個人情報保護法 2020年改正と実務対応のポイント(4)
データ利活用に関する施策の在り方に関する改正
西村あさひ法律事務所
弁護士・ニューヨーク州弁護士 河 合 優 子
本年6月12日、「個人情報の保護に関する法律等の一部を改正する法律」(以下「2020年改正法」という)が公布された。現在のところ、施行時期は2022年春~6月頃と見込まれている[1]。
本連載の1回目は個人データに関する個人の権利の在り方に関する改正、2回目は漏えい等報告及び本人通知に関する改正、3回目は適正利用及び公表事項の充実に関する改正について、それぞれ実務対応のポイントと共に概説した。今回は、データ利活用に関する施策の在り方に関する改正と、それに伴う実務対応のポイントを概説する。なお、以下では、現行の個人情報保護法を「法」又は「現行法」といい、2020年改正法による改正後の個人情報保護法を「改正法」という。
1 仮名加工情報の新設
(1) 概 要
現行法における匿名加工情報は、加工基準が厳格であること、作成や第三者提供に伴い一定の公表が必要であること等により、当初の想定よりも有効活用がなされていない状況にあった。そこで、2020年改正法は、一定の安全性を確保しつつイノベーションを推進する観点から、匿名加工情報とは別に、新たに仮名加工情報という概念を設け(改正法2条9項)、これに関する一連の規定を新設している(改正法35条の2、35条の3)。2019年12月13日「個人情報保護法 いわゆる3年ごと見直し 制度改正大綱」においては「仮名化情報(仮称)」として示されていた。事業者内部における利用に限定するための行為規制や利用目的の特定・公表を前提として、個人の各種請求(開示・訂正等、利用停止等の請求)への対応義務が緩和され、様々なデータ分析や技術開発への活用が期待されるものである。
仮名加工情報は、仮に他の情報と照合すれば特定の個人を識別できる程度の加工も想定されている点、及び、個人情報を復元できない状態とすることが要求されていない点で、匿名加工情報と異なる。個人情報と匿名加工情報の中間的な位置づけといえるが、事業者内部でのデータ分析等の促進を目的とする制度であるため、通常の個人情報よりも緩和される規制と厳格化される規制が併存していることが特徴的である。また、仮名加工情報は、①個人情報である場合と、②個人情報でない場合(当該事業者に原データが存在しない場合等が考えられる)が想定されている。
(2) すべての仮名加工情報に適用される規律
(ア) 加工基準
個人情報取扱事業者は、仮名加工情報[2]を作成するときは、他の情報と照合しない限り特定の個人を識別することができないようにするために必要なものとして個人情報保護委員会規則で定める基準に従い、個人情報を加工しなければならない(改正法35条の2第1項)。具体的な加工基準は、規則の改正やガイドラインの制定が待たれる[3]。国会での審議によれば、氏名等の特定の個人を識別することができる記述を削除すること等が想定されており、住所や生年月日等、これらを組み合わせることにより個人が識別される場合には、これらも削除対象とすることが検討されているようである。
(イ) 安全管理措置
また、個人情報取扱事業者は、仮名加工情報を作成したとき、又は仮名加工情報及び当該仮名加工情報に係る削除情報等[4]を取得したときは、削除情報等の漏えいを防止するために必要なものとして個人情報保護委員会規則で定める基準に従い、削除情報等の安全管理のための措置を講じなければならない(改正法35条の2第2項)。安全管理措置の具体的な基準も、規則の改正やガイドラインの制定が待たれるが、国会での審議によれば、削除情報等が漏洩した場合には、当該仮名加工情報を継続利用することは原則として許容されず、仮名加工情報を作成し直すことが求められる可能性がある。
(3) 個人情報である仮名加工情報に適用される規律
個人情報である仮名加工情報(以下、本(3)において単に「仮名加工情報」という)については、通常の個人情報又は個人データの取扱いに関する規定を一部修正する形で規律が定められている[5]。具体的には、利用目的の達成に必要な範囲を超えた取扱いの原則禁止[6]、利用目的の公表義務(通知は不可)、利用する必要がなくなった場合の消去の努力義務、第三者提供の原則禁止、本人識別行為の禁止、電話等での利用禁止等が明示されている(改正法35条の2第3項~8項)。一方で、利用目的の変更に関する制限(改正法15条2項)、漏洩等の報告・通知義務(改正法22条の2)、保有個人データに関する一定事項の公表義務、開示・訂正・利用停止・第三者提供の停止等の請求、開示手続等(改正法27条~34条)の規定は適用されず(改正法35条の2第9項)、事業者の負担軽減が図られている。
