令和6年個人情報保護法施行規則・ガイドライン一部改正について

「個人情報の保護に関する法律施行規則の一部を改正する規則」その他ガイドラインの一部を改正する告示が令和年12月27日に公布されました。改正規則・ガイドラインは2024年4月1日に施行されることとなります。
本稿では、当該改正規則及び告示の内容を確認していきたいと思います。

ポイント

改正案骨子

1．漏えい等報告・安全管理措置の対象拡大
2．越境移転時の法制度の確認・情報提供におけるOECD「民間部門が保有する個人データに対するガバメントアクセスに関する宣言」の参照

改正案概要

法律案名	個人情報の保護に関する法律施行規則の一部を改正する規則（個人情報保護委員会規則第５号） 個人情報の保護に関する法律についてのガイドライン（通則編）の一部を改正する告示（個人情報保護委員会告示第７号） 個人情報の保護に関する法律についてのガイドライン（第三者提供時の確認・記録義務編）の一部を改正する告示（個人情報保護委員会告示第９号） 個人情報の保護に関する法律についてのガイドライン（外国にある第三者への提供編）の一部を改正する告示（個人情報保護委員会告示第８号）
交付日	2023年6月12日
施行日	2024年4月1日

解説

漏えい等報告・安全管理措置の対象拡大

漏えい等報告とは

個人情報保護法は、個人データの漏えい等について、一定の場合に、個人情報取扱事業者に対し、個人情報保護委員会に対する報告及び本人への通知を義務付けています（法26条1項）。
具体的に、どのような場合に報告および通知が必要となるか（いわゆる報告対象事態）については、個人情報保護法施行規則7条に定められており、例えば、要配慮個人情報が含まれる個人データや、不正の目的をもって行われた恐れのある個人データの漏えいが挙げられています。

安全管理措置とは

個人情報保護法は、個人情報取扱事業者に対し、個人データの漏えい等の防止その他の個人データの安全管理のため、必要かつ適切な措置を講じることを義務付けており、これを安全管理措置といいます（法23条）。
具体的には、個人データの取扱いに係る規律の整備や、組織体制の整備、従業者に対する研修、個人データを取り扱う区域の管理や機器の盗難防止、アクセス制御等が想定されています。

個人データとは

個人情報保護法は、個人データの漏えい等報告（26条1項）及び安全管理措置（23条）について、個人情報ではなく、「個人データ」をその対象としています。
個人情報とは、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの等をいう（2条1項）のに対し、個人データとは、個人情報データベース等を構成する個人情報をいうとされ（16条3項）、「個人情報データベース等」については、以下のように定義されています。

法第16条（第1項）
この章及び第8章において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるもの（利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものを除く。）をいう。
(1)特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
(2)前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの

具体的には、特定の個人情報をコンピュータを用いて検索することができるように体系的に構成した、個人情報を含む情報の集合物が想定されていますが、コンピュータを用いていない場合であっても、紙面で処理した個人情報を一定の規則（例えば、五十音順等）に従って整理・分類し、特定の個人情報を容易に検索することができるよう、目次、索引、符号等を付し、他人によっても容易に検索可能な状態に置いているものも該当するものとされています（、個人情報の保護に関する法律についてのガイドライン（通則編）（平成 28 年個人情報保護委員会告示第６号。以下「通則ガイドライン」といいます。２－４）。

Webスキミングによる情報流出

近時、オンラインのウェブサイト（特にECサイト）において、ログインフォーム等の入力フォームから直接個人情報を摂取するいわゆるWebスキミングと言われる方法による個人情報の窃取被害が生じています。
この手法による個人情報の窃取は、個人情報単体を、事業者の個人情報データベース等に組み込まれる前に行われてしまうものですので、窃取された個人情報は、「個人データ」には該当していないということになり、漏えい等報告及び安全管理措置の対象とならないと考えられます。

報告対象事態（不正の目的）（規則7条）の見直し

(1)　 報告対象事態（不正の目的）の拡大
いわゆるWebスキミング等の、個人データを構成する前の個人情報を悪意をもって窃取される漏えい形態についても、報告等の対象とすることが望ましいと考えられたことから、今回の規則改正により、報告対象事態のうち、不正の目的をもって行われたおそれがある漏えい等について、下線部を追記する改正が行われました。

不正の目的をもって行われたおそれがある当該個人情報取扱事業者に対する行為 による個人データ（当該個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、個人データとして取り扱われることが予定されているものを含む。） の漏えい等が発生し、又は発生したおそれがある事態

