非法務部門が知っておきたい改正個人情報保護法の実務対応ポイント

牛島総合法律事務所
弁護士 影島 広泰氏

 今回の個人情報保護法改正ポイントは、これまで以上に実務で何を行っているかを把握したうえで対応することが重要となるため、法務・管理部門の方々が社内で何をどのように周知徹底していく必要があるか、実際の実務の現場の方々が間違いやすいポイント等も含めて、解説します。

 現時点ではまだパブリックコメントの結果を受けたガイドラインが公表されていませんが、7月28日に個人情報保護委員会でパブコメ結果に関する議論が行われたので、まもなく公表されると思われます
 (編注:セミナー後、2021年8月2日に公表されました

個人情報の「利用」についての規制強化

 今回の改正で実務に大きく関わる内容として、まず利用についての規制強化が挙げられます。個人情報の利用に関するポイントは3点あります。それぞれについて、現行法と比較しながら変更点を確認していきたいと思います。

不適正な利用の禁止

 現行法では、基本理念として「適正利用が図られなければならない」としています(3条)。しかし、不適正な取得に関する条文(17条)はあったものの、取得した個人情報をどのように取り扱うべきか、という利用の中身に関する規制はこれまで条文上ではありませんでした。これに関して、今回16条の2が新設され、「違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない」と明文化されました。

 私は、これは非常に重要な条文だと考えています。法律上の話に限定すれば、これまでは利用方法、つまり利用目的そのものが適正かどうかは問われていませんでした。したがって、実務部門から「個人情報をこのように取り扱いたいが個人情報保護法に違反しないか」と問い合わせがあった際は、プライバシーポリシー等で通知等した利用目的の範囲内かどうかを形式的に確認すればよかったのですが、今後は、利用目的が適正かどうかを実質的に検討し判断しなければならない、ということです。

 具体的に何が「違法又は不当な行為を助長、又は誘発するおそれがある方法」に当たるのかは、ガイドラインを待つことになります。現時点のガイドライン案では、
・法令違反
・社会通念上適正とは認められない行為
として、法令違反は明らかですが社会通念上適正と認められない行為は概念として非常に広くなっています。第三者提供する際に提供先が違反することが予見される場合や、採用選考で個人情報を取得した事業者が、性別、国籍などの属性のみで差別的対応をする場合のように、本来であれば別の規制の違反となるような事柄が、個人情報保護法違反にもなるということが想定されます。

利用目的の特定

 現行法15条では「利用目的はできる限り特定しなければならない」とあり、現行ガイドラインでも「本人から見て最終的にどういう事業に使われるかが想定できる程度に特定する」とされていますが、抽象的で徹底されていないケースがあるという問題意識から、今回の改正法ガイドライン案ではより具体的に特定することが求められています。法律論として解釈は変わっていませんが、具体例で閲覧履歴のトラッキングによるプロファイリング等に関する対応が明記され、実務の改正法対応に大きな影響を与える点だと思われます。

 これにより、今までの利用目的の記載内容では特定が不十分となるケースが出てきます。本人が想定できないと思われる目的(閲覧履歴や購買履歴等の情報を分析してターゲティング広告を行う等)に関しては、これまでのような「お客様の個人情報は広告配信のために利用します」という特定ではダメで、インプットする情報を特定したうえで利用目的を特定し記載する必要があるということです。これは、多くの企業で対応が必要になる部分なので、2022年3月31日までに一度社内で取り扱っている情報の棚卸を行い、プロファイリング的なことを行っているか、何の情報をインプットしているか、等によりグルーピングしたうえで利用目的を記載するよう、見直す必要があります。

利用目的の特定と通知等

保有個人データに関する公表事項の追加

 これまでプライバシーポリシーに記載していた公表事項に加えて、今回の改正法により、
・取扱い事業者の住所および代表者名
・安全管理措置のために講じた措置
を新たに記載する必要があります。

 安全管理措置のために講じた措置は、支障を及ぼさない範囲で体制や方法を記載すればよいのですが、個人データを外国で保管している場合、保管している国名を特定する必要があり、さらにその国における制度に関する情報を本人が知り得る状態に置くことが望ましいとされているため、実務的に重要なポイントとなります。

開示請求・利用停止請求等の強化

 個人の権利拡充に関する部分については、4点改正点があります。

短期保有データの除外の廃止

 これまで保有期間が6カ月以内の場合は保有個人データの対象外でしたが、今回で対象除外とする記載が削除されます。このため、例えば、プレゼントキャンペーンやシステムログのような、短期で消去することを前提に運用しているものも、今後は開示や利用停止の請求対象となることを留意する必要があります。

