個人情報保護法 改正法案の概要
西村あさひ法律事務所
弁護士・ニューヨーク州弁護士 河 合 優 子
本年3月10日、「個人情報の保護に関する法律等の一部を改正する法律案」(以下「改正法案」)が閣議決定され、公表された。改正法案は、今期の通常国会に提出される見込みであり、成立した場合、一部の条項を除いて公布から2年以内に施行される。改正法案は、開示請求等の充実化、個人情報の漏えい等が生じた場合の報告・通知義務の新設、個人情報等の外国における取扱いに対する法適用の範囲の拡大、仮名加工情報の新設、罰金上限額の変更など、重要な内容を含んでいる。以下、改正法案の概要を紹介する。現行の個人情報保護法を、以下「法」という。
1 個人の権利の在り方に関連する改正
(1) 保有個人データの定義の変更
現在の「保有個人データ」には、取得後6か月以内に消去することとなる個人データは含まれない(法2条7項、同法施行令5条)が、改正法案では、当該除外要件が撤廃されている。昨年12月に公表された「個人情報保護法 いわゆる3年ごと見直し 制度改正大綱」(以下「大綱」)で示されていたとおり、昨今は短期間で消去される個人データであっても漏えいや拡散等の危険が現実に存在することや、取得後6か月以内に消去する個人データも自主的に開示請求等に応じている事業者がみられる状況等に鑑みての変更であると考えられる。
保有個人データは、本人による開示請求(法28条1項)、内容の訂正、追加又は削除の請求(法29条1項)、利用の停止又は消去の請求(法30条1項)、及び第三者提供の停止の請求(法30条3項)の対象となる概念である。現在、保存期間によりこれらの請求に応じるべき個人データか否かを区別している企業においては、今後、これらの請求に関する社内の対応体制を見直す必要があると思われる。
(2) 開示請求の充実
保有個人データの開示について、現在は、原則として書面交付の方法により行われているが(法28条2項、同法施行令9条)、改正法案は、本人が開示請求を行う際に、電磁的記録の提供による方法その他の個人情報保護委員会規則で定める方法を指定できるとした。個人情報取扱事業者が当該開示請求に応じる場合、原則として、本人が指定した方法で開示しなければならない(ただし、当該方法による開示に多額の費用を要する等、当該方法による開示が困難な場合には、本人に対してその旨を遅滞なく通知し、書面交付の方法により開示を行う)。
また、改正法案は、開示請求の対象に、個人データの第三者提供記録も含まれることを明記した。大綱で示されていたとおり、本人が自己の個人情報のトレーサビリティを確保できるようにするためであると考えられるが、企業においては、これまで以上に確認・記録義務の履行を徹底する必要があると思われる。
(3) 利用停止等の請求・第三者提供停止の請求の要件緩和
保有個人データの利用の停止又は消去(以下「利用停止等」)の請求、及び保有個人データの第三者提供の停止の請求について、改正法案は、請求要件を緩和している。
現在、利用停止等を請求できるのは、当該本人が識別される保有個人データが法16条(利用目的による制限)に違反して取り扱われている場合、又は、法17条(適正な取得)に違反して取得されたものである場合に限られている(法30条1項)。また、第三者提供の停止の請求は、当該本人が識別される保有個人データが法23条1項(第三者提供の制限)又は法24条(外国にある第三者への提供の制限)の規定に違反して第三者に提供されている場合のみ可能である。
改正法案は、上記の場合に加え、違法又は不当な行為を助長し又は誘発するおそれがある方法により個人情報を利用している場合、当該本人が識別される保有個人データを個人情報取扱事業者において利用する必要がなくなった場合、漏えい報告等が必要な事態が生じた場合、その他当該本人の権利又は正当な利益が害されるおそれがある場合にも、利用停止等又は第三者提供の停止を請求できるとしている。権利利益が害される「おそれ」という文言に照らすと、請求要件が大きく緩和されたと評価できる。
保有個人データの定義の変更とあいまって、企業によっては、改正後、利用停止等の請求や第三者提供の請求の件数が大幅に増加する可能性がある。漏えい等の報告が一部義務化されることや罰金上限額の引き上げも考慮すれば、企業としては、利用の必要がなくなった保有個人データについては、本人からの請求を待たずに、自主的に消去等を進めていくことが望ましいと考えられる。
なお、改正法案は、個人データの内容の訂正、追加又は削除の請求(法29条1項)については、特に要件を変更していない。
(4) オプトアウト・共同利用における開示事項の追加
いわゆるオプトアウト方式による個人データの第三者提供(法23条2項)について、改正法案は、通知・届出等が必要な事項を追加した。また、それらの事項に変更等が生じる場合やオプトアウト方式による第三者提供をやめる場合も、通知・届出等が必要となる。この点に関する改正法案の内容をまとめると、次表のとおりである。
| 通知・届出等が必要な事項 | 変更が生じる場合の通知・届出等のタイミング | |
| 1(新設) | 第三者提供を行う個人情報取扱事業者の氏名又は名称及び住所(法人等の場合は代表者の氏名も含む) | 変更後に遅滞なく |
| 2 | 第三者への提供を利用目的とすること | (第三者提供をやめたときは遅滞なく) |
| 3 | 第三者に提供される個人データの項目 | あらかじめ |
| 4(新設) | 第三者に提供される個人データの取得の方法 | あらかじめ |
| 5 | 第三者への提供の方法 | あらかじめ |
| 6 | 本人の求めに応じて第三者提供を停止すること | ― |
| 7 | 本人の求めを受け付ける方法 | あらかじめ |
| 8(新設) | その他個人の権利利益を保護するために必要なものとして個人情報保護委員会規則で定める事項 | あらかじめ |
共同利用(法23条5項3号)についても、改正法案は通知等が必要な事項を追加した。具体的には、共同利用する個人データの管理について責任を有する者の氏名又は名称のほか、その住所(法人の場合はその代表者の氏名を含む)も、あらかじめ本人に通知し又は本人が容易に知り得る状態に置く必要がある。なお、当該責任者の氏名又は名称及び住所(法人の場合はその代表者の氏名を含む)に変更があったときは、遅滞なく、本人への通知等を行う必要がある。
(5) オプトアウトの対象範囲の限定
また、改正法案の下では、偽りその他不正の手段により取得された個人データや、他の個人情報取扱事業者からオプトアウト方式により提供を受けた個人データ(その全部又は一部を複製又は加工したものを含む)は、オプトアウト方式による第三者提供を行うことはできない。
オプトアウト方式による第三者提供を行っている企業においては、規則の制定動向にも留意しつつ、適切な通知・届出等を継続すると共に、提供対象の個人データの範囲を見直す必要がある。
この記事はプレミアム向け有料記事です
続きはログインしてご覧ください