2020.09.24
レポート
個人情報保護法の2020年改正について
JIPDEC 電子情報利活用研究部 次長 保木野 昌稔
1. はじめに
2003年に制定された個人情報の保護に関する法律(以下、個人情報保護法という。)は、2015年改正個人情報保護法に設けられた「いわゆる3年ごと見直し」に関する規定(附則第12条)に基づいて、個人情報保護委員会において、経済界・有識者へのヒアリング等による実体把握、論点整理が行われ、2020年の通常国会において「令和2年個人情報保護法に関する法律等の一部を改正する法律(以下、改正法という。)」が成立した。
|
■2019年1月より、個人情報保護委員会で審議が開始された。 ■2019年12月13日、個人情報保護委員会より「個人情報保護法いわゆる3年ごと見直し制度改正大綱1(以下、大綱という。)」が公表された。 ■2020年3月10日、改正法案が閣議決定、国会へ提出された。 ■2020年6月5日、国会審議を経て可決、成立した。 ■2020年6月12日、公布された。 |
改正法において、「いわゆる3年ごと見直し」条項自体の改正も含まれているが、施行後3年ごとの見直しは維持されている。また、改正法がいつ施行されるか気になるところであるが、改正法案附則第1条において「交付の日から起算して二年を超えない範囲内において政令で定める日から施行する」とされている。2020年6月15日に開催された個人情報保護委員会において、改正法の施行までのロードマップが示された。
1 「個人情報保護法いわゆる3年ごと見直し制度改正大綱」
2 第144回 個人情報保護委員会 資料1
ロードマップに示されているように、改正法の施行は2022年春が予定されている。改正法および政令、規則、ガイドライン等の改正を受けて、事業者は2年以内にプライバシーポリシーの変更や業務フローの見直し、システム改修等に対応していかなければならない。
なお、参考ではあるが、改正法と並行して、2021年にも個人情報保護法の改正が予定されている。2021年に予定される法改正では、公的部門の法律の一元化(現在は、行政機関個人情報保護法と法律が別れている)などであり、2021年の通常国会に提出される予定である。公的部門に対する規制が、個人情報保護法と整合させるように改正されていくものと考えられるが、民間部門へ影響する部分もあり得るため、こちらの動向についても参照されたい。
本レポートでは、個人情報保護法の改正項目のうち、データ利活用に関する施策の在り方を中心にポイントを解説する。
2. 改正法の全体像
個人情報保護法の見直しにあたり、大綱において以下の5つの視点が示された。
| ● 個人の権利利益の保護 ▶ 第一に、情報を提供する個人の、自らの情報の取扱いに対する関心や、関与への期待が高まっており、個人情報保護法第1条の目的に掲げている「個人の権利利益を保護」するために必要十分な措置を整備することに配意しながら制度を見直す必要がある。 ● 技術革新の成果による活用と保護 ▶ 第二に、平成27年改正法で特に重視された保護と利用のバランスをとることの必要性は、引き続き重要であり、個人情報や個人に関連する情報を巡る技術革新の成果が、経済成長等と個人の権利利益の保護との両面で行き渡るような制度を目指すことが重要である。 ● 国際的な制度調査・連携 ▶ 第三に、デジタル化された個人情報を用いる多様な利活用が、グローバルに展開されており、国際的な制度調和や連携に配意しながら制度を見直す必要がある。 ● 越境データの流通拡大に伴う新たなリスクへの対応 ▶ 第四に、海外事業者によるサービスの利用や、国境を越えて個人情報を扱うビジネスの増大により、個人が直面するリスクも変化しており、これに対応する必要がある。 ● AI・ビッグデータ時代への対応 ▶ 第五に、AI・ビッグデータ時代を迎え、個人情報の活用が一層多岐にわたる中、本人があらかじめ自身の個人情報の取扱いを網羅的に把握することが困難になりつつある。このような環境の下で、事業者が個人情報を取り扱う際に、本人の権利利益との関係で説明責任を果たしつつ、本人の予測可能な範囲内で適正な利用がなされるよう、環境を整備していくこと。 |
