保護法』に規定される各種義務を全面的に履行しなければならない。例えば、先に述べた例の中で、もし中国国内の分支機構が人事管理の目的から、海外の親会社に対して従業員の個人情報を提供する場合で、海外の親会社も当該情報を人事管理のみに利用するのであれば、『個人情報保護法』は海外の親会社には適用されず、当該海外の親会社は、中国の分支機構と締結した契約を遵守すれば、それでよい。しかし、もし中国の分支機構が国内の自然人(消費者、会員等)の個人情報を海外の親会社に提供し、海外の親会社がそれを分析、評価又はマーケティング等の目的に使用する場合は、中国の分支機構と契約を締結するほか、『個人情報保護法』が規定する各種義務を全面的に履行する必要があり、そのコンプライアンスに関する負担は、大幅に増大する。

 

六 結び

    本稿で言及したいくつかの問題以外にも、例えば個人情報の取扱い規則、個人情報の取扱いの過程において個人が享受する権利、個人情報紛争の立証責任の配分、センシティブな個人情報の取り扱いなどは、いずれも『個人情報保護法』の中の注目すべき内容である。個人情報の保護は、応用面が非常に広い問題であるだけでなく、複数の分野にわたって交錯が生じる総合的な分野でもある。しかもそれぞれの業界や応用シーンの中で、独特な、パーソナライズされた課題が存在する。デジタル化の時代に、個人情報及び各種データの価値については、もはや言うまでもなく、『個人情報保護法』の成立は、わが国の個人情報保護法制度がより体系化された段階に突入したことを示すものであり、引き続き注目していく必要がある。