「個人情報の保護に関する法律等の一部を改正する法律案」が令和2年6月5日の国会において可決、成立し、令和2年6月12日に公布されました。改正法の施行は公布後2年以内であり、改正法は2022年6月までには施行されることとなります。
本稿では、今回の改正内容を整理して解説するほか、制度改正大綱(令和元年12月13日) (以下、「大綱」といいます。)を参考に、改正の背景についても触れたいと思います。

ポイント

  改正法案骨子

個人情報の保護に関する法律等の一部を改正する法律(概要)」によると、本改正は下記の6つに分類されています。

1.個人の権利の在り方
2.事業者の守るべき責務の在り方
3.事業者による自主的な取組を促す仕組みの在り方
4.データ利活用に関する施策の在り方
5.ペナルティの在り方
6.法の域外適用・越境移転の在り方

  改正法案概要

法律案名 個人情報の保護に関する法律等の一部を改正する法律案
法律番号 令和2年法律第44号(「個人情報の保護に関する法律等の一部を改正する法律」)
成立日 令和2年6月5日
交付日 令和2年6月12日
施行日 令和4年6月まで(一部を除く。)

なお、今後は政令・規則・ガイドライン等についても整備がなされるほか「個人情報の保護に関する基本方針(平成16年4月2日閣議決定)」についても必要に応じて見直しが検討されています。

解説

  個人情報保護法とは

個人情報保護法は、正式名称を「個人情報の保護に関する法律」といいます。企業や団体における個人情報の取扱いのルールを定めることにより個人の権利利益を守りつつ、その有効活用を図ることを主眼としたもので、情報化社会の急速な進行に伴い、平成 15 年5月に公布され、平成17年4月に施行されました。

   個人情報保護法の見直し

個人情報保護法は、平成27年改正個人情報保護法に設けられた「いわゆる3年ごと見直し」に関する規定(附則第12条)に基づき、3年ごとに見直しが行われることとなっています。
デジタルデータが国境に関わりなく流通する現在の個人情報を取り巻く状況に鑑み、GDPR等の国際的な個人の権利強化の流れに沿った改正が行われるとともに、個人データの利活用によるイノベーションを促進することが、本改正の主眼となっていると言えます。
以下、先に述べた「個人情報の保護に関する法律等の一部を改正する法律(概要)」の分類に沿って解説します。

  1 個人の権利の在り方

個人情報に関する個人の権利を拡張する方向の改正が行われています。
以下、現行法との対比を表に整理したうえで、各改正について解説していきます。

現行法 改正法
(1) 利用停止・消去等の請求権の拡張 ① 目的外利用
② 不適正な取得に請求可能
に請求可能
① 目的外利用
② 不適正な取得
③ 不適正な利用
④ 個人の権利又は正当な利益が害される恐れがある場合
に請求可能
(2) 保有個人データの開示方法のデジタル化 原則書面交付 電磁的記録の提供を含め原則として本人が指定した方法による
※ただし、指定された方法による開示が困難な場合は書面交付
(3)  第三者提供に係る記録についての本人の開示請求権 本人からの開示請求の対象ではない 本人からの開示請求の対象
(4)  短期保存データ(6ヶ月以内に消去されるデータ) 「保有個人データ」に含まれず、開示等の対象外 「保有個人データ」に含まれ、開示等の対象
(5)  オプトアウト規定により第三者に提供できる個人データの範囲 要配慮個人情報のみ除外 要配慮個人情報のほか、
① 不正な手段により取得されたもの
② 他の個人情報取扱事業者からオプトアウトに基づいて提供されたもの
も除外

(1) 利用停止・消去等の個人の請求権の拡張
現行法では、個人情報の利用停止・消去を個人が求めることができるのは、目的外利用(現行法16条違反)、不適正な取得(現行法17条違反)の場合に限られていました(現行法30条1項)。
今回の改正では、これらに加え、新設の16条の2(不適正利用の禁止、下記2(2)にて解説)に違反した場合(改正法30条1項)及び「個人の権利又は正当な利益が害される恐れがある場合」(改正法30条5項)についても、請求が可能となりました。個人の権利利益に配慮し、権利行使ができる要件を緩和した形となります。

