弁護士が解説!改正個人情報保護法のポイント

令和4年4月1日、令和2年改正個人情報保護法¹が施行されました。複数の改正点を含んでおり、対応に追われている経営者の方々も少なくないのではないでしょうか。今回は、令和2年改正個人情報保護法(以下、「改正法」といいます。)の改正のポイント及び改正に伴って必要となる現場での対応を解説していきます。

なお、個人情報保護法は令和3年にも改正されておりますが、同年の改正は、主に公共団体に関するものであるため、本記事では取り上げないこととします。

個人情報保護法の改正について

個人情報保護法は、平成15年に制定された法律ですが、情報通信技術の発展や事業活動のグローバル化を踏まえて、平成27年に全面改正されました²。このとき、技術発展や諸外国の個人情報規制等の時勢の変化にいち早く対応するため、「いわゆる3年ごと見直し規定」³が設けられました。

令和2年の改正は、同規定に基づく初めての改正です。具体的な改正内容の前に、改正の目的と背景を説明します。

改正の目的

今回の改正内容は、①自身の個人情報に対する意識の高まりを踏まえ、個人の権利利益を保護するために必要十分な措置を整備すること、②技術革新の成果が、経済成長等と個人の権利利益との保護との両面で行き渡るような制度とすること、③個人情報を用いる多様なサービスがグローバルに展開されており、個人が直面するリスクの多様化、国際的な制度調和や連携に配意した制度とすること、④技術革新に伴い個人情報の活用が一層多岐にわたる中、事業者が本人の権利利益との関係で説明責任を果たしつつ、本人の予測可能な範囲内で適正な利用を行う環境を整備すること等が目的⁴とされています。

改正に至った背景

個人情報保護法の改正においては、事業者の意見、消費者の意見、国内外の動向に加え、実際の事例が大きな影響を与える場合があります。令和2年改正においても、フェイスブックインク事件、リクナビ事件、破産者マップ事件が立案段階の資料において、明示的に参照されています⁵。

個人情報保護法の改正によるポイント

それでは、改正法の具体的な内容に入っていきましょう。
令和2年改正のポイントは、

  • ①個人の請求権の拡大による権利保護の強化
  • ②事業者側の責務
  • ③事業者側の自主的な取り組みの推進
  • ④データの利活用の促進
  • ⑤法令違反に関するペナルティの強化
  • ⑥外国の事業主に対する罰則の強化

の6つにまとめることができます。

以下、順番に説明していきます。

個人の請求権の拡大による権利保護の強化

(1)利用停止・消去等の要件緩和

まず、改正前は、個人が、取扱事業者に対して保有個人データの利用停止・消去等の請求ができるのは、利用目的制限違反(16条)、適正な取得(17条)違反の場合に限られていました(30条1項)。また、第三者提供の停止請求ができるのは、第三者提供義務違反の場合に限られていました(30条3項)。

改正によって、改正法30条5項が新設され、これらに加えて、当該保有個人データについて、①利用する必要がなくなった場合、②重大な漏えい等が発生した場合、③本人の権利又は正当な利益が害されるおそれがある場合にも、保有個人データの利用停止・消去等請求、第三者提供の停止請求ができることとなりました。

(2)開示方法の本人指示

次に、改正前は、個人情報取扱事業者は、保有個人データについて、本人により請求を受けた場合、原則として書面交付の方法により開示しなければなりませんでした(28条2項)。

改正によって、個人は開示請求に当たって、書面交付による開示のほか、電磁的記録による開示等も請求することができるようになりました(改正法28条1項)。個人情報取扱事業者は、請求者の指定した方法による開示が困難な場合、速やかに通知する必要があります(28条3項)。

(3)第三者提供記録について本人が開示請求できる

改正前は、個人データを第三者に提供する際(25条1項)及び個人データを第三者から受領する際(26条3項)には、所定の事項を記録することが義務付けられていました。

改正によって、この記録は、「第三者提供記録」と定義され(28条5項)、第三者提供記録も本人による開示請求の対象となりました。

(4)短期保存データについても開示、利用停止等の対象とする

改正前は、取得から6か月以内に消去される個人データ、いわゆる短期保存データは保有個人データから除外されていました。

改正によって、そうした短期保存データも保有個人データに含まれることとなりました(2条7号参照)。

(5)オプトアウト規定による第三者提供の制限

オプトアウトとは、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止する場合、本人の同意を得ることなく第三者に個人データを提供することができる制度をいいます⁶。