これにより、個人情報データベースに組み込まれる前のいわゆる散在情報の段階の個人情報についても、個人データとして取り扱われることが予定されているものについては、それが不正の目的の行為により漏えい等した場合には、報告対象事態に該当することとなります。
なお、当該個人情報取扱事業者が「取得しようとしている個人情報」に該当するかどうかは、個人情報の取得手段等を考慮して客観的に判断するとされています（通則ガイドライン３－５－３－１）。

(2)　委託先・サービス提供者において漏えい等が発生した場合
不正行為の相手方である「当該個人情報取扱事業者」には、①当該個人情報取扱事業者が第三者に個人データの取扱いを委託している場合における当該第三者（委託先）、及び②当該個人情報取扱事業者が個人データを取り扱うに当たって第三者の提供するサービスを利用している場合における当該第三者も含まれる旨が追記されています。具体的には、業務委託先のフォームに攻撃があった場合等を想定しているものと考えられます。

(3)「個人データとして取り扱われることが予定されている」場合
「個人データとして取り扱われることが予定されているもの」に該当するかどうかは、本件改正のパブリックコメントに対する回答（以下、「パブコメ回答」といいます。）において、漏えい等又はそのおそれが発生した時点を基準として、個別の事案に応じて判断する必要がある、とされています（パブコメ回答16）。
この点につき、ガイドラインは、個人情報データベース等への入力等を予定していれば、最終的に統計情報への加工を行うことを予定している場合等であっても、「個人データとして取り扱われることが予定されている」に該当するとしています（ガイドライン通則編3‐5‐3‐1）。統計データに加工する場合であっても、一旦個人データベースに取り込むことになる場合がほとんどだと思われますので、この点も注意が必要となります。なお、上記の考え方は、最終的に仮名加工情報や匿名加工情報に加工することを想定している場合についても当てはまると考えられます（パブコメ回答52等）

　安全管理措置の対象の拡大

報告対象事態（不正の目的）（規則7条）の見直しと同様に、Webスキミング等に対する安全管理措置を行う必要があると考えられることから、ガイドラインにおいて、法第23条の安全管理措置につき、「個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、当該個人情報取扱事業者が個人データとして取り扱うことを予定しているものの漏えい等を防止するために必要かつ適切な措置も含まれる」旨が明記されました（通則ガイドライン３－４－２）。

２　越境移転時の法制度の確認・情報提供におけるOECD「民間部門が保有する個人データに対するガバメントアクセスに関する宣言」の参照

　外国にある第三者への個人データの提供における法制度の確認・情報提供義務

外国にある第三者への個人データの提供にあたっては、「当該外国における個人情報の保護に関する制度に関する情報」の提供（法第28条第1項及び施行規則第17条第2項）や、定期的な確認（法28条3項、規則18条1項）が求められています。
そして、ガイドライン（外国にある第三者への提供編）は、以下の通り、本人の権利利益に重大な影響を及ぼす可能性のある制度の存在がある場合について、情報提供等の対象とすべきとしています（個人情報の保護に関する法律についてのガイドライン（外国にある第三者への提供編５－２）。

提供先の第三者が所在する外国において、我が国の制度と比較して、本人の権利利益に重大な影響を及ぼす可能性のある制度が存在する場合には、当該制度の存在について本人に情報提供しなければならない。

そのうえで、本人の権利利益に重大な影響を及ぼす可能性のある制度に該当する事例として、「事業者に対し、政府の情報収集活動への広範な協力義務を課すことにより、事業者が保有している個人情報について、政府による広範な情報収集が可能となる制度」（いわゆるガバメントアクセス）を挙げています。

「民間部門が保有する個人データに対するガバメントアクセスに関する宣言」の参照

ガバメントアクセスについては、令和４年12月に開催されたOECDデジタル経済政策委員会閣僚会合において、「民間部門が保有する個人データに対するガバメントアクセスに関する宣言」が採択されています。この宣言は、民間部門が保有する個人データへのガバメントアクセスにつき、①法的根拠、②正当な目的、③承認、④データの取扱い、⑤透明性、⑥監督、⑦救済の７つの原則を宣言するものです。
そこで、今回のガイドライン改正において、ガバメントアクセスが本人の権利利益に重大な影響を及ぼす可能性を事業者が判断するにあたり、同宣言を参照することが考えられる旨が追記されました。今後は、本人への情報提供にあたり、上記OECD原則に照らして、提供先の外国におけるガバメントアクセスが本人の権利利益に重大な影響を及ぼすかどうかを判断していくこととなります。

コメント

漏えい等報告・安全管理措置の対象拡大については、実務上、漏えい等の発生時のマニュアル等を修正する必要や、安全管理措置の見直しが必要となる可能性があると考えられますので、見落としがないよう注意したいところです。

本記事に関するお問い合わせはこちらから。

（文責・秦野）