改正法は、これらの視点に基づいて検討されており、内容は大綱を踏襲したものとなっている。改正法によって、事業者が取るべき対応についても一部は明確になった。しかし、今後政令や規則、ガイドライン等で明確化される部分が多く残されており、個人情報保護委員会からの公表を待たなければならない。2020年7月に開催された第149回個人情報保護委員会において、「改正個人情報保護法 政令・規則・ガイドライン等の整備に当たっての基本的な考え方について(案)」が示された。改正法の全体像および政令・規則・ガイドライン等の整備の考え方が整理されている。次章では、この整理も踏まえ、データ利活用に関する施策の在り方のポイントを解説する。
| 個人の権利の在り方 | 利用停止・消去等の請求権 | 一部の法違反の場合に加えて、①利用する必要がなくなった場合、②重大な漏えい等が発生した場合、③本人の権利又は正当な利益が害されるおそれがある場合にも拡充する | - | - | 基本的な考え方や具体的事例等を提示(特に③) |
| 保有個人データの開示方法 | 電磁的記録の提供を含め、本人が指示できるようにする | 開示の方法として書面の交付による方法を規定した令第9条を削除 | 開示方法について規定 | 基本的な考え方や具体的事例等を提示 | |
| 第三者提供記録の開示 | 個人データの授受に関する第三者提供記録について、本人が開示請求できるようにする | 開示対象から除外されるものを規定(令第4条と同じ) | - | 〃 | |
| 短期保存データの開示等の対象化 | 6ヶ月以内に消去するデータ(短期保存データ)も、保有個人データに含めることとし、開示・利用停止等の対象とする | 消去する期間を6月以内と定めた令第5条を削除 | - | 〃 | |
| オプトアウト規定の強化 | 要配慮個人情報に加えて、①不正取得された個人データ、②オプトアウト規定により提供された個人データについても、オプトアウトの対象外とする | - | (届出事項の追加内容について規定) | 〃 | |
| 事業者の守るべき責務の在り方 | 漏えい等報告・本人通知の義務化 | 漏えい等が発生し、個人の権利利益を害するおそれがある場合(※)に、委員会への報告及び本人への通知を義務化する (※)個人データの性質や漏えい等の態様に着目して、要配慮個人情報や財産的被害に至るおそれのある情報の漏えい等や不正アクセスによる漏えい等(これらは件数の多寡は問わない)、また、安全管理措置について懸念される一定数以上の大規模漏えい等を想定 |
事業所管大臣への権限委任に関して、令第13条等を改正 | 「個人データの安全確保に係る事態であって個人の権利利益を害するおそれが大きいもの」の内容や委員会への報告方法、期限等について規定 | 〃 |
| 不適正な方法による利用の禁止 | 違法又は不当な行為を助長する等の不適正な方法により個人情報を利用してはならない旨を明確化する | - | - | 〃 *特に、違法又は不当な行為を助長し、又は誘発するおそれがある方法 |
事業者による自主的な取組みを促す仕組みの在り方 | 認定個人情報保護団体制度の充実 | 現行制度に加え、企業の特定分野(部門)を対象とする団体を認定できるようにする | 認定申請に係る令第19条を改正 | 「届出様式等について規定 | 〃 | 保有個人データに関する公表事項の追加 | 保有個人データに関する公表(※)事項を充実させる (※)公表については、本人の求めに応じて回答する場合を含む |
令第8条に安全管理に関する措置等を追加 | - | 〃 | データ利活用に関する施策の在り方 | 仮名加工情報の創設 | 氏名等を削除した「仮名加工情報」を創設し、内部分析に限定する等を条件に、開示・利用停止請求への対応等の義務を緩和する | 「仮名加工情報データベース等」を定義 | 加工基準や安全管理措置基準等について規定 | 〃 | 公益目的に係る例外規定の運用の明確化 | 利用目的や第三者提供の制限の例外とされる公益目的(生命・身体の保護、公衆衛生の向上等)について、明確化を図る | - | - | 〃 | 提供先において個人データとなる情報の取扱い | 