個人情報保護法 2020年改正と実務対応のポイント(1)
個人の権利の在り方に関する改正
西村あさひ法律事務所
弁護士・ニューヨーク州弁護士 河 合 優 子
本年6月12日、「個人情報の保護に関する法律等の一部を改正する法律」(以下「2020年改正法」という)が公布された。現在のところ、施行時期は2022年春〜6月頃と見込まれている[1]。今般の改正により、開示請求等の充実化、オプトアウトに関する規律の一部変更、個人情報の漏えい等が生じた場合の報告・通知義務の新設、仮名加工情報や個人関連情報の規律の新設、域外移転に関する規律、罰金上限額の変更などがなされる。そこで、本稿から数回にわたり、今般の改正と実務対応のポイントを概説することとしたい。以下では、現行の個人情報保護法を「法」といい、2020年改正法による改正後の個人情報保護法を「改正法」という。
1 保有個人データの定義の変更
現行法の「保有個人データ」には、取得後6か月以内に消去することとなる個人データは含まれない(法2条7項、同施行令5条)が、改正法の下では、当該除外要件が撤廃される。
保有個人データは、本人による開示請求(法28条1項)、内容の訂正、追加又は削除の請求(法29条1項)、利用の停止又は消去の請求(法30条1項)、及び第三者提供の停止の請求(同条3項)の対象となる概念である。
そこで、現在、保存期間によりこれらの請求に応じるべき個人データか否かを区別している企業においては、今後、個人情報の取扱いに関する社内規程・マニュアルの見直しや、開示請求等への対応体制を見直す必要がある。なお、EU域内から十分性認定により移転を受ける個人データについては、現在においても、十分性認定補完的ルールにより、消去することとしている期間にかかわらず保有個人データとして取り扱う必要があるから、今般の改正に伴う特段の手当は基本的に不要であるが、十分性認定補完的ルールへの対応ができているかについては今一度確認されたい。
2 開示請求の充実
保有個人データの開示について、現在は、原則として書面交付の方法により行われているが(法28条2項、同施行令9条)、改正法の下では、本人は、電磁的記録の提供による方法その他の個人情報保護委員会規則で定める方法による開示を請求できる(改正法28条1項)。個人情報取扱事業者が当該開示請求に応じる場合、原則として、本人が請求した方法で開示しなければならない。但し、当該方法による開示に多額の費用を要する等、当該方法による開示が困難な場合には、本人に対してその旨を遅滞なく通知し、書面交付の方法により開示を行うことが許容される(改正法28条2項括弧書、同条3項)。
また、改正法の下では、開示請求の対象に、個人データの第三者提供記録も含まれる(改正法28条5項)。第三者提供記録とは、(i)個人データを第三者に提供したときに作成する記録(改正法25条1項)及び(ii)第三者から個人データの提供を受ける際に行う確認の記録(改正法26条3項)を指す。但し、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるものは除かれる。
これらの改正点をふまえ、以下のような実務対応が考えられる。4点目については、従前は個人情報保護委員会等のみに開示する前提であった記録を本人にも開示することになるため、当該記録が本人への開示になじむものであるか一度確認しておくべきという趣旨である。
- • 開示請求に関する社内マニュアルや体制を見直す
- • 電磁的記録の提供による方法で開示できるよう、技術的・組織的な準備を進める(今後、規則において別の開示方法が定められた場合には、当該方法への準備も必要)
- • 自社においてどのような第三者提供記録を作成しているか確認し、不十分なものがあれば、速やかに適切な第三者提供記録を作成する
- • 第三者提供記録に、本人への開示を想定していない記載が含まれていないかといった事実関係の把握
3 利用停止等の請求・第三者提供停止の請求の要件緩和
保有個人データの利用の停止又は消去(以下「利用停止等」という)の請求、及び保有個人データの第三者提供の停止の請求について、改正法の下では、請求要件が緩和される。
改正法における利用停止等及び第三者提供の停止の請求事由等をまとめると、次のとおりである(太字下線部が新設箇所である)。本人の権利又は正当な利益が害されるおそれがある場合(改正法30条5項)とは、本人の意思に反してダイレクトメールが繰り返し頻繁に送付されるような場合が念頭に置かれているようであるが、今後、ガイドラインでの明確化が待たれるところである。なお、本人の権利利益の侵害がない場合にまで利用停止等や第三者提供の停止を請求できるかについては、議論の余地があったものの、今般の改正では見送られた。
| 請求事由 | 利用の停止又は消去の請求 | 第三者提供の停止の請求 |
| 改正法16条(利用目的による制限)違反 |
○ |
- |
| 改正法16条の2(不適正な利用の禁止)違反 |
○ |
- |
| 改正法17条(適正な取得)違反 |
○ |
- |
| 改正法23条1項(第三者提供の制限)違反 |
- |
○ |
| 改正法24条(外国にある第三者への提供の制限)違反 |
- |
○ |
| 利用する必要がなくなった場合 |
○ |
|
| 改正法22条の2第1項本文に規定する事態(一定の個人データの漏えい等)が生じた場合 |
○ |
|
| 本人の権利又は正当な利益が害されるおそれがある場合 |
○ |
|
保有個人データの定義の変更とあいまって、企業によっては、改正法の施行後、利用停止等の請求や第三者提供停止の請求の件数が大幅に増加する可能性がある。特に、個人情報保護委員会に届け出る義務の発生する個人データの漏えい等が生じた場合、利用停止等及び第三者提供の停止の対象となるため、漏えい時に多数の請求がなされる可能性がある。考えられる実務対応としては、以下が挙げられる。
