改正個人情報保護法と民間の自主的取組の促進

個人情報保護委員会 事務局
参事官  片岡 秀実氏

 本講演では、前半で令和2年改正個人情報保護法(以下、「改正法」という。)について、後半で民間の自主的取組の促進について説明します。

改正個人情報保護法について

改正法の概要

 本日は、多岐にわたる改正項目のうち、①利用停止・消去等の請求権の強化、②漏えい等報告の義務化、③仮名加工情報の創設、④個人関連情報の第三者提供の規制強化、⑤越境移転に係る情報提供の充実、に絞り、政令・規則案の策定、ガイドラインの検討内容も織り込みつつ、説明します。

図1.改正法の概要

図1.改正法の概要

改正法の内容

(1)利用停止・消去等の個人の請求権
 現行では、利用停止・消去ができるのは、目的外利用、不正取得の場合に限定され、第三者提供の停止ができるのは、第三者提供義務違反の場合に限定されていますが、改正後は、①利用する必要がなくなった場合、②重大な漏えい等が発生した場合、③本人の権利又は正当な利益が害されるおそれがある場合、にも拡充しました。

 本人から利用停止等の請求があった場合、①利用停止等の請求の要件を満たすかどうかを判断し、②利用停止等の請求の要件を満たす場合は、「本人の権利利益の侵害を防止するために必要な限度で」利用停止等を行い、③利用停止等を行うことが困難な場合は、代替措置で対処することも認められます。

(2)漏えい等報告の義務化
 漏えい等が発生し個人の権利利益を害するおそれが大きい場合、個人情報保護委員会(以下、「委員会」という。)への報告および本人への通知を義務化することとしました。

 要配慮個人情報の漏えい、不正アクセスによる漏えい、財産的被害のおそれがある漏えいについては、件数にかかわりなく報告対象となります。また、これらの類型に該当しない場合でも、1,000件を超える大規模な漏えい等については、事業者の安全管理措置の観点から問題があるものと考えられるため、委員会への報告対象となります。

 委員会への報告について、「速報」では、明確な時間的制限を設けず、報告内容を一定程度限定した上で、「速やか」に報告することを求めることとし、確報では、原因や再発防止策等の報告を求める必要もありますので、原則として30日以内、不正アクセス等の場合は60日以内に報告を求めることとします。

 漏えい等報告の義務化されている事案では、本人に対する通知の必要があります。ただし、本人への通知が困難である場合には、代替措置を講じれば、不要となります。

(3)仮名加工情報の創設
 イノベーションを促進する観点から、「仮名加工情報」を創設することとしました。

 「個人情報」に該当するものは一律に個人情報の取扱いに係る規律の対象となりますが、「仮名加工情報」として加工した場合、あくまで本人を識別しない、内部での分析・利用が条件となりますが、①利用目的の変更の制限については、新たな目的で利用可能であり、②漏えい等の報告等の義務の適用除外、③開示・利用停止等の請求対応の義務も適用除外となります。

図2.仮名加工情報の創設

図2.仮名加工情報の創設

 仮名加工情報の作成にあたっては、①特定の個人を識別することができる記述等の全部又は一部を削除すること、②個人識別符号の全部を削除すること、③不正に利用されることにより財産的被害が生じるおそれのある記述等を削除することが求められます。氏名と仮IDの対照表などの削除情報等を使って個人情報を復元することは禁止しています。

 仮名加工情報のメリットを活かした利活用の事例として、医療・製薬分野等における研究、不正検知・売上予測等の機械学習モデルの学習等での利用が想定されるほか、利用目的を達成した個人情報について、将来的に統計分析に利用する可能性があるため仮名加工情報として加工した上で保管する、といった利用も考えられます。

 平成27年の法改正で匿名加工情報を導入しましたが、仮名加工情報は、個人情報と匿名加工情報の中間的規律と言えるものです。必要な加工のレベルについて、匿名加工情報は、本人が一切わからない程度まで加工することが求められますが、仮名加工情報は、対照表と照合すれば本人がわかる程度まで加工することで足りるとしています。仮名加工情報は、匿名加工情報より簡便な加工方法であり、また削除する情報量がより少なく済まされます。このような加工のレベルの差に伴い、匿名加工情報は、本人同意のない第三者提供が可能ですが、仮名加工情報は、第三者提供は原則禁止することとします。なお、仮名加工情報について、委託・共同利用は可能としています。

