2020年(令和2年)6月5日、改正個人情報保護法が国会で可決・成立し、2022年4月1日に全面施行予定となっています。
現在ガイドライン等の整備が進められていますが、事業者はいち早く改正個人情報保護法の内容を理解し、改正法に合わせたオペレーションの見直しに着手することが大切です。
今回は、令和2年改正個人情報保護法について、検討中のガイドラインで提示されている事例とともに解説します。
改正ポイント①|本人の個人情報に関する権利を拡大
令和2年改正個人情報保護法では、以下のとおり、本人が個人情報をコントロールする権利が大幅に拡大されています。
事業者としては、本人からの各種の請求に備えて、窓口業務の見直しを図りましょう。
①個人データの利用停止・消去・第三者提供禁止
現行法上の法令違反の場合に加えて、以下の場合にも個人データの利用停止・消去・第三者提供禁止を事業者に請求できるようになります(改正法30条5項、6項)。
(a) | 事業者が個人データを利用する必要がなくなった場合 |
| (事例) ・ダイレクトメールの送付停止を依頼した後、個人情報の消去を請求した場合 |
(b) | 個人情報保護委員会への漏えい報告などが必要となった場合(事例は後述) |
(c) | その他本人の権利または正当な利益が害されるおそれがある場合 |
| (事例) ・個人情報の安全管理措置が十分に講じられていない事業者に対して、個人情報の消去を請求した場合 |
②保有個人データに関する開示請求権
保有個人データに関する開示請求を行う際、原則として本人が開示方法を指定できるようになります(改正法28条2項)。
また、個人データの第三者提供記録についても、開示の対象に追加されます(同条5項)。
③短期保存データの開示請求権・利用停止等請求権
Cookieなど、6か月以内に消去される短期保存データも、開示請求および利用停止・消去・第三者提供禁止請求の対象となります(改正法2条7項)。
④オプトアウト方式による個人データの第三者提供を制限
オプトアウト方式とは、原則個人データの第三者提供を可能としつつ、本人の請求があって初めて個人データの第三者提供を停止することをいいます。
現行法では一般的に認められているオプトアウト方式について、改正法では、以下のデータがオプトアウト方式による第三者提供の対象外となります(改正法23条2項)。
- 要配慮個人情報
- 不正取得された個人データ
- 他の個人情報取扱事業者からオプトアウト方式により提供を受けた個人データ
改正ポイント②|事業者の個人情報に関する義務を強化
個人情報を取り扱う事業主の義務が強化されたことも、令和2年改正個人情報保護法の大きなポイントです。
事業主の責務に関する具体的な変更点は、以下のとおりです。
①漏えい報告・本人への通知を一部義務化
従来は事業者の判断に委ねられていた個人情報保護委員会への漏えい報告が、一部の重大事案について義務化されます(改正法22条の2第1項)。
漏えい報告の対象事案については、本人への通知も義務となります(同条2項)。
<漏えい報告が義務化される事案(改正施行規則6条の2)>
(a) | 要配慮個人情報が含まれる個人データの漏えい等、またはそのおそれ |
|
(事例)
- 病院における患者の診療情報、調剤情報などの個人データを記録したUSBメモリを紛失した場合
- 従業員の健康診断などの結果を含む個人データが漏えいした場合
|
(b) | 不正に利用されることにより、財産的被害が生じるおそれがある個人データの漏えい等、またはそのおそれ |
|
(事例)
- クレジットカード番号を含む個人データが漏えいした場合
- 送金、決済サイトのIDとパスワードが揃って漏えいした場合
|
(c) | 不正の目的をもって行われたおそれがある個人データの漏えい等、またはそのおそれ |
|
(事例)
- 不正アクセスにより個人データが漏えいした場合
- 個人データの盗難があった場合
|
(d) | 1000人以上の個人データの漏えい等、またはそのおそれ |
|
(事例) システムの設定ミスによって、インターネット上で1000人以上の個人データの閲覧が可能となった場合 |
なお、高度な暗号化などによって権利利益保護のために必要な措置が講じられている場合は、漏えい等が生じても個人情報保護委員会への報告・本人への通知は不要です。
改正ポイント③|個人情報保護委員会による認定制度の拡充
現行法上、個人情報保護についての取り組みを促進・支援するため、適切な個人情報保護体制を整えている企業の認定制度が運用されています。
現行法上は、対象事業者の全部門を対象とした認定のみが行われていますが、令和2年改正個人情報保護法では、個別の部門を対象とする認定も行われるようになるため、事業者が認定を受けられる可能性が広がります(改正法47条2項)。
改正ポイント④|ビッグデータ等の利活用を想定した規制の多様化
ビッグデータを活用したイノベーションが社会的に意識される中で、個人に関する情報・データをより精緻にカテゴライズして規制する必要性が高まりました。
このような社会的背景を受けて、令和2年改正個人情報保護法では、新たに「仮名加工情報」と「個人関連情報」が定義されます。
●仮名加工情報とは?
仮名加工情報とは、個人情報を加工した結果として生成された、「他の情報と照合しない限り」特定の個人を識別することができない情報をいいます(改正法2条9項)。
現行法上の似た概念として「匿名加工情報」がありますが、匿名加工情報は「復元不可」が要件となっており、仮名加工情報よりもさらに匿名性を高めた情報と位置付けられます。
仮名加工情報を取り扱う事業者は、以下の義務を負担します(改正施行規則35条の2)。
- 個人情報を加工する際、個人情報保護法施行規則で定める基準に従うこと
- 個人情報保護法施行規則で定める基準に従い、安全管理措置を講ずること
- 仮名加工情報の目的外利用をしないこと
- 不必要となった仮名加工情報を遅滞なく消去すること
- 本人を識別する目的で、仮名加工情報を他の情報と照合しないこと
- 仮名加工情報を、原則として第三者提供しないこと
など
●個人関連情報とは?
個人関連情報とは、個人に関する情報であって、個人情報・仮名加工情報・匿名加工情報以外のものをいいます。
個人関連情報は、個人情報保護法に定められる規制の対象外となるのが原則です。
ただし、個人関連情報を第三者提供した後、提供先において個人データとして取得されることが想定される場合、第三者提供の際に本人の同意を取得しなければなりません(改正法26条の2)。
まとめ
個人情報保護法の大きな改正は、2015年改正法(2017年施行)以来5年ぶりとなります。
個人情報保護の在り方は、個人データの利活用方法が変化・進化するに連れて変わっていくべきものです。
今回の個人情報保護法等の改正も、現在の社会における実態に規制内容を合わせて、より適切なデータの利活用を促進することが意図されていると捉えられます。
個人情報・個人データ等を取り扱う事業者は、改正法の内容を踏まえて、自社内の各部門でマニュアルやオペレーションの見直しに着手しなければなりません。
2022年4月1日の全面施行を控える中、早めに対応しておくことで、実務上の混乱を最小限に抑えることができます。
今後はガイドラインの整備・正式な公表が行われる予定ですので、改正法関連の情報アップデートを注視していきましょう。