開示のデジタル化

 これまでは、開示請求に対しては書面による開示が原則となっていましたが、今後は、本人が開示方法を指定できるようになりました。ただし、開示にあたって多額の費用が発生する場合などは書面の開示でもよいとなっていますが、その場合は、その旨を本人に通知する必要があります。

 2018年12月に個人情報保護委員会ガイドラインQ&Aが改正され、「私の全情報を開示してください」と請求があった場合、「どれですか?」という質問に本人が応じた場合は特定した範囲でよいが、そうでない場合は基本的に全情報を開示する必要があることが明確になりました。これを念頭に、今回の開示のデジタル化への対応を考え、ルールの見直しを行う必要があります。

トレーサビリティのための記録の開示

 前回の改正で、個人データを第三者提供する場合はいつ、誰に提供したか等を記録する義務が定められましたが、今回の改正で、その記録自体も開示の対象であることが明確になっています。

利用停止等

 権利拡充の部分で一番実務に影響が大きいと思われるのが、利用停止等に関する部分です。個人情報保護法という法律上は、取得時に同意を必須としておらず、本人からの広い意味での「削除権」も存在しません。その上で、現行法では、保有個人データの内容が事実でない場合は訂正、追加、削除ができる、目的外利用や適性取得違反の場合は利用の停止・消去ができる、同意なく第三者提供を行っている場合は第三者提供の停止ができるとしています。これに加え、今回の改正で、不適正な利用を行っている場合も利用停止請求ができるようになりました。

 さらに、
・利用する必要がなくなった場合
・漏えい等があった場合
・その他本人の権利または正当な利益が害されるおそれがある場合
についても、利用停止等の請求が可能となりました。これは日本の個人情報保護法にとっては大きな改正で、ある意味、広い意味での削除権が新設されたと捉えることもできます。

 上記の「正当」とは、関係性の中で決まるものです。請求があったら何でもすべて対応しなければならない、ということではなく、今後は、自社の利益と本人の権利利益の保護の必要性のバランスも考えて、正当かどうかを判断し、対応を行わなければならないので、影響が大きいと思われます。

Cookie等に紐づけされた情報のやりとりの規制強化

現行法における整理

 現行法では、個人データを第三者に提供する際は同意が必要、ただし委託や共同利用の場合等は不要となっていますが、実際に実務でデータを他の会社に渡す際に、このケースは同意がいるかどうか迷われるケースがよくあります。

 同意がいるか、いらないかを判断する基準は大きく2つあります。

 1つ目は、そもそも、個人データを提供しているかどうか、です。クラウドサービス提供事業者が当該個人データを取り扱わないことが契約条項に盛り込まれており、適切にアクセス制御も行われている場合等は、そもそも個人データを提供したことにはなりません。提供していない場合には、同意も不要です。

 もう1つは、提供元の「利用目的の達成に必要な範囲内」での利用であるかどうか、です。提供先の目的のために使うのであれば第三者提供、あくまでも提供元の目的のためだけに使うのであれば、委託と考えるのが大原則となります。

 ただし、DMPのように複数事業者から預かったデータを区別せずに混ぜて取り扱った場合や、区別して取り扱っていても本人ごとに突合した場合は委託とは認められません。このあたりは非常に厳しくなっています。

改正法の「個人関連情報」

 今回の改正で、個人関連情報という概念が新たに加わりました。

 個人データを第三者提供する場合、個人データの容易照合性は提供元が基準となります。提供先で特定の個人を識別できない状態だとしても、提供元では容易に照合できて特定の個人を識別できる状況にあれば、それは個人データの提供となるため、第三者提供の同意が必要になります。

 これに対し、パブリックDMPが分析した結果そのものは個人データには当たらないのが通常です。ところが、それを購入した企業がパブリックDMPのIDと自社IDを突合すると個人情報になる場合、つまり、提供元では個人情報ではないが、提供先で個人情報となるようなケースが多く出てきています。

 これを規制するために、「個人関連情報」という概念が作られました。上記の例では、パブリックDMPが持つ情報が「個人関連情報」となります。個人関連情報の範囲は、「生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないもの」と非常に広いです。

 個人関連情報を提供する場合は、個人データの第三者提供とは異なり、提供先が本人から「個人関連情報の提供を受けて本人が識別される個人データとして取得することを認める」ことに関して同意を得る義務があり、提供元はそれを確認する義務があります。つまり、DMPサービスを利用する場合、ベンダーからみなさんの会社が同意を取っているかどうか確認される立場になるということです。

