「個人情報の保護に関する法律等の一部を改正する法律」が、令和2年6月5日に成立、同12日に公布されました(以下「令和2年改正法」といいます。)。この令和2年改正法が令和4年(2022年)4月1日より全面的に施行されます 1 。本ニュースレターでは、施行間近となった令和2年改正法の概要と、改正後の個人情報の保護に関する法律(平成15年法律第57号)(以下「改正法」といいます。なお、条文番号については、参照の便宜を考慮し、令和3年改正法も施行された後のものとしています。)についてご説明いたします 2 。
平成27年改正法附則第12条では、「いわゆる3年ごと見直し」が必要とされたことを踏まえ、情報を提供する個人の情報の取扱いに対する関与への期待の高まり、個人の権利利益の保護と個人情報利活用のバランス、国際的な制度調和や連携、クロスボーダーでの個人情報取扱状況への対応、AI・ビッグデータ時代における適切な環境整備といった点を考慮し、改正がなされました。
特に、①漏えい等の事態が発生した場合等の個人情報保護委員会への報告及び本人への通知の義務化、②外国にある第三者への個人データの提供時に、当該国の個人情報保護制度等提供先の第三者における個人情報の取扱いに関する情報提供、③安全管理措置(外国において個人データを取り扱う場合の、当該外国の個人情報保護制度を踏まえた安全管理措置を含む。)の公表の義務化等、④開示請求の対象の拡大(6ヶ月以内に消去するデータ、個人データを提供・受領した際の記録)、利用停止・消去等請求の拡充、⑤不適正な方法による個人情報の利用禁止、⑥「個人関連情報」の第三者提供の制限等が挙げられます。以下、概説します。
現行の個人情報保護法(以下、便宜上「現行法」といいます。)では、保有個人データについて本人より開示請求がなされた場合、原則書面交付の方法により開示しなければならず、書面交付以外の場合には請求者の同意が必要とされています 3 。
これに対し、改正法では、本人が開示の請求に当たり、開示方法を指定して請求することができることとなりました4。個人情報取扱事業者は、電子メールによる送信や、ウェブサイトでのダウンロード等を含め原則個人から指定された方法による開示が義務付けられ、開示しない旨の決定をした場合に加え、指定方法による開示が困難である場合にも速やかに通知する必要があります 5 。
現行法では、個人情報取扱事業者に対し、利用目的制限違反、適正な取得違反の場合に利用停止・消去の請求6 、第三者提供制限、外国にある第三者提供制限違反の場合に第三者提供の停止請求 7 ができることと定められています。
これに加え、改正法では、個人情報取扱事業者が個人情報保護法に違反していない場合でも、本人の権利又は正当な利益が害されるおそれがある場合には利用停止・消去等の請求権利が認められることとなりました。具体的には以下の内容が追加されています。
但し、個人情報取扱事業者が、当該保有個人データの利用停止等又は第三者への提供の停止に多額の費用を要する場合その他これを行うことが困難な場合で、かつ、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りではありません 10 。
個人情報取扱事業者においては、今後増加が想定される本人からの請求に対応するため、保有個人データについて、どのような場合に利用する必要がなくなったといえるのか、プライバシーポリシーの利用目的記載事項等を改めて確認・検討し、また、請求時の対応方法等について準備する必要があるでしょう。
保有個人データ 11 に短期保存データ(個人データのうち個人情報取扱事業者に開示、訂正等の権限があるもので、かつ取得から6ヶ月以内に消去される個人データをいいます。)が追加され、開示請求等の対象となりました。
また、保有個人データに関する公表事項(本人の求めに応じて遅滞なく回答することとすることも許容されるが、本人の知り得る状態に置かなければなりません。)に、個人情報取扱事業者の住所や法人代表者、第三者提供記録の開示請求に応じる手続や改正により追加された利用停止等に応じる手続が追加されました12 。
個人情報取扱事業者としては、利用する必要がなくなった個人データについては遅滞なく消去するよう努め 13 、また、上述の公表事項の追加事項についてはプライバシーポリシーに追記するかその対応を検討する必要があります。
現行法上、個人データを第三者に提供するとき及び個人データを第三者から受領したときには、所定の事項を記録することが義務付けられていますが 14 、改正法では、これらの記録を「第三者提供記録」とし、本人による開示請求の対象としました 15 。本人による利用停止・消去等請求の実効性を確保するための手段となります。
個人事業取扱事業者は、第三者提供記録を既存の契約書等で代替している場合には、本人による開示請求の際に不要な情報まで開示対象とならないようガイドライン等を踏まえて、対応方針や手続を検討、準備しておくことが望ましいでしょう。
現行法では、個人情報取扱事業者が、個人データを外国(EU/EEAと英国を除きます。)にある第三者(個人データの取扱いについて個人情報取扱事業者が講ずべきこととされている措置に相当する措置(以下「相当措置」といいます。)を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備 16 している者を除きます。)に提供する際には、原則として、外国にある第三者への個人データの提供を認める旨の本人の事前同意を得ることが義務付けられています。