このうち、仮名加工情報の利用目的については、当該仮名加工情報が個人情報である以上は利用目的の特定及び公表が必要であるものの、利用目的の変更については制限がない。したがって、事業者が個人情報の取得時や仮名加工情報の作成時には想定していなかった目的で仮名加工情報を利用する場合、利用目的を変更することについて、本人の同意を得る必要はない。
他方、仮名加工情報は事業者内部における利活用を促進するものであるため、通常の個人データの第三者提供の場合と異なり、仮名加工情報は、本人の同意やオプトアウト手続に基づく第三者提供を行うことができない[7]。なお、仮名加工情報の作成後であっても、当該作成に用いられた原データについては、引き続き、本人同意やオプトアウト手続に基づく第三者提供を行うことは可能である。
(4) 個人情報でない仮名加工情報に適用される規律
個人情報でない仮名加工情報についても、第三者提供の原則禁止[8]、本人識別行為の禁止、電話等での利用禁止等が明示されている(改正法35条の3各項)。また、漏洩を防止する観点から、個人データに関する規律のうち、安全管理措置(改正法20条。ただし、滅失毀損の防止の観点は対象外である)、従業者の監督(改正法21条)、委託先の監督(改正法22条)及び苦情の処理(改正法35条)に関する規定が準用される(改正法35条の3第3項)。
2 個人関連情報に関する規律の導入
(1) 概 要
近時、提供先において個人データになることを事前に知りながら、提供元では個人データに該当しないため非個人情報として第三者に提供するというスキームが存在しており、本人関与のない個人情報の収集方法の広がりが懸念されていた。
2020年改正法は、第三者提供の際の個人データ該当性の判断において、現行法と同様にいわゆる提供元基準の立場を基本としつつ、提供元では個人データに該当しないものの提供先において個人データになることが想定される情報について、その第三者提供を規制するため、個人関連情報に関する規律を創設している(改正法26条の2)。
「個人関連情報」とは、生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいう(改正法26条の2第1項)。氏名と結びついていないウェブ閲覧履歴、位置情報、クッキー等がこれに該当し得るが、改正法は、これらの情報の取扱い全般を規制するわけではなく、提供先で個人データとなることが想定される場合のみを対象としている。
(2) 確認義務
個人関連情報取扱事業者(個人関連情報データベース等[9]を事業の用に供している者であって、法2条5項各号に掲げる者を除いたものをいう)は、第三者が個人関連情報[10]を個人データとして取得することが想定されるときは、改正法23条1項各号に掲げる場合(法令遵守や生命身体財産保護のために必要な場合等)を除き、下記の事項について、あらかじめ個人情報保護委員会規則で定めるところにより確認しなければ、当該個人関連情報を当該第三者に提供してはならない(改正法26条の2第1項)。
- ① 当該第三者が個人関連情報取扱事業者から個人関連情報の提供を受けて本人が識別される個人データとして取得することを認める旨の当該本人の同意が得られていること(改正法26条の2第1項1号)
- ② 外国にある第三者への提供にあっては、上記①の本人の同意を得ようとする場合において、個人情報保護委員会規則で定めるところにより、あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報が当該本人に提供されていること(同項2号)
このうち「個人データとして取得することが想定されるとき」とは、例えば、提供先の第三者から事前にその旨を告げられているケースや、個人関連情報の提供に際して、提供先の第三者において氏名等と紐付けられる固有のID等を併せて提供するケースが考えられる。国会での審議によれば、提供元の事業者に一般的・網羅的な調査義務を課す趣旨ではなく、提供先の第三者との取引類型や取引状況といった客観的な事情に照らして、提供先が個人データとして取得することが一般人の認識を基準として想定できる場合に、確認義務が生じるものと考えられる。企業における現実的な対応としては、個人関連情報の提供に関する契約において、提供先の第三者が個人データとして取得しないことを、当該第三者に義務付ける・あるいは第三者に表明保証させることによって、確認の負担が生じないよう手当をしておくことも考えられるだろう。これらの詳細について、ガイドライン等での明確化が望まれる。
