カートの中身空

閲覧履歴

最近閲覧した商品

表示情報はありません

最近閲覧した記事

企業法務2021年01月12日 経済のグローバル化・情報通信技術の進展等に伴う個人情報保護法制の見直し ~個人情報の保護に関する法律等の一部を改正する法律~ 令和2年6月12日公布 法律第44号 法案の解説と国会審議 執筆者:高澤和也

1.法案の提出と成立

 個人情報保護法については、平成27年に、機微情報(「要配慮個人情報」)や「匿名加工情報」の制度の整備等を行う改正法が成立し、平成29年5月に施行されたが、この改正法の中には、施行後3年ごとに見直しをしていく旨が定められていた。これを受けて、個人情報保護委員会は、個人情報保護法の新たな改正項目について検討を進めてきた。
 委員会による検討は、①個人の権利利益の保護のために必要十分な措置を整備する、②平成27年改正と同様、保護と利用のバランスをとる、③EUの一般データ保護規則(GDPR)等を踏まえて国際的な制度調和や連携に配意する、④国境を越えるビジネスに対応する、⑤AI・ビッグデータ時代となり、本人が個人情報の取扱いを網羅的に把握することが困難になりつつあることに対応する、といった視点から行われており、最近になって個人情報の重大な不正提供事案等が発覚し、行政指導や是正勧告が行われたことも踏まえて進められた。委員会は、平成31年4月25日に「個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理」を、令和元年12月13日に「個人情報保護法 いわゆる3年ごと見直し 制度改正大綱」を公表している。
 この「制度改正大綱」へのパブリックコメント(令和2年1月14日まで行われた)を経て、法改正を行うべき事項について引き続き精査した結果、取りまとめられたのが本法の法案であり、令和2年3月10日に国会に提出された(第201回国会閣法第48号)。法案は、衆参の審議を経て、第201回国会中のうちに原案どおり可決され、成立した。

2.法改正の概要

(1) 個人の権利の在り方の見直し
① 本人が識別される保有個人データを取り扱う個人情報取扱事業者に対し、その本人が、利用停止・消去又は第三者への提供の停止を請求することができる場合として、次の場合を追加する。
a) その事業者が利用する必要がなくなった場合
b) 個人情報保護委員会への報告(下記(2)①)が義務付けられる場合その他当該本人の権利又は正当な利益が害されるおそれがある場合
② 保有個人データの開示方法について、書面の交付のほか、電磁的記録の提供等によることもできることとし、いずれとするか本人が指示できるようにする。
③ 個人データの授受に関する第三者提供記録について、本人が開示請求できるようにする。
④ 現行では「保有個人データ」から除かれている「1年以内の政令で定める期間」(6ヶ月)以内に消去する短期保存データについて、「保有個人データ」に含めることとし、開示、利用停止等の対象とする。
⑤ オプトアウトによる個人データの第三者提供の制度※について、あらかじめ通知等をしておく項目を追加するとともに、a)不正取得された個人データ、b)他の事業者からこの制度によって提供された個人データを対象外とする。
※ 本人の求めがあれば事後的に停止することを前提に、あらかじめ一定の事項を本人に通知する等していれば、本人の同意なく第三者に個人データを提供する制度
(2) 事業者の義務の見直し
① 個人情報取扱事業者は、一定の場合を除き、個人の権利利益を害するおそれが大きい個人データの漏えい等の事態が生じたときは、個人情報保護委員会に報告し、本人に通知しなければならないこととする。
② 個人情報取扱事業者について、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない旨を明確化する。
(3) 事業者の自主的な取組を促す仕組みの見直し
認定団体制度について、企業の特定分野(部⾨)を対象として業務を行う団体も認定できるようにする。
(4) データの利活用に関する見直し
① 氏名の削除等により他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工したものを「仮名加工情報」と位置付け、その利用を事業者内部に限定するための一定の行為規制や、利用目的の特定・公表を行わせることを前提に、開⽰・訂正・利⽤停⽌請求への対応等の義務を緩和することとする。
② “提供元では個⼈データに該当しないものの、提供先で個⼈データとなることが想定される情報の第三者提供”※について、本⼈の同意が得られていること等の確認を義務付ける。
※ 生存する個人に関する情報で、個人情報などの他に規制が定められた情報の類型に該当しないもの(「個人関連情報」)が、事業用のデータベース等の形になっている場合に、その個人関連情報を提供すると、提供先で個人データとして扱われることが想定されるとき
(5) ペナルティの見直し
① 個人情報保護委員会による命令に違反した行為者に対する法定刑を1年以下の懲役又は100万円以下の罰金に引き上げるとともに、委員会に対する虚偽報告等の法定刑を50万円以下の罰金に引き上げる。
② データベース等不正提供罪・委員会による命令違反の罰⾦について、両罰規定による法人等に対する罰金の上限額を1億円に引き上げる。
(6) 個人データの越境移転・法の域外適用に関する見直し
① 個人情報取扱事業者は、外国にある第三者への個人データの提供を認める旨の本人の同意を得ようとする場合には、あらかじめ、当該本人に参考となるべき情報を当該本人に提供しなければならないこととする。
② ⽇本国内にある者に係る個⼈情報等を取り扱う外国事業者を、報告徴収・命令の対象とする。
(7) 施行期日
公布日から起算して2年を超えない範囲内において政令で定める日から施行。
ただし、(5)の法定刑の引上げは令和2年12月12日から、(1)⑤のオプトアウトに係る経過措置(本人への通知等の対象項目の追加関連)は公布日から起算して1年6月を超えない範囲内において政令で定める日から施行。

