個人情報保護法 改正法案の概要
西村あさひ法律事務所
弁護士・ニューヨーク州弁護士 河 合 優 子
本年3月10日、「個人情報の保護に関する法律等の一部を改正する法律案」(以下「改正法案」)が閣議決定され、公表された。改正法案は、今期の通常国会に提出される見込みであり、成立した場合、一部の条項を除いて公布から2年以内に施行される。改正法案は、開示請求等の充実化、個人情報の漏えい等が生じた場合の報告・通知義務の新設、個人情報等の外国における取扱いに対する法適用の範囲の拡大、仮名加工情報の新設、罰金上限額の変更など、重要な内容を含んでいる。以下、改正法案の概要を紹介する。現行の個人情報保護法を、以下「法」という。
1. 個人の権利の在り方に関連する改正
(1) 保有個人データの定義の変更
現在の「保有個人データ」には、取得後6か月以内に消去することとなる個人データは含まれない(法2条7項、同法施行令5条)が、改正法案では、当該除外要件が撤廃されている。昨年12月に公表された「個人情報保護法 いわゆる3年ごと見直し 制度改正大綱」(以下「大綱」)で示されていたとおり、昨今は短期間で消去される個人データであっても漏えいや拡散等の危険が現実に存在することや、取得後6か月以内に消去する個人データも自主的に開示請求等に応じている事業者がみられる状況等に鑑みての変更であると考えられる。
保有個人データは、本人による開示請求(法28条1項)、内容の訂正、追加又は削除の請求(法29条1項)、利用の停止又は消去の請求(法30条1項)、及び第三者提供の停止の請求(法30条3項)の対象となる概念である。現在、保存期間によりこれらの請求に応じるべき個人データか否かを区別している企業においては、今後、これらの請求に関する社内の対応体制を見直す必要があると思われる。
(2) 開示請求の充実
保有個人データの開示について、現在は、原則として書面交付の方法により行われているが(法28条2項、同法施行令9条)、改正法案は、本人が開示請求を行う際に、電磁的記録の提供による方法その他の個人情報保護委員会規則で定める方法を指定できるとした。個人情報取扱事業者が当該開示請求に応じる場合、原則として、本人が指定した方法で開示しなければならない(ただし、当該方法による開示に多額の費用を要する等、当該方法による開示が困難な場合には、本人に対してその旨を遅滞なく通知し、書面交付の方法により開示を行う)。
また、改正法案は、開示請求の対象に、個人データの第三者提供記録も含まれることを明記した。大綱で示されていたとおり、本人が自己の個人情報のトレーサビリティを確保できるようにするためであると考えられるが、企業においては、これまで以上に確認・記録義務の履行を徹底する必要があると思われる。
(3) 利用停止等の請求・第三者提供停止の請求の要件緩和
保有個人データの利用の停止又は消去(以下「利用停止等」)の請求、及び保有個人データの第三者提供の停止の請求について、改正法案は、請求要件を緩和している。
現在、利用停止等を請求できるのは、当該本人が識別される保有個人データが法16条(利用目的による制限)に違反して取り扱われている場合、又は、法17条(適正な取得)に違反して取得されたものである場合に限られている(法30条1項)。また、第三者提供の停止の請求は、当該本人が識別される保有個人データが法23条1項(第三者提供の制限)又は法24条(外国にある第三者への提供の制限)の規定に違反して第三者に提供されている場合のみ可能である。
改正法案は、上記の場合に加え、違法又は不当な行為を助長し又は誘発するおそれがある方法により個人情報を利用している場合、当該本人が識別される保有個人データを個人情報取扱事業者において利用する必要がなくなった場合、漏えい報告等が必要な事態が生じた場合、その他当該本人の権利又は正当な利益が害されるおそれがある場合にも、利用停止等又は第三者提供の停止を請求できるとしている。権利利益が害される「おそれ」という文言に照らすと、請求要件が大きく緩和されたと評価できる。
保有個人データの定義の変更とあいまって、企業によっては、改正後、利用停止等の請求や第三者提供の請求の件数が大幅に増加する可能性がある。漏えい等の報告が一部義務化されることや罰金上限額の引き上げも考慮すれば、企業としては、利用の必要がなくなった保有個人データについては、本人からの請求を待たずに、自主的に消去等を進めていくことが望ましいと考えられる。