(4)個人関連情報の第三者提供規制
 個人関連情報の第三者提供規制として、提供元では個人データに該当しないものの提供先において個人データとなることが想定される情報の第三者提供について、本人同意が得られていること等の確認を義務付けることとしました。

 個人関連情報は、「生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないもの」と定義され、例えば、氏名と結びついていないインターネットの閲覧履歴、位置情報、クッキーなどが含まれ得ます。個人関連情報には、クッキーも含まれ得ますが、個人関連情報の第三者提供時の本人同意の確認義務は、提供先で個人データとなることが想定される場合のみで、クッキー全てを規制対象とするものではありません。

(5)越境移転に係る情報提供の充実
 移転元となる事業者に対して、本人の同意を根拠に移転する場合、同意取得時に、移転先国の名称、移転先国における個人情報の保護に関する制度の有無等について本人に情報提供することとし、また、基準に適合する体制を整備した事業者に移転する場合、移転先事業者の取扱い状況の定期的な確認と、本人の求めに応じて関連情報を提供することとしました。

 委員会では、外国の個人情報保護制度について、事業者の参考となるような情報を公表する予定です。

今後の予定

 政令案と規則については、3月頃の公布を目指しており、この間、ガイドラインについて、議論を進めています。改正法は公布日から2年以内に施行することとされており、現在のところ、令和4年4月1日の施行を予定しています。

民間の自主的取組の促進

ガイドライン(認定個人情報保護団体編)の策定

 個人情報保護法は、個人情報を取り扱う全ての民間部門に適用される法律ですので、汎用的な規律のみを規定しています。そのため、業界や事業分野の特性に応じた個人情報の適切な取扱いが確保されるためには、民間において自主的な取組が行われることが望ましいと考えています。認定団体制度は、こうした考え方に沿って、認定制度を設けることにより、業務の信頼性を確保し、民間団体による個人情報の保護の推進を図ろうとするものです。

 今回、認定団体向けにガイドラインを新設することとした背景を図3に示します。

図3.認定団体制度の現状

図3.認定団体制度の現状

 これまで、認定団体において期待される具体的な業務や活動の指針等を示したガイドラインは存在していませんでしたが、法改正を機に、苦情処理、情報提供、適正な取扱いの確保に関し必要な業務、個人情報保護指針について、認定団体としての在り方、望ましいと思われる取組をわかりやすく具体的に示すガイドラインを策定することとしました。個人情報保護指針については、単に法令の内容を落とし込むのみならず、事業分野等の実態に応じた自主ルールとして、細目や事例を盛り込んでいただきたいと思います。

 新設する認定団体制度として、企業の特定分野(部門)を対象とする団体を認定できるようにすることとしました。個人情報を用いた業務実態の多様化やIT技術の進展から、このような制度についてのニーズは益々増えてくるものと考えています。

PIAと個人データの取扱いに関する責任者

(1) PIAの推奨
 PIAは欧米において先行して実施されており、GDPRにはPIAに相当するDPIAが規定されています。日本では今年1月20日にJIS X 9251:2021「情報技術—セキュリティ技術—プライバシー影響評価のためのガイドライン」が発行されました。

 委員会としては、PIAについて、有用な手段であると評価する一方で、現時点において、評価の項目や手法等を規定して義務化することは、民間の自主的な取組を阻害するおそれがあると考えています。委員会では、現在、民間の自主的な取組を促すための方策について検討しています。

(2)個人データの取扱いに関する責任者の推奨
 個人データの取扱いに関する責任者の設置については、体制整備の一環として、部署横断的・専門的な立場から各部署・従業員の指導・監督等を行うことは有効であると評価する一方で、その要件や業務等を規定して義務化することは、民間の自主的な取組を阻害するおそれがあると考えています。このため、委員会では、民間の自主的な取組を促進するための方策について検討していきたいと考えています。

最後に

 個人情報保護委員会は、来る3月16日に「認定個人情報保護団体シンポジウム」をオンラインで開催します。認定団体個人情報保護制度についての説明、共同規制の国際動向に関する講演、個人情報の保護と利活用について事業者がとるべき対応に関する対談、民間の自主ルールとPIAに関するパネルディスカッションを予定していますので、ぜひご参加ください。

以上


個人情報保護委員会 事務局
参事官  片岡 秀実氏


1989年日本銀行入行、国債決済制度の企画立案(業務局国債業務企画グループ長、国債業務課長)、コンプライアンス・事務リスク管理などに従事。2019年より現職。認定個人情報保護団体制度、改正法施行準備を担当。