個人情報保護を取り巻く環境は、日々目まぐるしく変化しています。
そのため、これを規制する「個人情報保護法」は3年ごとに見直されることとされており、頻繁に改正がなされる法律の1つといえるでしょう。
個人情報保護法保護法の最新改正は2023年4月施行分であるものの、これは主に地方公共団体を対象とした改正であり、事業者を対象とした最新の改正は2022年4月施行分です。
今回は、2022年(令和4年)4月に施行された個人情報保護法改正を中心に、弁護士が詳しく解説します。
目次隠す表示する
個人情報保護法とは
個人情報の保護に関する法律(以下、「個人情報保護法」といいます)は、個人情報の保護のみを目的とした法律ではありません。
はじめに、個人情報保護法の概要について解説します。
個人情報保護法の概要
個人情報保護法は、「デジタル社会の進展に伴い個人情報の利用が著しく拡大していることに鑑み、個人情報の適正な取扱いに関し、基本理念及び政府による基本方針の作成その他の個人情報の保護に関する施策の基本となる事項を定め、国及び地方公共団体の責務等を明らかにし、個人情報を取り扱う事業者及び行政機関等についてこれらの特性に応じて遵守すべき義務等を定めるとともに、個人情報保護委員会を設置することにより、行政機関等の事務及び事業の適正かつ円滑な運営を図り、並びに個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであることその他の個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的」とした法律です(個人情報保護法2条)。
目的規定が非常に長いですが、個人情報保護法保護法の目的は「個人情報の有用性に配慮しつつ個人の権利利益を保護すること」であり、闇雲に個人情報を守ることのみを目指しているものではありません。
個人情報を保護することが重要であるとしながらも、「個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであること」にも配慮すべきとしています。
個人情報保護法は3年ごとに見直される
デジタル社会の進展は目まぐるしく、個人情報を取り巻く環境は日々変化しています。
技術の進化により、数年前には想定が難しかったサービスが誕生することは決して珍しくありません。
このような流れに速やかに対応し、個人情報の有効活用と個人の権利利益の保護のバランスを取るため、個人情報保護法は原則として3年ごとに見直すべきこととされています。
【参考】2023年4月施行分の個人情報保護法の改正ポイント
もっとも最近の個人情報保護法の改正は、2023年4月1日の施行分です。
この改正では 次の点などが見直されています。
- 個人情報保護法・行政機関個人情報保護法、・独立行政法人等個人情報保護法を1本の法律に統合
- 地方公共団体の個人情報保護制度について全国的な共通ルールを規定し、全体の所管を個人情報保護委員会に一元化
- 医療分野・学術分野の規制を統一するため、国公立の病院や大学等には原則として民間の病院、大学等と同等の規律を適用
- 個人情報の定義等を国・民間・地方で統一するとともに、行政機関等での匿名加工情報の取扱いに関する規律を明確化
企業への直接の影響は少ないため、ここでは概要の紹介のみに留めます。
個人情報保護法の改正ポイント1:漏えい等報告・本人通知の義務化
企業への影響が大きいのは、この1つ前になされた2020年(令和2年)改正法です。
この改正法は、2022年(令和4年)4月1日に施行されました。
ここからは、2020年(令和2年)改正法による改正ポイントを順に解説します。
1つ目は、漏えい等の報告と本人への通知の義務化です。
改正の概要
これまで個人情報の漏えい・滅失・毀損(以下「漏えい等」といいます)が発生しても、報告や本人への通知は義務ではなく、努力義務とされていました。
改正により、次の漏えい等が生じた際には、原則として個人情報保護委員会への報告と本人への通知が義務化されています(個人情報保護法26条、個人情報保護法施行規則7条)。
- 要配慮個人情報の漏えい等
- 財産的被害のおそれがある漏えい等
- 不正の目的によるおそれがある漏えい等
- 1,000件を超える漏えい等
企業がとるべき対応
所定の漏えい等が発生した場合、企業はその漏えい等が生じた旨を個人情報保護委員会に報告しなければなりません。
また、本人への通知が困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときを除き、本人に対して通知することも必要です。
なお、個人情報を取り扱う業務の委託を受けた事業者が漏えい等をした場合は、委託元と委託先の双方が個人情報保護委員会への義務を負います。
ただし、委託先が委託元に対して報告をした場合は、委託先の事業者による個人情報保護委員会への報告義務は免除されます。
企業は万が一漏えい等が発生した場合に備え、報告や通知の業務フローを整備するようにしてください。
個人情報保護法の改正ポイント2:外国にある第三者への提供
2つ目の改正ポイントは、外国にある第三者への提供時の取り扱いです。
改正後は、提供先の第三者の所在国やその第三者による整備体制によって、次の3パターンでの対応が求められます。
- 日本と同等の水準国への提供
- 基準に適合した体制を整備した事業者への提供
- その他の事業者への提供
日本と同等の水準国への提供
