個人情報保護法の改正
「個人情報の保護に関する法律等の一部を改正する法律案」が、令和2年6月5日に可決・成立し、同月12日に公布されました。これは、平成27年改正の個人情報保護法の附則12条に基づき、見直しを行ったものです。全面施行は、公布後2年以内とされています。令和2年10月段階で、改正法に沿ったガイドラインは公表されていませんが、施行日までには、新しいガイドラインが公表されるものと思われます。施行まで最大2年ありますが、これは、施行日までに、改正法の周知徹底を図るとともに、事業者において改正法の趣旨に則った体制、措置がとれるよう準備期間として設けられたものです。したがって、事業者としては、改正法が施行されていないからと言って、何も対策を行わなくてよいというものではありません。以下では、主な改正点について説明します。
主な改正点
1保有個人データの範囲の拡大(2条7項)
従前、6か月以内に消去する個人データについては、本人からの開示等請求の対象となる「保有個人データ」には該当しないとされていました。
今回の改正法では、6か月間という期間制限がなくなり、6か月以内に消去するデータについても、「保有個人データ」に該当することになりました。事業者は、開示しなければならない情報が増えることになりますので、あらかじめ体制・手順を整えて準備しておく必要があります。
2漏えい等の報告及び本人通知の義務化(22条の2)
従前、個人情報の漏えい等が発生したとしても、個人情報保護委員会等への報告や、本人への通知については、法律上は何も規定されておらず、ガイドラインにおいて、要請されていたにすぎませんでした。
今回の改正法では、個人の権利利益を害するおそれが大きいものについては、個人情報保護委員会への報告が義務化されました。また、個人情報の本人に対しても、漏えい等の事態が発生したことを通知する義務が規定されました。ただし、本人への通知が困難な場合であって、本人の権利利益を保護するため必要な代替措置をとるときは、本人への通知は不要とされています。
事業者は、漏えい等が発生した場合に備え、担当窓口を決めておくなどの体制を整備し、どのような手順で報告・通知を行うのか、あらかじめ確認しておく必要があります。
3オプトアウト規制(23条2項)
事業者が個人データを第三者に提供するには、本人の同意を得ているか、本人の求めがあれば事後的に停止することを前提に、あらかじめ本人に通知等することが必要です。後者の方法をオプトアウトと言いますが、要配慮個人情報では、このオプトアウトが認められていませんでした。
今回の改正法では、偽りその他不正の手段により取得された個人データである場合や、他の事業者がオプトアウトの方法により取得した個人データをさらに第三者提供する場合についても、オプトアウトが認められないことになりました。これらの場合には、本人の同意を得た上で第三者提供しなければなりませんので、これまでの手順を変更しなければならなくなる事業者も出てくるものと思われます。
4個人関連情報の規制(26条の2)
今回の改正法において、個人関連情報の第三者提供の制限という規定が設けられました。「個人関連情報」とは、生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものを言います。提供先である第三者が、個人データとして取得することが想定されるときは、第三者が個人データとして取得することについて、本人の同意が得られているなどを確認しなければ、この「個人関連情報」を第三者に提供することができないことになりました。すなわち、提供元においては個人情報・個人データではないが、提供先(第三者)において、他の情報と照合することなどにより、個人を特定できる個人データになるものについては、本人の同意等を得たうえで提供しなければならなくなりました。
これは、リクルートキャリアが運営する就職情報サイト「リクナビ」が、学生の同意を得ずに、学生の情報を分析して「内定辞退率」を算出し、他の事業者に販売していたという問題を受けたものです。現在、何が「個人関連情報」に含まれるのか明確ではありませんが、Cookie情報、IPアドレス、端末ID、位置情報などが含まれると考えられています。
事業者は、本当に第三者提供が必要なのかどうか、今まで以上に慎重に検討することが重要となります。
5電磁的記録による開示(28条1項・2項)
従前、個人情報取扱事業者は、本人から保有個人データの開示を求められた場合、書面で開示(回答)をしていました。今回の改正法では、本人は、電磁的記録の提供による方法その他の方法による開示を求めることができるようになりました。もっとも、本人が請求した方法による開示に多額の費用を要する場合、その他当該方法による開示が困難な場合には、書面による交付が認められています。
事業者は、本人から電磁的記録による開示請求がなされることを想定し、電磁的記録の提供をすることができるかどうか、あらかじめ確認しておく必要があります。