新法では、現行法の規制に加えて、以下の義務を個人情報取扱事業者に課しています。
個人情報取扱事業者は、事前に、本人に対して、当該外国における個人情報の保護に関する制度、外国にある第三者が講ずる個人情報の保護のための措置、その他当該本人に参考となるべき情報を提供する義務を負います。
具体的な提供対象の情報は、以下の通りです。
㋐ 外国の名称
㋑ 適切かつ合理的な方法により得られた外国における個人情報の保護に関する制度に関する情報(本人の同意を得ようとする時点において㋐が特定できない場合、㋐㋑に代えて、特定できない旨及びその理由、当該事項に代わる本人に参考となるべき情報)
㋒ 第三者が講ずる個人情報の保護のための措置に関する情報(本人の同意を得ようとする時点において㋒の情報提供ができない場合その旨及びその理由)とされています。
なお、一定の国又は地域については、個人情報保護委員会が各国制度について情報を公表しています 18 。
個人情報取扱事業者は、個人データを外国にある第三者(相当措置を継続的に講ずるための体制整備をしている者に限ります。)に提供した場合に、以下の義務を負います。
・当該第三者による相当措置の継続的な実施を確保するために必要な措置を講じること(㋐当該第三者による相当措置の実施状況や当該相当措置の実施に影響を及ぼすおそれのある当該外国の制度の有無・内容を、適切かつ合理的な方法により、定期的に確認すること、及び㋑当該第三者による相当措置の実施に支障が生じたときは、必要かつ適切な措置を講ずるとともに、当該相当措置の継続的な実施の確保が困難となったときは、個人データの当該第三者への提供を停止すること)
・本人の求めに応じて当該必要な措置に関する情報を本人に提供すること(但し、情報提供することにより当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合は、その全部又は一部を提供しないことができます。
現行法では、日本国内にある者に物品又は役務提供する際に個人情報等を取り扱う外国事業者に適用される規制は限定されており、報告及び立入検査や命令等の規定は適用対象外となります 20 。そのため、漏洩事案が発生しても、個人情報保護委員会が対処することが困難となっていました。また、当該外国事業者への適用は、個人情報等を本人から直接取得した場合に限られると解釈されており、取得形態は事業者間の契約によって定められていることが多いため個人情報保護委員会が判断することが難しく任意回答がない場合に十分な権利保護が図れないおそれがありました。
そこで、改正法では、外国事業者に国内の事業者同様に全ての条文が適用されることとなり、個人情報保護委員会は外国事業者に対して報告、立入検査、命令等が可能となりました。また、個人情報等を本人から直接取得したわけではなく、第三者提供により間接取得した場合であっても個人情報保護法の規定が適用されることになり、外国事業者に対し、より日本の個人情報保護法の遵守が求められることになりました 21 。
個人情報保護法では、「個人情報」は生存する個人に関する情報であって、①当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)、又は②個人識別符号が含まれるものをいい、「個人データ」は個人情報を含む情報の集合物であって、特定の個人情報を容易に検索することができるように体系的に構成したものをいいます。
他方で、昨今、個人情報の利活用の需要が高まり、個人情報の利活用と個人の権利利益の保護の調和を図る観点から、平成27年改正により、「匿名加工情報」の制度が創設されました。「匿名加工情報」とは特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいいます 22 。匿名加工情報は、個人情報に該当しないため、本人の同意を得ずに、目的外利用や、第三者提供を行うことができますが、あらかじめ個人に関する情報の項目及びその提供の方法について公表する等、一定の事項を遵守する必要があります 23 。
しかしながら、AI技術の発展等により、他の情報との照合による特定個人の識別可能性が飛躍的に向上し、元の個人情報に復元できないような加工をするためには、大幅な加工が必要であり、データとしての有用性を失ってしまうといったケースが増大したことが指摘されていました。そこで、匿名加工情報よりも、抽象化の程度を下げ、データとしての有用性を残しつつ、個人情報を利活用する方法として、令和2年改正により「仮名加工情報」の制度が創設されました。
仮名加工情報とは、他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報をいいます 16 。
仮名加工情報には、個人情報に該当する仮名加工情報と個人情報に該当しない仮名加工情報が存在し、個人情報に該当するか否かにより、規制が異なっています。個人情報に該当する仮名加工情報か否かは、仮名加工情報取扱事業者が保有する情報、組織体制、知識、技術等の総合的な事情を考慮して、一般人の感覚により、他の情報と容易に照合することにより特定の個人を識別できるかによって判断されます。