3.国会論議の概要

ここでは、国会での委員会審議の中から今後の解釈運用に関わり得る主な質疑を幾つか紹介することとしたい。なお、紹介する質問と答弁(担当大臣、個人情報保護委員会事務局長の答弁)は、いずれも、発言そのままではなく、趣旨をまとめたものである。
【利用停止等の請求権の拡充(2(1)①)関連】
○「当該本人の権利又は正当な利益が害されるおそれがある場合」の具体例
→ 頻繁にダイレクトメールが本人の意思に反して送られてくる場合。今後、ガイドラインなどで具体的に示していきたい(第201回国会 衆・内閣委員会議録第13号 11ページ)
○新たに拡充される利用停止等の請求について、請求の拒否の余地
→ 利用停止等の請求は、本人の権利又は正当の利益があることが前提。例えば、料金の支払を免れる目的や、係争となったときに本人に不利な証拠を消去するといった目的などは正当な利益には当たらず、請求の対象にはならない(第201回国会 参・内閣委員会会議録第13号 5ページ)
○利用停止請求等に応じる義務の性格(強行法規か)
→ 当事者間の利用規約で請求に応じない旨を定めた場合でも、その合意は無効(出典同上)
【保有個人データの開示方法の見直し(2(1)②)関連】
○電子メール等によって開示する場合も、手数料徴収ができるか
→ 実費は、郵送料だけではなく、対象情報の検索、内容の確認、通知等の事務等々の費用も勘案可能。電子メールによって開示する場合でも、合理的と認められる範囲で手数料徴収が可能と考えているが、企業の負担・請求の実態を見ながら考える(第201回国会 参・内閣委員会会議録第13号 6ページ)
【個人情報保護委員会への報告等の義務付け(2(2)①)関連】
○義務が生じる「事態」の具体例
→ 個人データの性質や漏えいの態様に着目して、幾つかの要素で検討していく。例えば、要配慮個人情報などのいわゆる機微情報の漏えい、不正アクセスによる漏えい、財産的被害が生じるおそれのあるデータの漏えいなどの類型は、件数にかかわりなく報告の対象としたい。これらの類型に該当しない場合でも、一定以上の大規模な漏えいは報告の対象とする予定(第201回国会 衆・内閣委員会議録第13号 10ページ、同国会 参・内閣委員会会議録第13号 20ページ 等)
【違法又は不当な行為の助長等につながる利用の禁止(2(2)②)関連】
○「違法又は不当な行為を助長し、又は誘発するおそれがある方法」の想定事例
→ 個人情報保護法上は違法ではないにしても、個人の権利利益の保護に照らして見過ごせないような方法で個人情報が利用されるといったケース。違法行為を営む事業者に個人情報を提供するといったケース、裁判所による公告等により散在的に公開されているが、差別を誘発するおそれのあるような個人情報について集約・データベース化してインターネット上で公開するようなケース。ガイドラインなどにおいて具体的に示す(第201回国会 衆・内閣委員会議録第13号 7ページ 等)
→ 不当な要求による被害を防止するための業務を行う責任者・担当者の名簿等をみだりに開示したりその存在を明らかにすること(第201回国会 参・内閣委員会会議録第13号 6ページ)
【仮名加工情報(2(4)①)関連】
○仮名加工情報の趣旨(匿名加工情報との違い)
