一般財団法人日本情報経済社会推進協会

ナビゲーションをスキップ

EN

お問い合わせ

2020.07.21

レポート

「非法務部門のための改正個人情報保護法の実務対応ポイント」

牛島総合法律事務所
弁護士  影島 広泰氏

今回の改正個人情報保護法は、個人情報保護委員会が現在公表しているスケジュールでは、2020年7~8月に基本的な考え方が示され、政令・規則は翌2021年1~2月のパブコメを経て3~5月に公布、ガイドライン等は6~7月に公表され、2022年春頃に施行となる予定です。改正内容は、個人情報の取扱いに関する1)取得、2)利用、3)保管、4)提供、5)開示等のうち、3)保管以外の部分に特に大きな変化があります。

改正部分の具体的な対応についてはガイドラインの公表を待つことになりますが、今回は、特に広報やWeb運用、システム開発等実務を担当される方にとって大きな影響があり、今後のガイドライン等の内容を注目した方がよいと思われる5つのポイントを中心に解説します。

不適切な利用の禁止と「処理の方法」の公表

不適正な利用の禁止

現行法では、個人情報取扱事業者の義務の中に、不正な手段により個人情報を「取得」してはならない(第17条)ことは規定されていましたが、不適切な「利用」に関する規定はありませんでした。それが、今回の改正により新たに「違法または不当な行為を助長し、または誘発するおそれがある方法により個人情報を利用してはならない」(第16条の2)と規定されました。これは、2019年3月頃に個人情報保護委員会が問題視した「破産者マップ」のような利用を想定していると言われていますが、「不適正」「適正」という言葉は範囲が不明確なため、ガイドラインにどこまで記載されるかは重要なポイントとなります。企業内で新たに個人情報の利用を開始しようとする場合、これまで検討していた「プライバシーポリシーの利用目的の範囲内か」、「同意取得されているか」に加え、「不適正な利用と指摘されないか」という視点も追加する必要があります。その際に、ガイドラインに記載される「不適正とは、適正とは」が実務に大きく影響することが予想されます。

利用目的の公表

利用目的に関しては、現行法第15条で利用目的の特定、第18条で利用目的の通知等、第28条で保有個人データに関する事項の公表を定めており、具体的には第28条の各項目をプライバシーポリシーに記載して対応していますが、今後政令により、

  • 個人情報の取扱い体制や講じている措置の内容
  • 保有個人データの処理の方法等

が公表事項に追加されます。さらに、これまでは個人情報取扱事業者の氏名及び名称を記載していましたが、これに住所並びに法人の場合は代表者氏名を追加することが義務付けられました。これらに対応するためには、プライバシーポリシーを改訂する必要があります。

保有個人データの「処理の方法」の公表

今回の改正で政令に新たに追加されることになっている項目のうち、「保有個人データの処理の方法」の公表は、実務的に影響が大きいと考えています。一般的に考えて、処理の方法を記述するためにはインプットする情報も記載しなければ日本語として成立しないように思いますので、取得する情報をある程度グルーピングし、「こういった情報をこのように処理して、こういう目的で利用します」といった、GDPR対応に近い記載方法を実務的には取ることになる可能性もあります。その際には、各部署・事業で取得している情報や処理方法等を再度棚卸して整理する必要も考えられるので、今後の政令、ガイドラインで確認するポイントとなります。

利用目的の公表 (2)改正大綱と改正法

開示・利用停止等の拡充

短期保有データの扱いと開示方法

開示・利用停止に関しては、これまで政令で対象外と定められていた6か月以内に消去する短期保有データも対象となる点が1つ目のポイントです。また、開示方法は、現行法では書面による開示が原則で、開示請求者が同意した場合はその他の方法でもよいとなっていましたが、改正法では、開示請求者が求める電磁的記録の提供または委員会規則で定める方法による開示が原則となるため、「データでの提供」を求められた場合はデータで提供する必要が出てきます。ただし、請求された方式での開示に多額の費用を要する場合やその他の開示が困難な場合は、書面による交付も認められるため、実務的には、閲覧履歴やコールセンターの音声データ等、この「困難」がガイドラインでどのような場合と例示されるかが重要なポイントとなります。

実務では、最近「私の全情報を開示してください」という請求が増加し、その対応が課題となっています。以前は、本人が全情報の開示を求めた場合、その範囲を本人に特定してもらい、その範囲で開示すればよい、と読める文言だったのが、2018年12月25日に委員会ガイドラインQ&Aが改正され、「本人が開示請求範囲を一部に特定した場合は、その範囲での開示」と改訂されました。このため、「すべての情報を」と請求された場合は、企業は全情報を開示する必要があり、さらに今回の改正でデジタル情報での提供が原則となると、対応に苦慮するケースも多くなると思われます。この点からも、改正法の「困難な場合」がどのような内容となるか、注視していく必要があります。

トレーサビリティ記録の開示

また、今回の改正では、トレーサビリティの記録の開示が新設されました。第三者提供に関する確認記録は、法令上の例外やガイドラインで示されている解釈上の例が多数あり、実務において記録を取っていないケースも多いのですが、今後は開示請求が来た場合に、記録がないこと+記録がないことの正当性を説明する必要が出てくることが予想されます。このため、本来は確認・記録義務があるにも拘わらず手続きが取られていないものがないか、改めて精査しておく必要があると思われます。