提供元では個人データに該当しないものの、提供先において個人データとなることが想定される情報の第三者提供について、本人同意が得られていること等の確認を義務付ける | 「個人関連情報データベース等」を定義 | 第三者提供を行う際の確認や記録作成の方法等について規定 | 〃 | 法の域外適用・越境移転の在り方 | 域外適用の範囲の拡大 | 日本国内にある者に係る個人情報等を取り扱う外国事業者を、罰則によって担保された報告徴収・命令の対象とする | 事業所管大臣への権限委任に関して、令第13条等を改正 | - | 〃 | 越境移転に係る情報提供の充実 | 外国にある第三者への個人データの提供時に、移転先事業者における個人情報の取扱いに関する本人への情報提供の充実等を求める | - | 本人の参考となるべき情報の内容及び提供方法等について規定 | 〃 *このほか、各国の個人情報保護に係る状況について、委員会としても情報提供を行う |
ペナルティの在り方 | ペナルティの引上げ | 委員会による命令違反・委員会に対する虚偽報告等の法定刑を引き上げるとともに、法人に対する罰金の上限額を引き上げる | - | - | ペナルティの引上げに関連する箇所を修正 |
基本的な考え方について(案)3
3 個人情報保護委員会資料をもとに作成。
3. データ利活用に関する改正項目
個人情報保護法の改正項目のうち、「データ利活用に関する施策の在り方」に絞って、改正法のポイントを解説する。
3.1. データ利活用に関する施策の在り方
「データ利活用に関する施策の在り方」に関しては、「仮名加工情報の創設」と「提供先において個人データとなる情報の取扱い」の2つの項目について改正が行われた。
1つ目の「仮名加工情報の創設」では、イノベーションを促進する観点から「仮名加工情報」が創設され、事業者による自らの組織内部での分析に限定すること等を条件に、開示・利用停止請求への対応等の義務が緩和されることとなった。
2つ目の「提供先において個人データとなる情報の取扱い」では、提供元では個人データに該当しないものの、提供先において個人データとなることが想定される情報(個人関連情報)の第三者提供について、本人同意が得られていること等の確認を義務付けられることとなった。
3.2. 個人に関する情報の類型
データ利活用に関する施策について改正法で、「仮名加工情報」と「個人関連情報」という個人に関する情報に新たな類型が設けられた。そのため、類型ごとの関係性が分かり難くなっている。
改正法における個人情報の類型を整理すると以下のようになる。
個人に関する情報の類型の概要を以下に示す。
3.3. 仮名加工情報
「仮名加工情報」とは、個人情報の区分に応じて定める措置を講じて「他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報」である。
事業者は、保有する個人データを事業者の内部で利活用する際に、仮名加工情報にして取り扱うことで、①利用目的の変更の制限(改正法第15条第2項)、②漏えい等の報告等(改正法第22条の2)、③開示・利用停止等の請求対応(改正法第27条から34条)への対応義務が緩和される。
仮名加工の作成方法について改正法で定める措置として、以下を最低限行う必要がある。
① 特定の個人を識別することができる記述等を削除(置換を含む)する
② 個人識別符号を削除(置換を含む)する
なお、仮名加工情報の加工基準や安全管理措置等については、政令および個人情報保護委員会規則によって定められる。
仮名加工情報の加工イメージを示す。
なお、事業者が仮名加工情報を作成した場合であっても、仮名加工情報の作成に用いられた原データである個人情報については、本人による開示・利用停止等の請求は可能であることには留意が必要である。
仮名加工情報の利用シーンとしては、以下のケースが想定されている。
| 1. 当初の利用目的には該当しない目的や、該当するか判断が難しい新たな目的での内部分析 ① 医療・製薬分野等における研究 ② 不正検知・売上予測等の機械学習モデルの学習 等 2. 利用目的を達成した個人情報について、将来的に統計分析に利用する可能性があるため、仮名加工情報として加工した上で保管 |