(2) 保有個人データの開示方法のデジタル化
現行法では、原則として書面交付となっています(現行法28条2項、同法施行令9条)。
保有個人データに含まれる情報が膨大となるケースもあり、検索性など利用者の便宜の観点からは電磁的記録での交付を選択できる方が望ましいといえます。そこで改正法では、電磁的記録の提供を含め(電磁的記録の提供による方法その他の個人情報保護委員会規則で定める方法による開示、改正法28条1項)、原則として本人が指示できることとなっています(改正法28条2項)。
ただし、開示側にも一定の配慮がなされており、多額の費用を要する場合など、指定された方法による開示が困難な場合は書面での交付によることが可能となっています。

(3) 第三者提供に係る記録についての本人の開示請求権
現行法では、第三者提供記録は監督機関から見たトレーサビリティの確保を目的とするもの(大綱13頁)と位置付けられ、本人からの開示請求の対象ではありません。
しかしながら、流通に係るトレーサビリティの確保も、本人が利用停止権等を行使するうえで必要不可欠な要素である(大綱13頁)ことから、改正法においては、本人からの開示請求の対象となっています(改正法28条5項)。

(4) 短期保存データ
現行法では、6ヶ月以内に消去される短期保存データについては「保有個人データ」に含まれず、開示等の対象外となっています(現行法2条7項、施行令5条)。
しかしながら、短期間で消去されるデータであっても、権利侵害の危険性は低いとは言えないことから、改正法においては6か月以内に消去されるデータも保有個人データに含め、開示等の対象となりました(改正法2条7項)。

(5) オプトアウト規定により第三者に提供できる個人データの範囲を限定
現行法では、オプトアウトに基づいて第三者提供が可能となるデータとして、要配慮個人情報を除外するのみとなっています(法23条2項括弧書き)。
オプトアウト届出事業者によって個人情報が不適切に取得されることがないよう、個人の権利利益を保護する観点(大綱12・13頁)から、改正法においては、不正な手段により取得されたもの及び他の個人情報取扱事業者からオプトアウトに基づいて提供されたものについては、オプトアウトによる第三者提供が不可となりました(改正法23条2項)。また、届出事項の追加もなされています(改正法23条2項各号)。

  2 事業者の守るべき責務の在り方

(1) 漏えい等の報告
現行法においては、漏洩等の報告は努力義務とされていました(個人データの漏えい等の事案が発生した場合等の対応について(平成 29 年個人情報保護委員会告示第1号)
しかし、努力義務とした以上、企業が自主的に公表をしなければ事案の把握は難しくなります。また、努力義務とされることによって、企業側が報告すべきか否かにつき判断に迷うといった側面もありました。GDPRをはじめとして、諸外国の制度を見ても、漏えいの報告は義務とされている場合が多いといえます。
そこで、改正法においては、漏えい等が発生し、個人の権利利益を害するおそれがある場合に、委員会への報告及び本人への通知を義務化しています(改正法22条の2)。
なお、どのような場合に「個人の権利利益を害するおそれがある場合」にあたるかについては、個人情報保護員会規則で定めることとされており、一定の類型に該当する場合につき、期限までに委員会へ報告することを義務付けるものとみられます。

(2) 不適正な方法による利用の禁止
今回の改正で、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない旨が明確化されました(改正法16条の2)。違法でなくても個人の権利利益の保護の観点から看過できない方法で利用される事例があるためです(大綱16頁)。

  3 事業者による自主的な取り組みを促す仕組みの在り方

認定個人情報保護団体制度について、現行制度においては特定の事業のみを対象として認定を行うことはできませんでした。
しかし、業種横断的に特定の事業を対象に活動する団体による専門性を生かした個人情報の保護のための取組も望まれることから(大綱17頁)、今回の改正により、特定の事業活動に限定した活動を行う団体を認定できるようになりました(改正法47条2項)。

  4 データ利活用に関する施策の在り方

     (1) 仮名加工情報の新設

データの利活用のための新たな手段として、新たに「仮名加工情報」(改正法2条9項)の制度が新設されました。

ア 定義・背景
「仮名加工情報」とは、個人情報に対しそこに含まれる氏名を削除するなどのいわゆる「仮名化措置」を講じることにより得られる情報であって、他の情報と照合しない限り特定の個人を識別することができないものをいいます。
個人の権利利益を保護する強い要請がある一方で、例えばビッグデータを有効に活用することは産業の発展に大きく寄与します。この点、現行法では匿名加工情報の制度が設けられていますが、要求される加工水準が厳しく、活用が進みませんでした。
かかる状況に鑑み、匿名化よりもより緩やかな仮名化を法制度として導入し、企業内部でのデータの分析・利活用を一定程度許容することにより、安全性を確保しつつデータとしての有用性を保つことができ、イノベーションの促進につながることが期待されています(大綱21頁)。