なお、改正法案は、個人データの内容の訂正、追加又は削除の請求(法29条1項)については、特に要件を変更していない。
(4) オプトアウト・共同利用における開示事項の追加
いわゆるオプトアウト方式による個人データの第三者提供(法23条2項)について、改正法案は、通知・届出等が必要な事項を追加した。また、それらの事項に変更等が生じる場合やオプトアウト方式による第三者提供をやめる場合も、通知・届出等が必要となる。この点に関する改正法案の内容をまとめると、次表のとおりである。
| 通知・届出等が必要な事項 | 変更が生じる場合の通知・届出等のタイミング | |
| 1(新設) | 第三者提供を行う個人情報取扱事業者の氏名又は名称及び住所(法人等の場合は代表者の氏名も含む) | 変更後に遅滞なく |
| 2 | 第三者への提供を利用目的とすること | (第三者提供をやめたときは遅滞なく) |
| 3 | 第三者に提供される個人データの項目 | あらかじめ |
| 4(新設) | 第三者に提供される個人データの取得の方法 | あらかじめ |
| 5 | 第三者への提供の方法 | あらかじめ |
| 6 | 本人の求めに応じて第三者提供を停止すること | ― |
| 7 | 本人の求めを受け付ける方法 | あらかじめ |
| 8(新設) | その他個人の権利利益を保護するために必要なものとして個人情報保護委員会規則で定める事項 | あらかじめ |
共同利用(法23条5項3号)についても、改正法案は通知等が必要な事項を追加した。具体的には、共同利用する個人データの管理について責任を有する者の氏名又は名称のほか、その住所(法人の場合はその代表者の氏名を含む)も、あらかじめ本人に通知し又は本人が容易に知り得る状態に置く必要がある。なお、当該責任者の氏名又は名称及び住所(法人の場合はその代表者の氏名を含む)に変更があったときは、遅滞なく、本人への通知等を行う必要がある。
(5) オプトアウトの対象範囲の限定
また、改正法案の下では、偽りその他不正の手段により取得された個人データや、他の個人情報取扱事業者からオプトアウト方式により提供を受けた個人データ(その全部又は一部を複製又は加工したものを含む)は、オプトアウト方式による第三者提供を行うことはできない。
オプトアウト方式による第三者提供を行っている企業においては、規則の制定動向にも留意しつつ、適切な通知・届出等を継続すると共に、提供対象の個人データの範囲を見直す必要がある。
2. 事業者の守るべき責務の在り方に関連する改正
(1) 不適正な利用の禁止
改正法案では、個人情報取扱事業者は、違法又は不当な行為を助長し又は誘発するおそれがある方法により個人情報を利用してはならないことが明記された。大綱で示されていたとおり、昨今の急速なデータ分析技術の向上等を背景に、個人の権利利益の保護という本法の目的に照らして看過できないような方法で個人情報が利用されることを防止するための規定であると解される。
当該禁止に違反した場合、利用停止等の請求(法30条)の根拠となるほか、個人情報保護委員会からの勧告や命令(法42条)の対象にもなり得る。
(2) 漏えい等における報告・本人通知の一部義務化
現行法では、個人データの漏えい、滅失、毀損等が発生した場合、個人情報保護委員会に対する報告や本人に対する通知は義務付けられておらず、報告等を行うかの最終的な判断は各個人情報取扱事業者に委ねられている。実務上は、個人情報保護委員会の公表する「個人データの漏えい等の事案が発生した場合等の対応について」等をふまえ、各事業者が個別判断のうえ対応している状況である。
改正法案は、個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じた場合、個人情報取扱事業者は、同規則で定めるところにより、当該事態が生じた旨を個人情報保護委員会に報告しなければならないとしている(なお、個人データの取扱いの委託を受けていた事業者については、一部例外がある)。また、報告義務を負うケースでは、当該事態が生じた旨を原則として本人に通知しなければならないとしている(本人への通知が困難な場合であって、本人の権利利益を保護するために必要な代替措置をとるときは免除される)。