この時、仮名加工情報の原データである個人データを保有している事業者においては、「個人情報である仮名加工情報」となり、委託先または共同利用先においては個人データを保有していないことから「個人情報でない仮名加工情報」となる。
2つ目の利用シーンを想定した場合、個人データを保有している事業者が仮名加工情報を作成したのちに、原データである個人データを削除したとき、残る仮名加工情報は、「個人情報でない仮名加工情報」となると考えられる。
仮名加工情報に係る規制のイメージを示す。
仮名加工情報に係る規制をまとめると以下の表のようになる。
| 利用目的 | 特定義務(35条の2第3項) 公表あり、通知なし(35条の2第4項) 変更可(35条の2第9項) |
規制なし |
| 消去 | 努力義務(35条の2第5項) |
規制なし |
| 安全管理措置 | 削除情報等の安全管理(35条の2第2項) ※委員会規則で定める |
漏えい対策のみ(35条の3第3項) |
| 漏えい等報告等 | なし(35条の2第9項) |
規制なし |
| 本人関与 | なし(35条の2第9項) |
規制なし |
| 第三者提供 | 同意、オプトアウトでも不可。外国にある第三者への提供不可。法令に基づく例外事由は可。委託、共同利用は可(35条の2第6項) |
第三者提供不可(35条の3第1項) 再委託等は可(35条の3第2項) |
| 禁止事項 | 照合禁止(35条の2第7項) 本人に連絡等する利用の禁止(35条の2第8項) |
照合禁止(35条の3第3項) 本人に連絡等する利用の禁止(35条の3第3項) |
〇利用目的
個人情報取扱事業者が個人情報である仮名加工情報を作成し利用する場合、仮名加工情報の利用目的を特定(35条の2第3項)し、公表(35条の2第4項)する必要があるが、変更前の利用目的と関連性のない変更であっても利用目的を変更することが可能(35条の2第9項)である。
〇消去
個人情報取扱事業者が個人情報である仮名加工情報を作成し利用する場合、仮名加工情報である個人データ及び削除情報等を利用する必要がなくなったときは、削除する努力義務がある。
〇安全管理措置
個人情報取扱事業者が個人情報である仮名加工情報を作成し利用する場合、個人情報である仮名加工情報は、個人データとして扱うこととなることから同様に安全管理措置等が適用されると考えられる。また削除情報等については、個人情報保護委員会規則で定めることになっている安全管理措置を講じる必要がある(35条の2第2項)。
個人情報でない仮名加工情報については、第20条(安全管理措置)、第21条(従業員の監督)、第22条(委託先の監督)が準用され、安全管理措置については「漏えい」対策が必要となる。
〇第三者提供
個人情報である仮名加工情報は、法令に基づく場合を除き、第三者に提供することが禁止されている。個人情報でない仮名加工情報は、いかなる場合にも第三者へ提供することを禁止される。ただし、委託や共同利用については可能となっている。
なお、制度改正大綱において、「あらかじめ本人の同意を得ること等により、原データのほか、原データを仮名化したデータを、(現行法における)個人データとして、第三者に提供することも可能である。」と記載されている。
この時、個人データとして第三者提供を行うことになるので、事業者Aでは第三者提供記録を保持し、その記録は開示請求等の対応まで行う必要がある。
一方、個人データとして仮名加工情報の提供を受ける事業者Bでは、特定の個人を識別できない情報となるが、事業者Aにおける個人データの第三者提供を受けることになるため、第三者提供記録を保持する必要となる可能性がある。
このような事例は、今後個人情報保護委員会において整理されることになると思われるので、動向を注視していく。
3.4. 個人関連情報
一方、同じく改正法で新設された「個人関連情報」については、提供先において個人データとなることが想定される場合に、提供先の事業者が本人から同意を得ていること等を、事業者が確認することが義務付けられる。
個人関連情報には、氏名等と紐づかないインターネットの閲覧履歴、位置情報、クッキー等が含まれることが想定されている。