一般的に、仮名加工情報取扱事業者は、個人情報を加工する際に、加工前の情報と加工後の情報の対照表を作成することから、仮名加工情報は、当該対照表と容易に照合することができ、それにより特定の個人を識別することができることが想定され、この場合、仮名加工情報は個人情報にも該当します。
他方で、例えば、法令に基づき仮名加工情報の提供を受けた仮名加工情報取扱事業者において、当該仮名加工情報の作成の元となった個人情報や当該仮名加工情報に係る削除情報等を保有していない等により、当該仮名加工情報が、他の情報と容易に照合することができ、それにより特定の個人を識別することができる状態にない場合には、当該仮名加工情報は、個人情報に該当しないことになります。
個人情報に該当する仮名加工情報と、個人情報に該当しない仮名加工情報について、取扱いに関する規制は以下のとおりです。
個人情報 |
個人情報に該当する |
個人情報に該当しない |
|
利用目的の変更 | 変更前の利用目的と関連性を有すると合理的に認められる範囲で変更可[1] | 制限なし[2] | 制限なし[3] |
目的外利用 | 原則不可[4] |
原則不可[5] |
制限なし |
第三者提供 |
原則不可[6] |
原則不可[7] | 原則不可[8] |
利用目的を本人に認識させる方法 | 通知又は公表[9] | 公表のみ[10] | 規定なし |
データの取扱い |
利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するように努めなければならない[11] | 個人データ及び削除情報等を利用する必要がなくなったときは、当該個人データ及び削除情報等を遅滞なく消去するように努めなければならない[12] | 規定なし |
保有個人データの開示請求等 |
保有個人データの開示請求等が認められる[13] | 開示請求等は認められない[14] | |
その他 |
本人を識別するために、仮名加工情報を他の情報と照合してはならず 、また、本人への連絡のために仮名加工情報に含まれる連絡先その他の情報を利用することも禁止[15] |
[1]改正法第17条第2項
[2]改正法第41条第9項、改正法第17条第2項
[3]個人情報に該当せず、仮名加工情報について特段の規定はありません。
[4]改正法第18条第1項。例外は、以下のとおり(改正法第18条第3項各号)。なお、同条同項第5号及び第6号は、令和3年改正法による。
1. 法令に基づく場合
2. 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
3. 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
4. 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、
本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
5. 個人情報取扱事業者が学術研究機関等である場合であって、当該個人情報を学術研究目的で取り扱う必要があるとき。
6. 学術研究機関等に個人データを提供する場合であって、当該学術研究機関等が当該個人データを学術研究目的で取り扱う必要があるとき。
[5]改正法第41条第3項
[6]改正法第27条第1項。例外は、以下のとおり(改正法第27条第1項各号)。なお、同条同項第5号乃至第7号は、令和3年改正法による。
1. 法令に基づく場合
2. 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
3. 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
4. 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、
本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
5. 個人情報取扱事業者が学術研究機関等である場合であって、個人データの提供が学術研究の成果の公表又は教授のためにやむを得ない場合。
6. 個人情報取扱事業者が学術研究機関等である場合であって、個人データを学術研究目的で提供する必要があるとき。
7. 学術研究機関等に個人データを提供する場合であって、当該学術研究機関等が当該個人データを学術研究目的で取り扱う必要があるとき。
[7]改正法第41条第6項
[8]改正法第42条第1項
[9]改正法第21条
[10]改正法第41条第4項
[11]改正法第22条
[12]改正法第41条第5項
[13]改正法第32条乃至第39条
[14]改正法第41条第9項
[15]改正法第41条第7項、第8項
令和2年改正法では、生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものを「個人関連情報」として、新たに規制の対象としました。個人関連情報には、例えば、cookie情報など端末識別子を通じて収集されたサイト閲覧履歴、商品購買履歴、位置情報等が該当します16 。