EUやイギリスなど日本と同水準の個人情報保護体制を備えている国にある第三者へ個人データを提供する際は、日本国内にある第三者への提供と同様の対応をすれば構いません(個人情報保護法28条)。
基準に適合した体制を整備した事業者への提供
「日本と同等の水準国」にはないものの、その第三者が個人情報の取扱いに係る国際的な枠組みに基づく認定を受けているなど、一定の体制を整備している場合は、日本国内にある第三者と同様のルールによって個人データの提供が可能です(同法28条、個人情報保護法施行規則16条)。
ただし、この場合には次の対応が必要となります(個人情報保護28条3項、個人情報保護法施行規則18条)。
- 移転元が次の措置を講じること
- 移転先における個人データの取り扱いにかかる相当措置を定期的に確認すること及び当該相当措置の実施に影響を及ぼすおそれのある外国の制度の有無及びその内容を定期的に確認すること
- 移転先において個人データの適正な取り扱いに問題が生じた際には適切な措置を講じ、状況に応じて個人データの提供を停止すること
- 本人の求めに応じて必要な措置等に関する情報を提供すること
その他の事業者への提供
これらのいずれにも該当しない外国にある第三者へ個人データを提供しようとする際は、本人からの第三者提供への同意の取得時に次の情報を提示しなければなりません(個人情報保護法28条2項)。
- 移転先の所在国
- 移転先の所在国における個人情報の保護に関する制度
- 個人情報保護のために移転先が講じる措置など本人に参考となるべき情報
企業がとるべき対応
外国にある第三者へあえて個人データを提供するつもりがない場合であっても、一部の業務を外国にある第三者へ委託する際、その中に個人情報を取り扱う業務が含まれている可能性があります。
そのため、改めて外部に委託している業務の内容や委託先の所在地などを洗い出し、自社に対応に問題がないか確認しておきましょう。
事前に同意を得ることなく個人情報の取り扱いに疑念のある国にある第三者へ個人情報の取り扱いを含む業務を委託すると、企業の信頼が大きく失墜するリスクがあります。
個人情報保護法の改正ポイント3:保有個人データ開示方法の改正
改正ポイントの3つ目は、保有個人データの開示方法の見直しです。
ここでは、改正の概要について解説します。
開示方法の改正
企業が保有する個人データについて本人から開示請求を受けた場合、これまでは書面による交付が原則とされていました。
改正によって、次の方法の中から原則として本人が求めた方法によって開示すべきこととされています(個人情報保護法33条1項、個人情報保護法施行規則30条)。
- 電磁的記録の提供による方法(CD-ROMなどの媒体の郵送、電子メールによる送信、ウェブサイトでのダウンロードなど)
- 書面の交付による方法
- その他当該個人情報取扱事業者の定める方法
ただし、本人が指定した方法による開示に多額の費用を要するなど、その方法による開示が困難である場合は書面による開示が可能です。
開示対象となるデータの改正
改正によって、次のデータが新たに開示請求の対象となりました。
- 個人データの第三者提供記録(提供元と提供先それぞれに対して開示請求が可能)
- 6か月以内に消去する保有個人データ
企業がとるべき対応
保有データの開示請求の方法や開示対象となるデータの範囲などは、プライバシーポリシーなどで定めていることが多いでしょう。
これについて、改正法を踏まえた内容へ改訂する必要があります。
個人情報保護法の改正ポイント4:利用停止や消去等請求権の拡大
改正ポイントの4つ目は、利用停止や消去などを請求できるケースの拡大です。
ここでは、利用停止や消去の対象となるケースを、改正の前後でそれぞれ解説します。
改正前に消去等請求の対象とされていたケース
改正の前において利用停止や消去の請求ができるのは、目的外利用や不正取得の場合に限定でされていました。
改正後に追加された消去等請求の対象となるケース
改正後は、改正前のケースに加え、次のケースで利用停止や消去の請求ができることとなりました(個人情報保護法35条)。
- 個人データを利用する必要がなくなった場合
- 個人情報保護委員会へ報告義務のある、重大な漏えい等が発生した場合
- 本人の権利や正当な利益が害される恐れがある場合
企業がとるべき対応
利用停止等を求めることができるケースをプライバシーポリシーなどで定めている場合は、改正後の内容に対応できるよう改訂してください。
併せて、利用停止等を求められた際の業務フローを見直す必要があります。
個人情報保護法の改正ポイント5:安全管理のために講じた措置の公表等義務の追加
個人情報保護法改正ポイントの5つ目は、安全管理措置の公表義務の追加です。
ここでは、改正の概要を解説します。
改正の概要
改正前は公表事項として、事業者の名称や個人情報の利用目的、苦情の申出先などが定められていました。
改正によって、新たに安全管理のために講じた措置の公表が必要となります。
公表すべき事項には、たとえば次のような内容などが挙げられます。
- 「個人データの適正な取り扱いの確保のため、関係法令・ガイドライン等の遵守等についての基本方針を策定」
- 「個人データを保管しているA国における個人情報の保護に関する制度を把握したうえで安全管理措置を実施する」
ただし、個人データが記録された機器の破棄方法など、公表することで安全性に支障を及ぼす情報については公表することを要しません。
