個人情報保護法 2020年改正と実務対応のポイント(3)
適正利用及び公表事項の充実に関する改正
西村あさひ法律事務所
弁護士・ニューヨーク州弁護士 河 合 優 子
本年6月12日、「個人情報の保護に関する法律等の一部を改正する法律」(以下「2020年改正法」という)が公布された。現在のところ、施行時期は2022年春~6月頃と見込まれている[1]。
本連載の1回目は個人データに関する個人の権利の在り方に関する改正、2回目は漏えい等報告及び本人通知に関する改正について、それぞれ実務対応のポイントと共に概説した。今回は、不適正な利用の禁止及び保有個人データに関する公表事項の充実に関する改正と、それに伴う実務対応のポイントを概説する。なお、以下では、現行の個人情報保護法を「法」又は「現行法」といい、2020年改正法による改正後の個人情報保護法を「改正法」という。
1 不適正な利用の禁止
(1) 概 要
現行法は、取得時の規律として、偽りその他不正の手段により個人情報を取得してはならないとする(法17条1項)。他方、利用時の規律については、適正な手段により取得した個人情報について、取得時に特定された利用目的の達成に必要な範囲内で利用するか、その範囲を超えて利用する場合はあらかじめ本人の同意を得て利用するのであれば、同法上は、特段の制限は存在しない。
しかしながら、2019年12月13日「個人情報保護法 いわゆる3年ごと見直し 制度改正大綱」(以下「制度改正大綱」という)において説明されているとおり、現行法の規定に照らして違法でないとしても、同法の目的である個人の権利利益の保護に照らして看過できないような方法で個人情報が利用されている事例が一部みられた。
そこで、改正法は、個人情報取扱事業者は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならないことを明記している(改正法16条の2)。この義務違反は、勧告、命令及び違反事実の公表等の対象となる(改正法42条1項・3項・4項)。
(2) 適用範囲
改正法16条の2は、その文言上、適用の外延が必ずしも明らかでないように思われる。国会審議の内容等によれば、個人の権利利益の保護に照らして見逃せないような方法で個人情報が利用されているケースが想定されているようであり、具体的には、以下のような悪質なケースが念頭に置かれているようである。
- • 違法行為を営む事業者に個人情報を提供するケース
- • 裁判所による公告等により散在的に公開されているが差別を誘発するおそれがあるような個人情報を集約化・データベース化し、インターネット上で公開するケース(いわゆる破産者マップの作成や公開等)
- • 不当な要求による被害を防止するための業務を行う責任者・担当者の名簿等をみだりに開示したり、その存在を明らかにしたりするケース
今後、企業におけるデータの利活用において萎縮効果が生じないよう、ガイドライン等において複数の具体例が示される等、個人情報取扱事業者の予測可能性が確保されることが期待される。
(3) 利用停止等の請求への対応
本連載の第1回で述べたとおり、今般の改正により、保有個人データの利用の停止又は消去の請求について、請求要件が緩和され、不適正な利用の禁止(改正法16条の2)の違反がある場合にも、当該請求がなされる可能性がある(改正法30条1項)。個人情報取扱事業者は、当該請求に理由があることが判明したときには、原則として違反を是正するために必要な限度で、遅滞なく、当該保有個人データの利用の停止又は消去を行わなければならない(改正法30条2項本文)。
今般の改正により「保有個人データ」の範囲が拡大されることもあいまって、企業によっては、改正法の施行後、利用の停止又は消去の請求の件数が大幅に増加する可能性があるため、留意が必要である。
(4) 実務対応のポイント
以上の改正点をふまえると、企業においては以下のような対応をとることが考えられる。これらは、ガイドライン等の改正動向に留意しつつ、準備を進めていく必要がある。
- • 取得した個人データの自社における利用状況を確認・把握する
- • 個人データを第三者に提供している場合、提供の手法、提供先の属性、提供先における利用状況を確認・把握する
- • 確認・把握の結果、利用の適正性に疑義があれば、改善を進める
- • 利用停止等の請求に関する社内マニュアルや体制を見直す
2 保有個人データに関する公表事項の充実
(1) 概 要
現行法は、個人情報取扱事業者が保有個人データに関して本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む)に置かなければならない事項として、①当該個人情報取扱事業者の氏名又は名称、②全ての保有個人データの利用目的[2]、③保有個人データの、利用目的の通知、開示、訂正追加又は削除、利用停止又は消去、第三者提供の停止の各請求に応じる手続[3]、④保有個人データの適正な取扱いの確保に関し必要な事項として政令で定めるもの(具体的には、苦情の申出先、認定個人情報保護団体の名称等。個人情報の保護に関する法律施行令8条)を定めている(法27条1項1号~4号)。
改正法は、これに、当該個人情報取扱事業者の住所と、法人の場合はその代表者の氏名[4]を追加している(改正法27条1項1号)。オプトアウト事業者の通知公表・届出事項に関する改正法23条2項や共同利用に関する同条5項3号との平仄がとられている。
また、制度改正大綱は、本人の適切な理解と関与を可能としつつ、個人情報取扱事業者の適正な取扱いを促す観点から、「個人情報の取扱体制や講じている措置の内容、保有個人データの処理の方法等の本人に説明すべき事項を、法に基づく公表事項(政令事項)として追加する」としている。そのため、上記施行令の改正により、これらの事項も本人の知り得る状態に置く必要が生じることになると考えられる。
(2) 実務対応のポイント
以上の改正点をふまえると、企業においては以下のような対応をとることが考えられる。これらは、施行令やガイドライン等の改正動向に留意しつつ、準備を進めていく必要がある。
- • 自社における個人情報の取扱体制や講じている措置の内容、保有個人データの処理の方法等について、事実関係を確認・把握する。その結果、取扱体制や措置等の適正性や十分性に疑義があれば、改善を進める
- • プライバシーポリシー等の記載を見直し、改正法の下で新たに必要とされる事項・情報を分かりやすく追記する
また、今般の改正では、PIA(Privacy Impact Assessment)の努力義務化や個人データ取扱責任者の設置義務化は見送られたが、自主的な取組として実施することも考えられる。
[1] ただし、罰則に関する定めは公布の日から起算して6月を経過した日に施行される(2020年改正法附則1条2項)。
[2] 法18条4項1号から3号までに該当する場合を除く。
[3] 法33条2項の規定により手数料の額を定めたときは、その手数料の額を含む。
[4] 法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人の氏名。改正法23条2項1号参照。