イ 匿名加工情報(現行法2条9項・改正法2条11項)との違い
匿名加工情報と仮名加工情報は、いずれも個人情報に含まれる記述の一部等を削除・置き換え等することによって得られるという点では共通です。
もっとも、仮名加工情報の場合はほかの情報と照合すれば個人を識別できる程度の加工も許容され、個人情報を復元可能であってもよいという点において異なります。
匿名加工情報は、元の個人情報に対して不可逆的な加工を施すものであるのに対し、仮名加工情報における加工は可逆的であり、個人情報としての性質を失わないものも含まれるため、仮名加工情報については、ウの通り個人の権利利益に配慮した規制がなされているといえます。

ウ 仮名加工情報に対する規制
(ア)概観
仮名加工情報は他の情報と照合して個人を識別できるものも含まれることから、個人情報としての性質を持つものも含まれます。そのため、改正法は仮名加工情報を「個人情報である仮名加工情報」と「個人情報でない仮名加工情報」に分けて規制を設けています(詳細は下記の表のとおりです)。

(イ)仮名加工情報特有の規制

仮名加工情報の制度は個人の権利利益への侵害リスクを逓減しつつ組織内部におけるデータ利活用の自由度を高めることに主眼があるといえます。そのため、個人の権利利益への侵害を避ける観点から、第三者提供など内部利用にとどまらない場面においては、共通して厳しい規制が設けられています(下記表⑥)。また、ほかの情報との照合を行うことの禁止(下記⑨)や仮名加工情報を連絡先としての利用する行為の禁止(⑩)など、他の情報と照合することにより個人の特定が可能であり、復元可能性があるという仮名加工情報の特性に配慮した規制が設けられています。

(ウ)個人情報である仮名加工情報
個人情報としての性質を有する以上、原則として個人情報に関する規制が適用されます。
もっとも、データ利活用の自由度を高めるという観点から、利用目的規制(下記表①)については、比較的緩やかなものとなっています。
すなわち、利用目的に必要な範囲を超えた取り扱いは禁止されているものの(改正法35条の2第3項)、利用目的の変更制限(15条2項)の適用は除外されることから、改正法35条の2第4項に従い変更後の利用目的を公表さえすれば、本人の同意を得ることなく利用目的を自由に変更することは可能となっています。これにより、仮名化措置を経ることによって取得時の目的とは異なる目的においてデータを活用することができます。
また、仮名加工情報は、それ単体では個人を識別できないような形に加工されていることから、個人からの権利行使については個人情報一般よりも制限されています(同条第9項)(下記表⑦)。

(エ)個人情報でない仮名加工情報
改正法は、個人情報でない仮名加工情報について、個人情報ではないにもかかわらず、上述のとおり第三者提供に関する規制を設けているほか、漏えいを防ぐための規制等について一部個人情報に関する規定を準用しています(下記表③、④及び⑧)。

原則(個人情報・個人データの場合) 個人情報である仮名加工情報 個人情報でない仮名加工情報
利用目的 利用目的の特定(15条1項)

利用目的の変更制限(15条2項)

 

15条2項について適用除外(35条の2第9項)

 

 

なし

 

利用目的の達成に必要な範囲を超えた取り扱いは禁止(16条)

例外:本人同意の場合など

利用目的の達成に必要な範囲を超えた取り扱いは禁止(35条の2第3項)

例外:法令に基づく場合のみ

なし
内容の正確性・最新性を保持する義務及び不必要な情報を削除する義務(19条) 不必要な情報の削除義務のみ(同条第5項)

 

なし
安全管理措置(20条)

※個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じる義務

適用あり

 

20条の「漏えい、滅失又は毀損の防止」を「漏えいの防止」と読み替えたうえで適用(35条の3第3項)
削除情報等の安全管理のための措置(35条の2第2項)
従業者の監督義務・委託先の監督義務(21条・22条) 特に除外規定はなく、通常の個人情報と同様、義務付けられている 準用(35条の3第3項)
漏洩等の報告等(22条の2) 適用除外(35条の2第9項) なし
第三者提供規制(23条)

 

原則:禁止

例外:本人の同意を得た場合、法令に基づく場合など

原則:禁止

例外:法令に基づく場合(35条の2第6項、35条の3第1項)