一定の事象発生時の報告及び通知が法的に義務づけられることになるが、対象となる事象や報告方法、本人通知に関する詳細については個人情報保護委員会規則の定めに委ねられるため、今後の制定動向が注目される。なお、大綱では、報告対象となる事案として「一定数以上の個人データ漏えい」や「要配慮個人情報の漏えい」等が例示され、報告方法として、速報と確報という二段階の報告方法が示唆されていたところである。
3. 事業者による自主的な取組を促す仕組みの在り方に関連する改正
改正法案では、認定個人情報保護団体制度も拡充されている。現在、認定個人情報保護団体は、対象事業者の個人情報等の取扱い全般を対象としているが、改正により、対象事業者の事業の種類や業務範囲を限定して認定を受けることが可能になる。幅広い事業分野を有する企業において、特定の事業分野に対応する適切な認定個人情報保護団体を見つけやすくなり、また、高度な専門性を必要とする特定の事業分野に限定した認定個人情報保護団体が創設されることが期待される。
4. データ利活用に関する施策の在り方に関連する改正
(1) 仮名加工情報の創設
改正法案では「仮名加工情報」との概念が示されている。大綱において「仮名化情報(仮称)」と呼ばれていた概念であり、匿名加工情報よりも詳細な分析等を、比較的簡便な加工方法で実現させることを企図したものと考えられる。
これに関連して、特定の仮名加工情報を電子計算機を用いて検索することができるように体系的に構成したもの等を指す用語として「仮名加工情報データベース等」が、また、仮名加工情報データベース等を事業の用に供している者を指す用語として「仮名加工情報取扱事業者」が、それぞれ明記されている。
改正法案によれば、仮名加工情報とは、一定の措置を講じて、他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報をいう。仮名加工情報の定義文言は、現行法の匿名加工情報の定義(法2条9項)と類似しており、例えば個人識別符号が含まれる場合は当該個人識別符号の全部を削除又は置換するといった点は同様であるものの、仮名加工情報の定義は、①他の情報と照合すれば特定の個人を識別できるような加工で足りるという点と、②加工後の情報から元の個人情報を復元できないことが明記されていない点で、匿名加工情報の定義と異なる。仮名加工情報の具体的な加工基準は、個人情報保護委員会規則に定められることになっているが、大綱で示されているとおり、匿名加工情報よりも簡易な加工方法が想定されているものと思われる。
また、仮名加工情報には、個人情報に該当するものと該当しないものの2種類が存在する。仮名加工情報が個人情報に該当する場合、当該仮名加工情報について、法15条2項(利用目的の変更に関する制限)が適用されず、当該仮名加工情報の利用目的の変更は、他の個人情報に比べて柔軟に行うことが可能であると解される(なお、利用目的の特定は必要である)。仮名加工情報が個人情報に該当しない場合には、利用目的に関する制限に服しない。
いずれの仮名加工情報であっても、法令に基づく場合を除くほかは、第三者に提供することができない。つまり、仮に本人の同意があったとしても、当該仮名加工情報を他の事業者に提供することはできないし、オプトアウト方式による提供も想定されていない。また、当該仮名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該仮名加工情報を他の情報と照合することは禁じられる。他方、漏えい時等の報告・通知義務、開示請求や利用停止等の請求への対応義務等は一部又は全部免除されている。
このように、仮名加工情報は、基本的に事業者の内部における個人データの活用促進に資するものと解される。第三者提供が原則不可であることから、複数事業者間での新たなデータ利活用の取組等においては、仮名加工情報だけに依拠するのでは足りず、個人データや匿名加工情報の利用手法もあわせて十分に検討する必要がある。
(2) 個人関連情報の第三者提供の制限等
