個人情報保護法 2020年改正と実務対応のポイント(4)
データ利活用に関する施策の在り方に関する改正
西村あさひ法律事務所
弁護士・ニューヨーク州弁護士 河 合 優 子
本年6月12日、「個人情報の保護に関する法律等の一部を改正する法律」(以下「2020年改正法」という)が公布された。現在のところ、施行時期は2022年春~6月頃と見込まれている[1]。
本連載の1回目は個人データに関する個人の権利の在り方に関する改正、2回目は漏えい等報告及び本人通知に関する改正、3回目は適正利用及び公表事項の充実に関する改正について、それぞれ実務対応のポイントと共に概説した。今回は、データ利活用に関する施策の在り方に関する改正と、それに伴う実務対応のポイントを概説する。なお、以下では、現行の個人情報保護法を「法」又は「現行法」といい、2020年改正法による改正後の個人情報保護法を「改正法」という。
1 仮名加工情報の新設
(1) 概 要
現行法における匿名加工情報は、加工基準が厳格であること、作成や第三者提供に伴い一定の公表が必要であること等により、当初の想定よりも有効活用がなされていない状況にあった。そこで、2020年改正法は、一定の安全性を確保しつつイノベーションを推進する観点から、匿名加工情報とは別に、新たに仮名加工情報という概念を設け(改正法2条9項)、これに関する一連の規定を新設している(改正法35条の2、35条の3)。2019年12月13日「個人情報保護法 いわゆる3年ごと見直し 制度改正大綱」においては「仮名化情報(仮称)」として示されていた。事業者内部における利用に限定するための行為規制や利用目的の特定・公表を前提として、個人の各種請求(開示・訂正等、利用停止等の請求)への対応義務が緩和され、様々なデータ分析や技術開発への活用が期待されるものである。
仮名加工情報は、仮に他の情報と照合すれば特定の個人を識別できる程度の加工も想定されている点、及び、個人情報を復元できない状態とすることが要求されていない点で、匿名加工情報と異なる。個人情報と匿名加工情報の中間的な位置づけといえるが、事業者内部でのデータ分析等の促進を目的とする制度であるため、通常の個人情報よりも緩和される規制と厳格化される規制が併存していることが特徴的である。また、仮名加工情報は、①個人情報である場合と、②個人情報でない場合(当該事業者に原データが存在しない場合等が考えられる)が想定されている。
(2) すべての仮名加工情報に適用される規律
(ア) 加工基準
個人情報取扱事業者は、仮名加工情報[2]を作成するときは、他の情報と照合しない限り特定の個人を識別することができないようにするために必要なものとして個人情報保護委員会規則で定める基準に従い、個人情報を加工しなければならない(改正法35条の2第1項)。具体的な加工基準は、規則の改正やガイドラインの制定が待たれる[3]。国会での審議によれば、氏名等の特定の個人を識別することができる記述を削除すること等が想定されており、住所や生年月日等、これらを組み合わせることにより個人が識別される場合には、これらも削除対象とすることが検討されているようである。
(イ) 安全管理措置
また、個人情報取扱事業者は、仮名加工情報を作成したとき、又は仮名加工情報及び当該仮名加工情報に係る削除情報等[4]を取得したときは、削除情報等の漏えいを防止するために必要なものとして個人情報保護委員会規則で定める基準に従い、削除情報等の安全管理のための措置を講じなければならない(改正法35条の2第2項)。安全管理措置の具体的な基準も、規則の改正やガイドラインの制定が待たれるが、国会での審議によれば、削除情報等が漏洩した場合には、当該仮名加工情報を継続利用することは原則として許容されず、仮名加工情報を作成し直すことが求められる可能性がある。
(3) 個人情報である仮名加工情報に適用される規律
個人情報である仮名加工情報(以下、本(3)において単に「仮名加工情報」という)については、通常の個人情報又は個人データの取扱いに関する規定を一部修正する形で規律が定められている[5]。具体的には、利用目的の達成に必要な範囲を超えた取扱いの原則禁止[6]、利用目的の公表義務(通知は不可)、利用する必要がなくなった場合の消去の努力義務、第三者提供の原則禁止、本人識別行為の禁止、電話等での利用禁止等が明示されている(改正法35条の2第3項~8項)。一方で、利用目的の変更に関する制限(改正法15条2項)、漏洩等の報告・通知義務(改正法22条の2)、保有個人データに関する一定事項の公表義務、開示・訂正・利用停止・第三者提供の停止等の請求、開示手続等(改正法27条~34条)の規定は適用されず(改正法35条の2第9項)、事業者の負担軽減が図られている。
このうち、仮名加工情報の利用目的については、当該仮名加工情報が個人情報である以上は利用目的の特定及び公表が必要であるものの、利用目的の変更については制限がない。したがって、事業者が個人情報の取得時や仮名加工情報の作成時には想定していなかった目的で仮名加工情報を利用する場合、利用目的を変更することについて、本人の同意を得る必要はない。
他方、仮名加工情報は事業者内部における利活用を促進するものであるため、通常の個人データの第三者提供の場合と異なり、仮名加工情報は、本人の同意やオプトアウト手続に基づく第三者提供を行うことができない[7]。なお、仮名加工情報の作成後であっても、当該作成に用いられた原データについては、引き続き、本人同意やオプトアウト手続に基づく第三者提供を行うことは可能である。
(4) 個人情報でない仮名加工情報に適用される規律
個人情報でない仮名加工情報についても、第三者提供の原則禁止[8]、本人識別行為の禁止、電話等での利用禁止等が明示されている(改正法35条の3各項)。また、漏洩を防止する観点から、個人データに関する規律のうち、安全管理措置(改正法20条。ただし、滅失毀損の防止の観点は対象外である)、従業者の監督(改正法21条)、委託先の監督(改正法22条)及び苦情の処理(改正法35条)に関する規定が準用される(改正法35条の3第3項)。
この記事はプレミアム向け有料記事です
続きはログインしてご覧ください