03-6550-9202 (受付時間 平日10:00〜17:00)

お問い合わせ

個人情報保護法の令和2年改正案の10のポイント

弁護士 数藤 雅彦

 

2020年3月、政府の個人情報保護委員会は、個人情報保護法の改正法案を閣議決定しました

同法案は、通常国会に提出されております(本コラム執筆時の5月中旬の時点では、同法案は衆議院で審議中であり、まだ成立しておりません)。

本コラムでは、仮に現状の法案のまま成立した場合に、個人情報保護法のどの部分がどのように変わるのか、改正のポイントを解説します(今後、法案が成立する際に修正等がありましたら、追って反映します)。

 

法改正の概要

 

まず、法改正の概要を確認します。

個人情報保護委員会の整理によると、この改正案の「概要」は、以下の図の通りです。

個人情報保護委員会ウェブサイト内「個人情報の保護に関する法律等の一部を改正する法律案(概要」より

 

ただ、この「概要」資料(以下「PPC概要」といいます)の書き方はやや抽象的で、企業が個人情報を扱う場面ごとの整理にはなっておりません。また、改正法案の条文からは直接読み取れないことも書かれているようです(追って、政令やガイドラインで規定するものと思われます)。

そこで、個人情報の利用の場面や、漏えいの場面、第三者提供の場面などに並び替えたうえで、改正法の根拠条文の番号を添えると、以下の10のポイントに整理できます(以下では、3月に閣議決定された改正法案を「新〇条」と略します。なお、改正事項のすべてを網羅するものではありませんのでご留意ください)。

 

改正法案の10のポイント

 

【1】個人情報の不適正な方法による利用が禁止されます

現行法では、個人情報の「利用」全般にかかる規制はなかったのですが、改正法では、個人情報取扱事業者(以下「事業者」といいます)が、違法または不当な行為を助長し、または誘発するおそれがある方法により個人情報を利用することが禁止されます(新16条の2)。

これは、2019年に生じた、いわゆる破産者マップ事件などをふまえた改正と考えられます(破産者マップ事件についてはこの記事などを参照)。

 

【2】新たに「仮名加工情報」が創設され、一部の規制が緩和されます

現行法には、「匿名加工情報」という概念がありますが、利用が低調だったことをふまえてか、改正法では、新たに「仮名加工情報」という概念が追加されます。

「仮名加工情報」は、個人情報に含まれる記述を一部削除するなどして、他の情報と照合しない限り特定の個人を識別できないように加工した情報のことをいいます(厳密な定義は新2条9項)。

仮名加工情報を利用する際には、規制が一部緩和されます(新35条の2、新35条の3)。たとえば、過去に個人情報を取得した際の利用目的に縛られずに、別の目的でも利用できるようになります(新35条の2第9項・15条2項)。

 

【3】漏えい等が起きた場合に、国への報告と本人への通知が義務化されます

改正法では、事業者において個人データの漏えい等が発生し、個人の権利利益を害するおそれが大きい場合に、個人情報保護委員会への報告と、本人への通知がそれぞれ法律上の義務として課されます(新22条の2)。

PPC概要によると、報告義務などが生じるのは、「一定数以上の個人データの漏えいや、一定の類型に該当する場合に限定」されるとのことです。

 

【4】オプトアウトによる第三者提供が一部制限されます

個人データを第三者に提供する際に、いわゆるオプトアウトの方法(事後的に本人から求めがあれば提供を停止することを条件に、事前同意なく第三者に提供する方法)が認められています。現行法では、要配慮個人情報のオプトアウトによる第三者提供は禁止されていたところ、改正法では、さらに、①不正の手段により取得した個人データと、②他の事業者からオプトアウトにより提供された個人データについても、オプトアウトによる第三者提供ができなくなります(新23条2項)。

 

【5】提供先で個人データとなる情報が新たに規制されます(「個人関連情報」の創設)

改正法では、提供元においては法律上の「個人データ」に該当しないものの、提供先において個人データとなることが「想定」される情報が新たに規制されます。具体的には、第三者提供の際に、提供先において本人の同意が得られていること等を、提供元が「確認」する義務が課されます(新26条の2)。

これは、いわゆるリクナビ事件をふまえた規制と考えられ、特に今後、DMP(Data Management Platform)事業者とのデータのやりとり等に影響するものと考えられます(リクナビ事件については、個人情報保護委員会による勧告および指導を参照)。