委託・合併等による提供の場合(23条5項1号・2号)

→第三者提供に該当しない

第三者提供に該当しない

 

共同利用の場合(23条5項3号・23条6項)

→第三者提供に該当しない

第三者提供に該当しない

ただし、23条6項の義務については、本人通知ではなく、公表に拠る必要あり(35条の2第6項、35条の3第2項)

公表、開示、訂正、利用停止、理由の説明、開示等の請求、手数料、事前の請求(27条から34条) 適用除外(35条の2条第9項)

 

なし
苦情処理 (35条) 適用あり 準用(35条の3第3項)
ほかの情報との照合禁止(35条の2第7項、35条の3第3項)
連絡先としての利用禁止(35条の2第8項、35条の3第3項)

     (2)「個人関連情報」の第三者提供に関する本人同意

改正法は、新たに「個人関連情報」(改正法26条の2)というカテゴリーを設けています。
個人関連情報とは、生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものを指します(26条の2柱書)。
現行法においては、第三者提供の際に提供されるデータが個人データにあたるか否かは、提供元において判断されるものと理解されていました。
しかしながら、特にCookie等の識別子及びこれに紐づく個人情報ではないデータを、提供先で他のデータと突合することにより個人が特定できることを知りつつ提供する場合においても、提供元において個人データでないことを理由として、第三者提供規制(23条)が不要とされている実態が生じており、かかる状況は個人情報保護の観点からは好ましくないものです。
そこで、今回の改正により、個人関連情報について、これをデータベース化して提供した先が個人データとして取得することが想定されるときは、第三者提供にあたり提供元が提供先における本人同意の取得の確認を行うことが必要となりました(改正法26条の2)。
    5 ペナルティの在り方

個人事業取扱事業者に対するペナルティについて、現行法においては最大でも83条に定める不正利用の場合の1年以下の懲役又は50万円以下の罰金となっています。また、法人に対しては両罰規定が設けられておりますが、法人に対して特段重い刑罰は貸せられていませんでした。
しかしながら、GDPRなどにおいては多額のペナルティが課せられることと比較すると甘いペナルティであり、実効性が担保できていないのではないかとの議論がなされ、以下のとおり改正が行われました。
特に注目すべきは法人に係る重科の導入であり、個人情報を取り扱う事業者としてはより慎重な取扱いが求められることとなります。
個人情報取扱事業者が対象となる罰則について、具体的には下表のとおりです。

現行法 改正法
個人 ①個人情報保護委員会の命令に対する違反 6月以下の懲役又は30万円以下の罰金(現行法84条) 1年以下の懲役又は100万円以下の罰金(改正法83条)
②従業者の不正利用 1年以下の懲役又は50万円以下の罰金(現行法83条) 1年以下の懲役又は50万円以下の罰金(改正法84条)
③個人情報保護委員会に対する虚偽報告等 30万円以下の罰金(現行法85条) 50万円以下の罰金(改正85条)
法人 個人と同額の罰金(①③につき30万円以下の、②につき50万円以下の罰金)(現行法87条1項) ①②につき1億円以下の、③について50万円以下の罰金(新設)(改正法87条1項)

 

    6 法の域外適用・越境移転の在り方

日本国内にある者に係る個人情報等を取り扱う外国事業者についても、罰則によって担保された報告徴収・命令の対象となりました(改正法75条)。
外国所在の移転先事業者へ個人データを提供する際に、移転先事業者における個人情報の取扱いに関して、本人の同意に基づいてこれを行う場合には、かかる外国の個人情報保護制度などにつき、本人への情報提供を行うものとしました(24条2項)。また、本人の同意に基づかずに行う場合には、当該第三者による相当措置の継続的な実施を確保するために必要な措置を講ずるとともに、本人の求めに応じて当該必要な措置に関する情報を当該本人に提供しなければならないとされています(24条3項)。

  コメント

本改正は、GDPRなどの国際的な潮流に配慮してデータの主体である本人の権利利益の保護に焦点をあてるとともに、仮名加工情報の導入などにより、データの利活用の幅を広げることを意図した改正となっています。データの移動には国境がなく、今後も国際的な個人情報保護強化の流れが続くものと予想されます。個人情報を扱う企業としては、よりデータの主体にとってより透明性のある取扱いを意識していく必要があります。

本記事に関するお問い合わせはこちらから

(文責・秦野)