個人関連情報を電子計算機等により検索することができるように体系的に構成したもの(「個人関連情報データベース等」)を事業の用に供している者(「個人関連情報取扱事業者」)は、提供元である当該個人関連情報取扱事業者においては個人データに該当しないものの、提供先において個人データとなることが想定される情報を提供するには、あらかじめ本人の同意を得ていること等を確認しなければなりません。確認は、個人関連情報の提供を受ける第三者から申告を受ける方法その他適切な方法によりなされます 24 。提供先において個人データとなるというのは、例えば、cookie情報は通常それ自体で個人を特定することはできませんが、提供先において、ID等他の情報と紐づけることにより個人が特定可能であるような場合が該当します。
さらに、外国 25 にある第三者への提供にあっては、本人の同意を得ようとする場合において、あらかじめ、国名、当該外国における個人情報の保護に関する制度に関する情報、当該第三者が講ずる個人情報の保護のための措置に関する情報が本人に提供されていることを確認しなければなりません 26 。
個人関連情報取扱事業者は、上述の確認を行ったときは、個人情報保護委員会規則で定めるところにより、当該個人関連情報を提供した年月日、当該個人関連情報の項目、第三者の名称・住所・代表者、当該確認に係る事項に関する記録を作成しなければなりません 27 。
なお、個人関連情報取扱事業者は、個人関連情報を外国にある第三者に提供した場合には、個人情報保護委員会規則で定めるところにより、当該第三者による相当措置の実施状況の確認等継続的実施を確保するために必要な措置を講じることとされています28 。
個人データの漏えい、滅失、毀損等のうち、以下の個人の権利利益を害するおそれが大きいものが発生し、又は発生したおそれがある場合、個人情報保護委員会への報告及び本人への通知が義務化されました29 。
① 要配慮個人情報が含まれる個人データ(高度な暗号化その他の個人の権利利益を保護するために必要な措置を講じたものを除く。)の漏えい等
② 不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等
③ 不正の目的をもって行われたおそれがある個人データの漏えい等
④ 個人データに係る本人の数が千人を超える漏えい等
改正法では、保有個人データの安全管理措置の公表等本人が知りうる状態(本人の求めに応じて遅滞なく回答する場合を含みます。)が義務化されました 30。安全管理措置が公表されることにより、個人が、各個人情報取扱事業者の安全管理措置の体制を把握することができます。
現行法では、個人情報取扱事業者は、第三者に提供される要配慮個人情報を除く個人データについて、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、利用目的等の一定の事項について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出たときは、現行法第23条第1項の規定にかかわらず、当該個人データを第三者に提供することができます(いわゆる、オプトアウト)。改正法では、オプトアウトにより第三者提供できるデータに制限がかかり、①不正取得された個人データ、②オプトアウトにより第三者から提供された個人データが対象外になりました 31 。
個人情報保護法の違反行為に対する刑事罰について、令和2年12月12日施行日から、以下の通り法定刑が引き上げられました。なお、施行日前の行為に関しては、改正前の罰則が適用されます。
概要 | 対象 | 改正前 | 改正後 | |
1 | 個人情報保護委員会による命令(法第145条第2項第3項)に違反した場合(改正法第173条) | 行為者 | 6ヶ月以下の懲役又は30万円以下の罰金 | 1年以下の懲役又は100万円以下の罰金 |
法人等(改正法179条1項) | 30万円以下の罰金 | 1億円以下の罰金(法人重科) | ||
2 | 個人情報データベース等の不正提供罪の違反行為(改正法第84条) | 行為者 | 1年以下の懲役又は50万円以下の罰金 | 1年以下の懲役又は50万円以下の罰金 |
法人等(改正法87条1項) | 50万円以下の罰金 | 1億円以下の罰金(法人重科) | ||
3 | ・個人所法保護委員会による報告要求又は立入検査(法第143条第1項)の際、報告や検査を拒否し又は虚偽の応答等をした場合(改正法第177条第1号) ・認定個人情報保護団体が、個人情報保護委員会に対して認定業務に関する報告(法第150条)をせず、又は虚偽の報告をした場合(改正法第177条第2号) |
行為者 | 30万円以下の罰金 | 50万円以下の罰金 |
法人等(改正法179条1項) | 30万円以下の罰金 | 50万円以下の罰金 |
個人情報保護法違反事案の増加に伴い将来の違反事案抑止のため、行為者処罰規定につき、個人情報保護委員会の命令違反に対する刑事罰である改正法第173条の法的刑の引上げが行われ、また、個人情報保護委員会の調査権限の実効性を高めるため、改正法第174条の法定刑も引上げが行われました。
また、法人両罰規定につき、資力のある法人に対する十分な抑止効果のため、これらの違反行為について、法人に対し高額の罰金を科す法人重科が導入され、罰金の上限額1億円まで引き上げられました 32 。
本文書は、一般的な情報提供のみを目的としています。本書は法律上のアドバイスを構成するものではありませんので、特定の法律上の問題や問題に関して依拠することはできません。具体的案件に際して法律・税務アドバイスが必要な場合には、各人の弁護士や税理士にご相談下さい。
以上