→ データ内の氏名等の記述を削除等することで、加工後のデータ単体からは特定の個人を識別できないようにするもの。一定の安全性を確保しつつも、匿名加工情報よりも詳細な分析を比較的簡便な加工方法で実施し得る。現行法では、通常の個人情報としての取扱いに係る義務が課されてしまうので、その負担の軽減を求める声があった。
  仮名化された個人情報は、本人と紐づいて利用されることがない限りは、個人の権利利益が侵害されるリスクが相当程度低下するので、再識別をしない、内部分析に限定するといった前提で、利用目的の特定、公表を条件として、開示や利用停止等の個人の各種請求の対象から除外した。 (第201回国会 衆・内閣委員会議録第13号 26ページ)
○仮名加工情報の第三者提供を規制する理由
→ 取得した悪意のある者が個人を識別するおそれへの懸念。また、第三者提供について本人に関与させるためには、あえて加工前の個人情報を復元するといったリスクが高まる。
  なお、仮名加工情報の作成事業者では、一般的に、元の個人情報自体は保有していると思われるが、それを普通の個人データとして、本人の同意を得て第三者に提供することは可能。 (同会議録 12ページ)
○仮名加工情報について、その作成過程で抜き取った情報が漏えいした場合には、両者が同一事業者に渡った場合の復元可能性からすると、利用停止請求ができるようにすべきではないか。
→ 上記の場合には、安全管理措置義務を履行する観点からも、当該仮名加工情報に含まれるIDなど、両情報をつなぐものを振りなおすことなどにより、仮名加工情報を新たに作り直す必要がある、元の仮名加工情報を使い続けることはできないのではないか。ガイドラインなどに記載していく。
なお、仮名加工情報の作成に用いた個人情報のみが漏えいした場合には、その仮名加工情報及びその作成過程で抜き取った情報の安全管理措置義務の履行が確保されている限り、必ずしも直ちに継続利用ができないとは限らないというケースもあるかと思う。 (同会議録 11・12ページ)
【個人関連情報の第三者提供(2(4)②)関連】
○クッキー・位置情報、単純な統計情報の「個人関連情報」への該当性
→ 個人関連情報の具体例には、氏名と結びついていないインターネットの閲覧履歴、位置情報、クッキー等なども含まれる。いわゆる統計情報は、特定の個人との対応がない限りにおいては個人関連情報には該当しない(第201回国会 参・内閣委員会会議録第13号 3ページ)
→ 今回の改正では、クッキー等の端末識別子が提供先で個人データとなる場合について規律を導入した。端末識別子そのもの(の規制)については、関連する技術・ビジネスの実態が多様かつ急速に変化しているので、まずは自主的ルール等による適切な運用が重要と判断した(同会議録 18ページ)
○提供先で個⼈データとなることが「想定される」とは、どういうことか
→ まず、提供先が個人データとして取得することを提供元が想定している場合。例えば、事前に、個人関連情報を取得した後に他の情報と照合して個人データにするといった旨を告げられている場合。
次に、取引状況等の客観的事情に照らして、個人データとして取得することが一般人の認識を基準として想定できる場合。例えば、プラットフォーマーなどに対し個人関連情報を提供する際、その相手が氏名等で紐付けて利用することを想定しつつ、そのために用いる固有ID等を合わせて提供する場合など。
具体的にはガイドラインなどで分かりやすく示す(同会議録 3ページ)
○本人同意を取得する際の説明事項