改正法案は、生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しない情報を指す用語として「個人関連情報」を明記した(ただし、改正後の法2条で定義として記載されるわけではない)。個人関連情報取扱事業者(特定の個人関連情報を電子計算機を用いて検索することができるように体系的に構成したもの等を事業の用に供している者をいう)は、第三者が個人関連情報を個人データとして取得することが想定されるときは、原則として、以下の事項をあらかじめ確認しなければならない。個人データの第三者提供に準じた確認記録義務も定められている。
- 1 当該第三者が個人関連情報取扱事業者から個人関連情報の提供を受けて本人が識別される個人データとして取得することを認める旨の、当該本人の同意が得られていること
- 2 外国にある第三者に提供する場合は、上記1の本人の同意を得ようとする場合において、個人情報保護委員会規則で定めるところにより、あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報が、当該本人に提供されていること
提供元の事業者においては個人データに該当しないものであっても、受領側において個人データとして取得する場合には、個人データの第三者提供に類似した規律に服することになるため、留意が必要である。
なお、改正法案は、個人関連情報の提供に関する確認記録は、開示請求(法30条)の対象に含めていない。
5. ペナルティの在り方に関連する改正
改正法案は、個人情報保護委員会の命令に違反した場合等の罰則の法定刑を引き上げている。例えば、命令違反の場合、現在は6月以下の懲役又は30万円以下の罰金であるが(法84条)、改正により、1年以下の懲役又は100万円以下の罰金となる。
また、個人情報データベース等不正提供罪や個人情報保護委員会の命令に違反した場合の罰金の上限額については、法人と個人の資力の格差等を勘案し、法人等に対しては最高1億円としている。
加えて、個人情報保護委員会は、その命令を受けた事業者が当該命令に違反したときは、その旨を公表することができるようになる。
なお、課徴金制度については、大綱でも示唆されていたとおり、導入は見送られた。
6. 法の域外適用・越境移転の在り方に関連する改正
(1) 域外適用の範囲の拡大
現在、個人情報保護委員会による報告徴収、立入検査及び命令に関する規定は、外国の個人情報取扱事業者に適用されないが(法75条)、改正法案は、そのような限定を廃止し、外国の個人情報取扱事業者であっても報告徴収、立入検査及び命令の対象とすることを明らかにした。
また、現在の法75条は、国内にある者に対する物品又は役務の提供に関連して「その者を本人とする個人情報を取得した」個人情報取扱事業者の外国における個人情報等の取扱いについて規定するが、改正法案は、個人情報を取得した事業者に限定せず、国内にある者に対する物品又は役務の提供に関連して国内にある者を本人とする個人情報やそれを用いて作成された仮名加工情報等を外国において取り扱う場合を、広く対象としている。
(2) 個人データの越境移転
外国にある第三者への個人データの提供のうち、本人の同意を根拠とする場合について、改正法案は、①当該外国における個人情報の保護に関する制度、②当該第三者が講ずる個人情報の保護のための措置、③その他当該本人に参考となるべき情報を、あらかじめ当該本人に提供しなければならないとした。
また、外国にある第三者が体制整備者であることを理由として個人データの越境移転を行う場合、個人情報取扱事業者は、当該第三者による相当措置の継続的な実施を確保するために必要な措置を講ずるとともに、本人の求めに応じて当該必要な措置に関する情報を当該本人に提供しなければならないとした。
これらの詳細は、個人情報保護委員会規則の定めに委ねられるため、実務対応のためには、今後の規則制定の動向が注目されるが、本人から取得する同意の文言や既存フォームの見直しが必要となる可能性があることに留意が必要である。また、本人への情報提供に備えるという観点からは、個人データの越境移転を行う企業は、規則の制定を待たずに、自社における個人データの越境移転の実態を把握するため、いわゆるデータマッピングに準じた対応を開始することが望ましいと考えられる。例えば、各越境移転の種類ごとに、移転の根拠、移転先企業の所在国、移転先企業における情報取扱の状況(取扱態様、取扱期間、加工の有無、再移転の有無等)、移転先企業の情報保護体制等を把握しておくことが考えられる。
以 上