6開示対象の拡大(28条5項)
個人情報取扱事業者は、第三者へ個人データを提供する場合、又は提供を受ける場合において、データの取得経緯等を確認し、記録を作成しなければなりません。これは、改正前と改正後で変更はありません。今回の改正法では、個人情報の本人は、この記録についても開示を求めることができるようになりました。さらに、この開示については、書面のみならず、電磁的記録の提供による方法でも可能となっています。
事業者は、これまでも記録の作成義務がありましたが、今後は、記録を作成・保存した上で、本人からの開示請求に速やかに対応できるよう、体制や手順を整えておく必要があります。
7利用停止・消去等の個人の請求権における要件の緩和(30条)
従前、個人情報の本人が、個人情報取扱事業者に対し、個人情報取扱事業者が有する保有個人データの利用停止や削除を求めることができるケースが限定されていました。具体的には、利用停止・消去等を求めるには、目的外利用である場合や、偽りその他不正の手段による取得がされた場合に、第三者提供の停止を求めるには、同意を得ないで第三者提供された場合に、それぞれ限られていました。
今回の改正法では、個人情報取扱事業者がその保有個人データを利用する必要がなくなった場合、個人データの漏えい、滅失、毀損その他個人データの安全の確保に係る事態が生じた場合、または、その他保有個人データの取扱いにより本人の権利もしくは正当な利益が害されるおそれがある場合においても、本人は、保有個人データの利用停止や第三者への提供の停止を求めることができることになりました。ただし、利用停止等に多額の費用を要する場合や、利用停止等を行うことが困難な場合であって、本人の権利利益を保護するため必要な措置をとるときは、個人情報取扱事業者は、利用停止等を行わなくてもよいとされています。この改正は、本人の権利を拡大するものと言えます。
事業者としては、本人からの請求がなされた場合に備えて、利用停止・消去等が速やかになされるような体制・手順を整備しておく必要があります。
8仮名加工情報の創設(35条の2、35条の3)
これまでの個人情報保護法では、個人情報、匿名加工情報などがありましたが、今回の改正法により、35条の2及び35条の3において、「仮名加工情報」が新たに創設されました。
「仮名加工情報」とは、個人情報に含まれる記述等の一部を削除したり、個人情報に含まれる個人識別符号の全部を削除することにより、他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報のことです。
仮名加工情報に関し、削除情報等(仮名加工情報の作成に用いられた個人情報から削除された記述等及び個人識別符号と、加工の方法に関する情報)につき安全管理措置をとらなければならない(35条の2第2項)、特定された利用目的の達成に必要な範囲を超えて、仮名加工情報を取り扱ってはならない(35条の2第3項)、利用する必要がなくなったときは、遅滞なく消去するよう努めなければならない(35条の2第5項)、本人を識別するために他の情報と照合してはならない(35条の2第7項)などの制限が設けられています。
また、個人データとなっている仮名加工情報については、法令に基づく場合を除いて、第三者に提供できず(35条の2第6項)、個人データでない仮名加工情報についても、法令に基づく場合を除いて、第三者に提供することはできません(35条の3第1項)。
さらに、個人情報について規定された安全管理措置、従業者監督、委託先監督、苦情処理などは、仮名加工情報にも準用されますが(35条の3第3項)、他方で、漏えい等の報告義務、保有個人データに関する事項の公表等、開示、訂正等、利用停止等などは準用されておらず、遵守することは求められていません。仮名加工情報は、これをうまく活用してビジネスを発展させるために設けられた制度であると言えます。
今後、事業者は、個人情報ではなく、仮名加工情報を利用した事業についても検討すべきことになるでしょう。
9ペナルティ(83条、85条、87条)
今回の改正法では、罰則が引き上げられました。個人情報保護委員会による命令に違反した者は、これまで6月以下の懲役または50万円以下の罰金だったものが、1年以下の懲役または100万円以下の罰金になりました。また、個人情報保護委員会に対し虚偽の報告等をした者は、これまでは30万円以下の罰金でしたが、50万円以下の罰金となりました。また、個人情報データベース等を自己もしくは第三者の不正な利益を得る目的で提供したり、盗用した場合、または、個人情報保護委員会による命令に違反したり、個人情報保護委員会に対し虚偽の報告をした場合、行為者を罰するとともに、その行為者が所属する法人についても罰金が科せられていますが、これまでは50万円または30万円以下の罰金だったのが、1億円以下の罰金へと引き上げられました。