利用停止・消去

これまでは、事実でない場合や目的外利用、不適正取得等の法律違反があった場合のみ、本人が訂正や利用停止、削除を求める権利を定めていました。また個人情報取扱事業者に対しては、個人情報が不必要となった際は消去するよう努めること(努力義務)を求めるにとどまっていました。これが今回の改正により、事業者が利用する必要がなくなった場合や漏えい等が発生した場合、本人の権利または正当な利益が害されるおそれがある場合に、利用停止や消去、第三者への提供の停止を求められるようになるため、削除請求が来た場合に対応可能なシステム構築なりを考える必要があります。

改正法のポイント4:利用停止等(改正法)

仮名加工情報

現行法では、特定の個人を識別することができるもの=個人情報、特定の個人を識別しないように加工した個人に関する情報であって復元することができないようにしたもの=匿名加工情報と定義しています。匿名加工情報は、利用や第三者提供する際に本人同意の必要がないという点がビジネス上のポイントです。

一方、今回新設された仮名加工情報は、他の情報と照合しない限り特定の個人を識別することができないものと定義されています。この仮名加工情報を新設した意図を改正大綱からみると、事業者内部における分析に限定し、利用目的の特定・公表を行うことで、本人からの開示・訂正や利用停止等の請求への対応義務を緩和し、社内の分析への活用を促進するための制度であるとされています。

仮名加工情報には、個人情報となるものと非個人情報となるものがあり、社内の個人情報を仮名加工情報にした場合は恐らく個人情報である仮名加工情報としての扱いが必要になるだろうと思われます。その場合の仮名加工情報にするメリットは、現行法15条2項の「利用目的の変更を「関連性ある範囲」に限る」の適用がなくなり、個人情報取得時に本人に通知した目的とはまったく関連性がない分析等にも利用可能となる(ただし変更後の利用目的の「公表」は必要)点です。一方で、仮名加工情報は委託や共同利用は可能ですが、第三者提供することはできないので、第三者提供する際には、1)本人の同意を取った上で個人データとして提供、2)匿名加工情報に加工して含まれる項目や提供方法を公表した上で提供、3)統計情報に加工して提供、のいずれかの方法を取ることになるでしょう。

また、取扱いに際しては匿名加工情報と同様に再識別行為は禁止されていて、本人へのコンタクトのために使用することもできませんが、開示や利用停止・削除の請求の対象外となるため、仮名加工情報として保存・利用することは利用停止・削除等の請求範囲拡大に対する実務における1つのソリューションと考えることができます。

改正法の「仮名加工情報」

個人関連情報

個人関連情報は、改正大綱においてDMP(Data Management Platform)を念頭に、Cookie等の識別子に紐づく個人情報ではないユーザーデータを、提供先の情報と照合すれば個人情報になることを知りながら、非個人情報として同意なく第三者提供する事業形態を規制する必要性があるという問題意識のもとに新設されたものです。

個人情報とは単に名前ということではなく、特定の個人を識別することができる情報すべてです。よく実務の中で、一連の顧客データの中のどの項目が個人情報か?という質問がありますが、1つの情報として保存されている場合はその情報全体が個人情報であり、特定の項目だけが個人情報ということではありません。また顧客コード等で容易に照合できる場合も個人情報という扱いになります。

現行法では、個人情報保護委員会は「容易照合性の有無は提供元が判断する」という考え方を取っており、提供元が持つデータの中で容易照合性があれば、提供先では特定の個人を識別できない場合でも「個人データの提供」と判断されるとしていました。これが、今回の改正で、CookieやDMPの普及により提供元では特定の個人を識別できないデータでも、提供先が持つデータと照合することで個人データになる可能性があるものについて、それを承知しつつ「個人情報ではない」として本人同意がないまま提供することは法の趣旨を潜脱する行為、として規制されることになりました。

新設された「個人関連情報」は、「生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないもの」で、これを第三者提供し、提供先が「個人データとして取得することが想定されるとき」は、提供先が本人から「個人関連情報の提供を受けて本人が識別される個人データとして取得することを認める」旨の同意を得ていることを、提供元が確認する義務が規定されました。

改正法の「個人関連情報」

その他の改正点

その他の変更点としては、以下のような内容です。

(1) オプトアウトによる第三者提供を受けたデータを再度オプトアウトによって第三者提供することを禁止
(2) 情報漏えいが発生した際の個人情報保護委員会への報告の義務化
(3) 外国にある第三者に個人データを本人同意のもと提供する際には、あらかじめ本人に対して個人情報保護に関して提供先国の法制度、提供先第三者が講ずる措置、その他本人が参考となる情報の提供を義務化
(4) 法人両罰規定 委員会の命令への違反、データベース等不正提供財に関しては1億円以下の罰金に大幅引き上げ

(3)に関してはどの程度詳細な情報まで提供する必要があるかは、ガイドラインの公表を待つことになります。また(4)は、社員が自社のデータベースを不正転売した際に企業は1億円以下の罰金刑となるため、社内教育の際にしっかり伝えるべきポイントとなります。


牛島総合法律事務所 弁護士  影島 広泰氏
一橋大学法学部卒業、03年弁護士登録、牛島総合法律事務所入所
自らアプリ開発を行う等ITに精通し、ITシステム・ソフトウェアの開発・運用、個人情報・プライバシー、ネット上のサービスや紛争に関する案件を中心に、企業法務の第一線で活躍。日本経済新聞社「企業が選ぶ弁護士ランキング」データ関連部門1位(2019年12月)選出
【著作】
「不動産テックの課題」(共著・土地総合研究所編、東洋経済新報社)
「法律家・法務担当者のためのIT技術用語辞典」(商事法務)
「改正個人情報保護法と企業実務」(清文社)

本内容は、2020年7月8日に開催された第95回JIPDECセミナー「非法務部門のための改正個人情報保護法の実務対応ポイント」講演内容を取りまとめたものです。