企業がとるべき対応
公表等すべき事項については、プライバシーポリシーなどで公表していることが多いものと思われます。
これに自社が安全管理のために講じた措置について必要な事項を追記し、改訂する必要があります。
個人情報保護法の改正ポイント6:仮名加工情報の新設
改正ポイントの6つ目は、仮名加工情報の新設です。
ここでは、改正の概要について解説します。
仮名加工情報とは
仮名加工情報とは、一定の措置を講じて他の情報と照合しない限り、特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報です(同法2条5項)。
たとえば、商品の販売データから顧客名やクレジットカード番号など個人を特定し得る情報のすべてを削除したデータなどがこれに該当します。
また、氏名などをIDなどに置き換えることはできるものの、氏名を復元できるような規則性を持ったIDなどへの置き換えは認められません。
仮名加工情報に該当する場合に除外される義務
仮名加工情報とした場合、その情報に関しては次の義務について適用対象外となります。
- 利用目的の変更の制限(内部での分析や利用であれば、新たな目的での利用が可能)
- 漏えい等の個人情報保護委員会への報告や本人への通知
- 開示や利用停止等の請求への対応
仮名加工情報からは特定の個人を識別できないことが前提であるため、利用などに関する制限が緩和されます。
企業がとるべき対応
商品開発などの目的でデータ分析をしたい場合は、仮名加工情報の活用を検討するとよいでしょう。
ただし、他の情報と照合して仮名加工情報から作成元の個人情報に係る本人を識別することは禁止されるため、徹底する必要があります。
個人情報保護法の改正ポイント7:個人関連情報の新設
改正ポイントの7つ目は、個人関連情報に関する規定の新設です。
ここでは、改正の概要について解説します。
個人関連情報とは
個人関連情報とは、生存する個人に関する情報で、次のいずれにも該当しない情報です(同法2条7項)。
- 個人情報
- 仮名加工情報
- 匿名加工情報
たとえば、次のものなどが個人関連情報に該当するとされています。
- Cookieなどを通じて収集されたある個人のウェブサイト閲覧履歴
- ある個人の商品購買履歴、サービス利用履歴
- ある個人の位置情報
ただし、たとえば位置情報であっても、データを分析すると自宅や勤務先の位置が推測でき、そこから個人が特定できることが少なくありません。
このようなものは個人関連情報ではなく、個人情報に該当します。
個人関連情報の第三者提供規制
個人関連情報は、社内でのデータ分析などに活用されることが一般的です。
これをA社が第三者に提供する際、提供先の事業者(B社)がこの情報を個人データとして取得する場合、B社は原則としてそのデータの対象となっている本人の同意を得なければなりません。
たとえば、A社とB社とが顧客IDを共有しており、A社から提供された個人関連情報(例:ID「1」の者が8月1日におにぎりと紅茶を買い、8月5日にビールを買った)をB社が有する情報(例:ID「1」は山田太郎氏、年齢50歳)などと組み合わせることで、B社が「山田太郎氏が8月1日におにぎりと紅茶を買い、8月5日に……」との情報を得る場合が該当します。
そして、提供先であるB社がA社の提供した個人関連情報を個人データとして取得することが想定される場合、原則としてA社は、B社が本人の同意を得ていることをあらかじめ確認しなければなりません。
企業がとるべき対応
個人関連情報は、改正によって新たに誕生した概念です。
これにより、生存する個人に関する情報には次の4つが存在することとなりました。
- 個人情報
- 仮名加工情報
- 匿名加工情報
- 個人関連情報
それぞれ、遵守すべき規定や保護の強さは異なります。
特にデータ分析などの目的で個人情報を活用したり収集したりする際は、どの形態として情報を取り扱うのか、目的によって十分吟味する必要があるでしょう。
まとめ
個人情報保護法は、ほとんどの事業者に関連する法律であるうえ頻繁に改正されます。
そのため、その都度改正法へ対応することに苦慮している企業も少なくないでしょう。
2020年(令和2年)改正法は2022年(令和4年)1月1日からすでに施行されているため、まだ対応ができていない場合は弁護士に相談のうえ、早期に対応する必要があります。
また、プライバシーポリシーや個人情報の取り扱いに関する業務フローは今後も改訂すべき可能性が高いといえます。
そのため、個人情報保護法に関連する規定をファイルにまとめるなど、今後の改訂をスムーズとするための対策を講じておくとよいでしょう。
記事監修者
川崎 賢介
(大阪弁護士会)関西大学法学部法律学科卒業、東海大学法科大学院修了。リース事業や太陽光事業の企業法務をはじめ、不動産法務、離婚や相続などの家事事件、インターネットにおける誹謗中傷・人権侵害等の被害者救済などの刑事事件に積極的に取り組んでいる。
-
この記事に関するお問い合わせ Contact
掲載内容や業務に関するお問い合わせは
Contact
こちらまで -
資料請求はこちらから Request Documents
弁護士法人Authense法律事務所の
資料請求
サービス資料をダウンロードいただけます。 -
会員登録はこちらから Sign Up
会員にご登録いただくと、ここでしか読めない
新規会員登録
全ての会員記事をお読みいただけます。