→ ガイドラインなどで詳細に定めるが、提供先がどこか、提供先で個人データになることをはっきり本人に示した上での同意が必要ではないか(第201回国会 衆・内閣委員会議録第13号 7ページ)
○本人同意の取得・確認方法
→ 例えば、本人から同意する旨を示した書面・電子メールを受領する方法、確認欄へのチェックなど。ウェブサイトで同意を取得する場合、単にその記載だけでは足りず、そのサイト上のボタンをクリックするなどのアクションが必要ではないか。ガイドラインなどで示す。
提供先が本人同意を取得しているかどうか提供元が確認する方法については、提供先から申告を受けることを想定。提供元は、提供先の申告内容を一般的な注意力を持って確認すれば足り、特段の事情のない限り、真正性や正確性まで独自に調査することは求めない。  (第201回国会 参・内閣委員会会議録第13号 4ページ)
【個人データの越境移転(2(6)①)関連】
○本人に提供しなければならない「参考となる情報」の具体例や、その提供の方法
→ 提供すべき情報としては、第三者の所在する外国の国名、その個人情報保護制度などを想定。提供の方法については、電磁的な記録の提供や書面の交付による方法、基本的には日本語又は本人が内容を理解できる言語、といった方法を想定。委員会規則で定めていく。
今回の改正は、越境移転を行う事業者に移転先の環境を認識してもらう趣旨もある。外国の制度の把握について、自らの取組をお願いしたいというのが基本だが、個人情報保護委員会としても、参考情報を提供していきたい。 (第201回国会 参・内閣委員会会議録第13号 3ページ)
【法の域外適用(2(6)②)関連】
○外国事業者に対する命令等の実効性の確保
→ 確実な執行を行っていくために、海外当局との連携、国際的な枠組みへの積極的な参加を一層進めたい(第201回国会 参・内閣委員会会議録第13号 19ページ)
【その他】
○ターゲティング広告の対策について
→ ターゲティング広告については、実態が非常に複雑かつ多様。個人情報を使わない場合であっても、自主ルールをきちんと作って運用してもらうことが消費者の安心・安全につながるのではないか(第201回国会 参・内閣委員会会議録第13号 10ページ)
○忘れられる権利について
→ 我が国において必ずしも確立した考え方が定まっていない。今回の改正による利用停止等の請求権の拡充の施行状況などもフォローし、引き続き検討したい(同会議録 11ページ)

4.今後について

法案の可決の際、衆参両院の内閣委員会で附帯決議がなされており、国会審議で具体例・想定事例が問われたような事項について、ガイドライン等で明確化することなどが求められている。ガイドライン等の検討状況については、個人情報保護委員会のHPで明らかにされているので、今後の動向に注意されたい(https://www.ppc.go.jp/personalinfo/legal/kaiseihogohou/)。
また、今回も「施行後3年ごと」の見直しについての規定が定められている(改正法附則第10条)。国会審議で扱われた、クッキー等の個人識別子そのものの規制の是非、ターゲティング広告の対策といった論点への対応がどうなるかも、注目される。
(2020年11月執筆)

関連カテゴリから探す

  • footer_購読者専用ダウンロードサービス
  • footer_法苑WEB
  • footer_裁判官検索