- • 利用停止等の請求・第三者提供の停止の請求に関する社内マニュアルや体制を見直す
- • 「利用する必要がなくなった場合」との請求事由への対応準備として、各保有個人データの利用目的や利用の必要性を確認できる仕組みを整備する、あるいは保管期間を事前に設定しておき、期間の経過により自動的にデータを削除する運用に変更する
- • 個人データの漏えい等の事案が発生した場合にリスク管理部門と個人データ対応部門が連携できるよう、連絡体制の整備や勉強会を行う
4 オプトアウト規制の強化
いわゆるオプトアウト方式による個人データの第三者提供(法23条2項)について、改正法の下では、通知・届出等が必要な事項が追加される。また、それらの事項に変更等が生じる場合等も、通知・届出等が必要となる。この点に関する改正法の内容をまとめると、次のとおりである。
| 通知・届出等が必要な事項 (太字下線部が新設箇所) | 変更が生じる場合の通知・届出等のタイミング |
| 第三者提供を行う個人情報取扱事業者の氏名又は名称及び住所(法人等の場合は代表者の氏名も含む) | 変更後に遅滞なく |
| 第三者への提供を利用目的とすること | (第三者提供をやめたときは遅滞なく) |
| 第三者に提供される個人データの項目 | あらかじめ |
| 第三者に提供される個人データの取得の方法 | あらかじめ |
| 第三者への提供の方法 | あらかじめ |
| 本人の求めに応じて第三者提供を停止すること | - |
| 本人の求めを受け付ける方法 | あらかじめ |
| その他個人の権利利益を保護するために必要なものとして個人情報保護委員会規則で定める事項 | あらかじめ |
今般の改正により新たに通知・届出の対象となる事項については、改正法の施行日前より、通知及び届出を行うことができる。その場合、改正法の施行日において通知及び届出を行ったものとみなされる(2020年改正法附則2条)。
また、改正法では、要配慮個人情報のほか、偽りその他不正の手段により取得された個人データや、他の個人情報取扱事業者からオプトアウト方式により提供を受けた個人データ(その全部又は一部を複製又は加工したものを含む)は、オプトアウト方式による第三者提供を行うことはできない(改正法23条2項ただし書)。
以上の改正点をふまえ、オプトアウト方式による第三者提供を行っている企業においては、以下のような実務対応が考えられる。
- • プライバシーポリシーや個人情報保護方針等の見直し・修正検討
- • 追加の通知・公表及び届出事項について、「あらかじめ」通知・公表及び届出を行う
- • 適切な通知・公表及び届出を継続できる社内体制の整備
- • オプトアウト方式により個人データの提供を受けて、更に同方式で別の第三者に当該個人データを提供している場合、代替手段の検討
また、オプトアウト方式による第三者提供を行っていない企業においても、法26条1項2号に基づく確認義務との関係で、自己が第三者から提供を受ける個人データについて、不正取得された個人データはないか、二重三重のオプトアウト方式で第三者提供がなされた個人データではないか、という点について確認することが考えられる。
5 共同利用における開示事項の変更
今般の改正により、共同利用を行う場合にあらかじめ通知・公表を行うべき事項が追加される(改正法23条5項3号)。上記4のオプトアウト手続における通知・届出事項の追加と整合する変更である。また、共同利用の変更を行う場合に、現行法の下であらかじめ通知・公表を行うことにより変更できる項目(すなわち、共同利用者の利用目的、個人データの管理について責任を有する者)については、改正後も、変更に際してあらかじめ通知・公表を行うことが必要であるが、個人データの管理について責任を有する者の氏名又は名称(これは、責任を有する者それ自体は変更がないが、その者の氏名又は名称が変更された場合のみを抽出した概念であると考えられる)、住所、法人の場合の代表者の氏名の変更については、遅滞なく通知・公表を行うことで足りるとされている(改正法23条6項)。この点に関する改正法の内容をまとめると、次のとおりである(太字下線部が新設箇所である)[2]。
| あらかじめ本人に通知し又は本人が容易に知り得る状態に置く事項 | 変更が生じる場合の通知等のタイミング |
| 共同利用を行う旨 |
- |
|
共同して利用される個人データの項目 |
- |
|
共同して利用する者の範囲 |
- |
|
共同して利用する者の利用目的 |
あらかじめ |
| 当該個人データの管理について責任を有する者の氏名又は名称及び住所、並びに法人の場合はその代表者の氏名 | 変更後に遅滞なく (管理責任者自体の変更は、あらかじめ) |
今般の改正により新たに通知・公表の対象となる事項については、改正法の施行日前より、通知を行うことができる。その場合、改正法の施行日において通知を行ったものとみなされる(2020年改正法附則3条)。
以上の改正点をふまえ、共同利用を行っている企業においては、以下のような実務対応が考えられる。
- • プライバシーポリシー、個人情報保護方針、通知文言等の見直し・修正検討
- • 追加の通知・公表事項について、「あらかじめ」通知・公表を行う
- • 適切な通知・公表を継続できる社内体制の整備
[1] ただし、罰則に関する定めは公布の日から起算して6月を経過した日に施行される(2020年改正法附則1条2項)。
[2] なお、共同して利用される個人データの項目及び共同利用者の範囲については、現行法上、法23条6項に該当しない以上、原則として変更が認められないが、あらかじめ本人の同意を得た場合や事業承継が行われたが個人データの項目に変更がない場合等には、引き続き共同利用を行うことが可能と解されている(ガイドライン(通則編)3-4-3(3))。改正法はこの点について特に言及しておらず、取扱いに変更がないものと考えられる。