また、①の同意取得及び②の措置は、基本的には、提供先の第三者が行うことが想定されているようである。個人データを提供する場合には、提供元の事業者において、本人の同意の取得や本人に対する情報提供等の措置が必要であるが、個人関連情報を提供する場合には、特定の個人を識別できない提供元の事業者ではなく、提供先の第三者に、当該措置と同様の措置を実施させ、提供元の事業者は当該措置の確認義務のみを負うという構成をとっている。なお、提供先の第三者は、個人関連情報取扱事業者に対して、当該確認に係る事項を偽ってはならない(改正法26条の2第3項、26条2項)。
(3) 記録の作成・保存義務
上記(2)の確認義務がある場合、個人関連情報取扱事業者は、個人情報保護委員会規則で定めるところにより、当該個人関連情報を提供した年月日、確認に係る事項その他の個人情報保護委員会規則で定める事項に関する記録を作成し(改正法26条の2第3項、26条3項)、作成日から個人情報保護委員会規則で定める期間保存しなければならない(改正法26条の2第3項、26条4項)。この記録の作成・保存に関する規律は、通常の個人データの第三者提供の際の「受領」側の規定が準用されている。
3 実務対応のポイント
以上の改正点をふまえると、企業においては以下のような対応をとることが考えられる。これらは、規則やガイドラインの改正動向に留意しつつ、準備を進めていく必要がある。
- • 自社が取得・利用・提供する情報について、個人情報[11]、仮名加工情報、個人関連情報、匿名加工情報、統計情報のいずれに分類されるか、あるいは今後いずれに分類したいのかを把握する
- • 仮名加工情報を取り扱う場合、社内規程やマニュアルを作成し、社内体制を整備する。また、プライバシーポリシーを改訂して仮名加工情報の利用目的を公表する
- • 自社の端末、ウェブサイト又はアプリケーション等において、個人関連情報が第三者に提供される場面がないかを洗い出し、提供先において個人を特定できる態様で取得されるか否かを確認する
- • 個人関連情報を第三者に提供する場合、当該提供の根拠となる契約を洗い出し、内容を見直すことを検討する。また、提供先に対する確認の要否に関する判断基準、確認方法、記録の作成保存方法を定める
- • 第三者から個人関連情報の提供を受け、個人データとして取得する可能性がある場合、本人の同意取得や情報提供等の措置を実施する体制を整備する
[1] ただし、罰則に関する定めは公布の日から起算して6月を経過した日に施行される(2020年改正法附則1条2項)。
[2] 仮名加工情報データベース等を構成するものに限られる。仮名加工情報データベース等とは、仮名加工情報を含む情報の集合物であって、特定の仮名加工情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の仮名加工情報を容易に検索することができるように体系的に構成したものとして政令で定めるものをいう(改正法2条10項)。
[3] 個⼈情報保護委員会2020年6月15日付資料1「個⼈情報の保護に関する法律等の⼀部を改正する法律の成立を受けた個人情報保護委員会の今後の取組(案)について」5頁のロードマップ案によれば、個人情報保護委員会規則の改正は、2021年1月〜2月頃に意見募集がなされ、3月〜5月頃に公布されることが想定されているようである。
[4] 仮名加工情報の作成に用いられた個人情報から削除された記述等及び個人識別符号並びに改正法35条の2第1項の規定により行われた加工の方法に関する情報をいう(改正法35条の2第2項)。
[5] 特に修正されていない規律は、通常の個人情報及び個人データに適用されるものが当然に適用される。
[6] 法令に基づく場合のみ除外されており、例えば、あらかじめ本人の同意を得た場合や、人の生命、身体又は財産の保護のために必要があり本人の同意を得ることが困難である場合等でも、目的外利用は許容されない。
[7] 委託に伴う提供や共同利用を行うことは可能である。共同利用を行う場合、本人に通知し又は本人が容易に知り得る状態に置くべき各項目は、当該通知等に代わり、公表する必要がある(改正法35条の2第6項)。
[8] 本人の同意やオプトアウト手続に基づく第三者提供を行えないことや、委託に伴う提供や共同利用が可能であることは、(3)と同様である。
[9] 個人関連情報データベース等とは、個人関連情報を含む情報の集合物であって、特定の個人関連情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の個人関連情報を容易に検索することができるように体系的に構成したものとして政令で定めるものをいう(改正法26条の2第1項)。
[10] 個人関連情報データベース等を構成するものに限る。したがって、個人関連情報データベース等を構成しない個人関連情報(散在情報である情報)については、この規制の対象とならない。
[11] 安全管理措置としての仮名化処理がなされた個人情報を含む。