 

【6】本人から開示請求などをできる範囲が広がります

本人から事業者に対する開示請求等については、以下のように範囲が広がります。

〇 まず、本人からの開示請求や利用停止請求等の対象になる「保有個人データ」の定義として、現行法では6 か月以内に消去する短期保存データは含まれていなかったところ、改正法ではこのような情報も含まれるようになります(新2条7項)。

〇 保有個人データの開示方法については、現行法では原則として書面の交付によるとされていたところ、改正法では、電磁的記録の提供による方法も含め、開示方法について本人が指示できるようになります(新28条1項・2項)

〇 改正法では、個人データの授受に関する第三者提供記録についても、本人が開示請求できるようになります(新28条5項)

〇 また、本人から事業者に対して、利用停止や消去の請求ができる場合として、新たに、事業者が違法または不当な行為を助長し、または誘発するおそれがある方法により個人情報を利用した場合が加わります(新30条1項・新16条の2)

〇 さらに、利用停止、消去、第三者提供の停止請求ができる場合として、①保有個人データを事業者が利用する必要がなくなった場合、②重大な漏えい等(新22条の2)が生じた場合、③その他本人の権利または正当な利益が害されるおそれがある場合が加わります(新30条5項・6項)

 

【7】 認定個人情報保護団体の認定条件が一部緩和されます

認定個人情報保護団体の制度について、改正法では、事業の種類その他の業務の範囲を限定して認定できるようになります(新47条2項)。PPC概要によると、「企業の特定分野(部門)を対象とする団体」も認定できるようになります。

 

【8】違反のペナルティが引き上げられます

改正法では、個人情報保護委員会による命令違反や、委員会に対する虚偽報告などの法定刑が引き上げられます(新83条~新88条)。とくに、個人情報保護委員会による命令違反と、個人情報データベース等不正提供罪の罰金に関しては、法人と個人の資力の差などをふまえて、法人に対する罰金刑の最高額が1億円に引き上げられます(新87条1項1号。いわゆる法人重科)。

なお、議論のあった課徴金の制度は導入されておりません。

 

【9】法の域外適用の範囲が拡大されます

改正法では、日本国内にある者の個人情報等を取り扱う外国事業者が、罰則によって担保された報告徴収や命令の対象になるなど、法の域外適用の範囲が拡大されます(新75条、新58条の2~新58条の5、新42条4項、新78条の2)。

 

10外国にある第三者への個人データの提供制限が強化されます

改正法では、外国にある第三者に個人データを提供する際に、当該外国における個人情報保護制度などの情報を、本人に提供する義務などが課されます(新24条2項・3項)

 

 

改正法案に関する若干のコメント(新16条の2について)

 

今回のコラムでは、1つ1つの改正の詳細には立ち入りませんが、ひとつ注目すべき点として、新16条の2で、個人情報の「利用」に関する規制が加わったことが挙げられます。

これまで、個人情報を取得したあとの「利用」のフェーズに関しては、第三者提供などの個々の行為への規制はあったものの、利用方法の全般にかかるような規制はありませんでした。

しかしながら、近年では、上記で挙げた破産者マップ事件や、リクナビ事件、さらにはJapanTaxi事件のように、本人がまったく予期していなかったような利用方法で、いわば不意打ち的に個人情報を利用し、個人情報保護委員会の指導等を受ける例が見られました。

今回の法改正は、このようなインシデントへの対策にもつながるものと思われます。

 

私自身、企業の方から個人情報の相談をうかがっていると、しばしば、何のために個人情報を保護しているのかわからなくなっている方と出会います。

中には、「法律でそう決まっているから」というだけの理由で、個人情報の管理等の細かい事務作業に迷い込んでしまい、そもそも何のために企業が個人情報を取り、利用しているのかを見失ってしまうケースも見られるところです。

今回、新16条の2が成立した場合には、そもそも個人情報の「利用」にあたってどのような法的保護がなされるべきか、本質に立ち返った議論が望まれます(新16条の2の文言はかなり抽象的ですので、数々の先行インシデントをふまえた射程の検討が必要ですし、プライバシー権の保護等との関係なども整理されるべきでしょう)。

法改正を機に、企業においてもあらためて、何のために個人情報を取り、利用しているのか、取扱いの見直しが図られることを期待します。