考えられる具体例として、
・現に想定している場合:第三者となる提供先の事業者から、事前に「個人関連情報を受領した後に他の情報と照合して個人データとする」旨を告げられている
・通常想定できる場合:個人関連情報を提供する際、提供先において当該個人関連情報を氏名等と紐づけることができる固有ID等を併せて提供する
の2つが個人情報保護委員会により示されている。
個人関連情報の改正法上の定義は広くとられているので、詳細についてはガイドライン等で具体例が示されるのを待つ必要がある。
個人関連情報に係る法的な要件を以下の図に示す。
個人関連情報の提供を受ける事業者(提供先)は、本人から個人関連情報を取得することの同意を得ておく必要がある。個人関連情報の提供元となる事業者は、この同意が得られていることを委員会規則で定められる方法によって確認することが求められる。同意の確認方法として、事業者等の声として「契約等による方法」が求められているが、今後の検討とされており現状では認められるか否は不明である。
また、個人関連情報の取扱いで注意が必要な点として、第25条(第三者提供に係る記録の作成等)の義務がある。提供先においては、本人同意も得ることとなっていることから、第三者提供記録の作成及び第三者提供記録の開示請求等の対応は必要になってくると考えられる。一方で、提供元の事業者においては、個人情報を保有していないことから、開示請求の対応は困難であり、第三者提供記録の作成及び開示請求の対応は課されないのではないと考えられる。
4. まとめ
改正法において新設された仮名加工情報に関する制度を中心に解説してきた。
しかし、改正法において個人情報の利活用という観点から一番注意しなければならないポイントは「不適正な利用の禁止」と考えている。これは、リクナビ事件、破産者マップ事件があったことがもとになっている。「個人情報取扱事業者は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない。(改正法第16条の2)」とあることから、該当する範囲が広く捉えられる可能性はある。これまで個人情報保護法では、取得に関する規律があったが、利用に関する規律はなかった。改正法によって、利用について新たに規律が追加されたが、「おそれ」がある方法とはどのような利用が該当するのであろうか。「おそれ」とあることから明らかでない場合でも違法と判断される可能性もある。ガイドライン等によって、違法となる利用方法の考え方といくつかの例示は示されることになるであろうが、判断基準が示されることはないと思われる。そのため、個人情報の利用方法が本人にとって不利益とならないものであるか、事業者が自ら判断しなければならない。判例が積み上げられるのを待っていては事業の機会を損失する可能性もある。事業者は、リスクベースアプローチで個人情報の利用方法が適切であるか判断する必要があるのではないか。
個人情報の利用は、これまでのように最低限の基準を守っていればよいというものではなくなる。この時、個人情報をどう利用するかという側面だけでみるのではなく本人に対してどのように影響を与えるか、つまりプライバシーに対してどのようなインパクトがあるかという考え方が求められる。プライバシーに関わるリスクは、事業者にとっての負の影響だけではなく、本人にとっての負の影響であることに留意する。プライバシーをリスクベースアプローチで捉える際の基本的な枠組みとして、ISO/IEC29100(JIS X9250)プライバシーフレームワークが参考になる。
パーソナルデータを利活用する分野においては、イノベーションの創出による社会課題の解決とともに、プライバシー保護への要請が高まっていると言える。事業者は、これまでのコンプライアンス重視の姿勢から、積極的に個人のプライバシーを可能な限り守る姿勢で対応していくことが求められる。
そのような姿勢を実践していく先には、経済産業省から発行される「DX 時代における企業のプライバシーガバナンス ガイドブックver1.0」や2020年度中にJISが発行される見込みとなっている「プライバシー影響評価のためのガイドライン(ISO/IEC29134)」を参考にして欲しい。