 ここが、利用目的の特定の説明をした際の「何をインプットして」に関連してくるところで、今後は他からのデータも利用する場合は、単に「広告目的(採用目的)で利用します」と書くだけではダメだという理由です。閲覧中のWebサイトがどのようなCookieを使っているかは簡単に確認することができるので、一度、自社のサイトを確認して個人情報あるいは個人関連情報の棚卸しを行ってください。Cookieに紐づけされた属性情報等を他社から受け取って、自社の個人情報と紐づけを行うのであれば同意が必要になります。また、自社のデータをDMPベンダーに渡して分析等依頼する場合も、ベンダー側が他の情報と混ぜていたり、本人ごとに突合している場合は委託ではなく第三者提供になるので同意が必要になる、という点にも十分留意してください。

改正法の「個人関連情報」

仮名加工情報によるデータの利活用

 現行法には、個人識別符号や特異な記述等を削除し特定の個人を識別できないように加工する「匿名加工情報」という概念があります。匿名加工情報は、当初の目的とは異なり、利用や第三者提供に同意は不要で、他社に販売するようなビジネスを行うことも可能です。

 それに対して、今回新設された仮名加工情報は、イメージとしては個人情報と匿名加工情報の間のようなものです。匿名加工情報にするために削除する「特異な記述」の範囲等は非常に判断が難しいですが、仮名加工情報は何を削除すればよいかが明確です。

 仮名加工情報は、自社で他の目的で分析等に利用するためのもので、利用目的の変更に規制がなく、漏えい時の報告や開示の対象からも外れます。また、委託と共同利用はできますが、第三者提供はできません。簡単に区別すると、自社内で分析するのであれば仮名加工情報、第三者に提供するのであれば匿名加工情報という使われ方になるのではないかと思います。

外国移転・その他の改正点

 最後に、外国移転やその他の改正について触れたいと思います。

外国にある第三者への提供

 現行法では、外国にある第三者に個人データを移転するケースとして、
 1)個人データを「提供していない」場合(契約+アクセス制御等で取り扱わせない)
 2)個人情報保護委員会が認定した国
 3)APEC-CBPR認証を受けている企業、または契約やグループ内規程等により日本法遵守の体制が整備されている企業
 4)本人の同意がある場合
があります。

 改正法では、3)と4)のケースが厳しくなっていて、
・3)の場合は定期的な確認、支障時の対応
・4)の同意を得る場合は、外国の名称、外国における個人情報保護に関する制度、当該第三者が講ずる個人情報の保護のための措置に関する情報提供
を行う必要があります。

 政府がデータにアクセスできる法制度を持つ国であることを説明したうえで、そこに個人データを提供してよいか同意を求めるのは非常にハードルが高いと思われるので、今後は3)で体制整備を第一選択肢としていくことになると考えられます。

その他の改正

 現行法では、漏えい時には個人情報保護委員会への報告は努力義務、本人への通知も「望ましい」とされていましたが、改正法では、要配慮個人情報が含まれる場合や、1,000人を超える漏えい等の場合には、委員会への報告も本人への通知も義務となりました。

 また、罰則も強化されており、個人情報データベース等の盗用罪では法人の罰金は1億円に引き上げられて、すでに施行しているので留意してください。

まとめ

 これまでお伝えした内容について、ぜひ社内のシステム開発、事業企画、広報等関係する部門の方々にも共有していただき、2022年3月末までに組織的に対応を進めていただきたいと思います。

2022年春までに対応すべき点1

2022年春までに対応すべき点2


牛島総合法律事務所 弁護士 影島 広泰氏

一橋大学法学部卒業、03年弁護士登録、牛島総合法律事務所入所
自らアプリ開発を行う等ITに精通し、ITシステム・ソフトウェアの開発・運用、個人情報・プライバシー、ネット上のサービスや紛争に関する案件を中心に、企業法務の第一線で活躍。
日本経済新聞社「企業が選ぶ弁護士ランキング」データ関連部門1位(2019年12月)選出
東洋経済新報社「依頼したい弁護士 分野別25人」IT・個人情報・ベンチャー部門の5名に選出
【著作】
「法律家・法務担当者のためのIT技術用語辞典<第2版>」(商事法務)
「22年施行 情報の『利用』を重視する 個人情報保護の規制強化」(週刊東洋経済、2021年3月6日号)ほか多数