改正前は、要配慮個人情報のみ、オプトアウト規定により第三者提供することができないこととされていました。

改正によって、不正取得された個人データ、オプトアウト規定により提供された個人データについても対象外とされる(23条2項)こととなりました。

事業者側の責務

(1)個人情報保護委員会への報告義務、本人への通知義務

改正前は、事業者は、個人データの漏えい、滅失または毀損を防止するため、安全管理措置を講じる義務を負うにとどまり、個人情報保護委員会への報告や本人への通知については、義務とはされておりませんでした。

改正によって、漏えい等が発生し、個人の権利利益を害するおそれが大きい場合に、個人情報保護委員会への報告及び本人への通知が義務化されました(22条の2)。

報告対象となるのは、①要配慮個人情報が含まれる個人データの漏えい、滅失若しくは毀損が発生し、又は発生したおそれがある、②不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、又は発生したおそれがある、③不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある、④個人データに係る本人の数が千人を超える漏えい等が発生し、又は発生したおそれがある場合、のいずれかに該当する場合とされています⁷。

(2)不適正な利用方法の禁止

改正前は、個人情報取扱事業者は個人情報を適正に取得すべきと定められていました。

改正によって、違法または不当な行為を助長し、又は誘発するおそれがある方法、すなわち、不適正な方法により個人情報を利用してはならない旨が定められました(16条の2)。

同条に違反すると考えられる具体例としては、①差別を誘発する利用方法、②違法な行為を営むことが疑われる者への個人情報の提供、③不当要求対策のための反社会的勢力等の名簿の開示などが考えられます⁸。

事業者側の自主的な取り組みの推進

改正前は、認定個人情報保護団体として業界団体を認定することが想定されており、その対象事業者は業界団体の構成員である企業全体であることが前提とされていました。

改正によって、認定個人情報保護団体の認定に当たり、対象とする個人情報取扱事業者等の「事業の種類その他の業務の範囲」を限定することができる(47条2項)ようになりました⁹。なお、認定後に業務の範囲を変更する場合は、個人情報保護委員会に申請して認定を受け、委員会が公示する必要があります(49条の2)。

データの利活用の促進

(1)仮名加工情報の創設

改正によって、仮名加工情報に関する規定が新設されました。改正法では、「仮名加工情報」とは、「他の情報と照合しない限り特定の個人を識別することができないように加工して得られる個人に関する情報」をいいます(2条9号)。

さらに改正法では、原則として、仮名加工情報のうち、個人情報であるものについては個人情報に関する規律の適用を受けます。ただ、仮名加工情報の特性に応じて、規律の変更や適用排除、そして、仮名加工情報に特有の規律(35条の2第7項、第8項等)も設けられています。

(2)提供先で個人データとなる情報の統制

改正によって、個人関連情報を第三者に提供する提供元に対し、提供先である第三者において個人を識別することができる個人データとして取得することが想定されるときは、原則として、提供先である第三者において本人同意を事前に取得していることなどを確認しなければ、提供してはならない(26条の2第1項)、とされました。

なお、個人関連情報とは、生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しない(26条の2第1項柱書)ものをいいます。

法令違反に関するペナルティの強化

改正によって、懲役刑について、上限が1年とされました。また、罰金刑について、個人情報データベースの不正提供等の場合を除いて、上限金額が引き上げられました。

法人に対しては、個人情報保護委員会からの命令違反の場合、個人情報データベースの不正提供等の場合には罰金金額の上限が1億円となり、個人に対するよりもはるかに重い罰金額となりました。

外国の事業主に対する罰則の強化

(1)法の域外適用

改正前は、日本国内にある者に係る個人情報等を取り扱う外国事業者に適用される条文が限定列挙されており、解釈上、個人情報等を本人から取得した場合に限定して適用されていました。

改正によって、外国事業者であっても、国内事業者と同様にすべての条文が適用されることとなり、また、条文が明確化され、個人情報等を第三者提供により間接取得した場合にも適用されることとなりました¹⁰。

(2)移転先事業者における個人情報の取扱いに関する本人への情報提供の充実等

改正前は、個人情報取扱事業者が外国にある第三者に個人データを提供する場合、要件は、原則として、あらかじめ本人の同意を得なければならないことにとどまっていました。

改正法によって、本人の同意を根拠に移転する場合は、移転先国の名称や個人情報の保護に関する制度の有無を含む移転先事業者における個人情報の取扱いに関する本人への情報提供の充実を義務づける(24条2項)こと等が定められました。

個人情報保護法の改正により企業が対応すべきこと

権利利益の侵害のおそれがないかの社内確認

「個人の請求権の拡大による権利保護の強化」の項で紹介したように、改正法下では、利用停止等の請求要件が緩和されています。

要件となる「本人の権利又は正当な利益が害されるおそれ」とは、法目的に照らして保護に値する正当な利益が、一般人の認識を基準として、客観的に見て侵害されるおそれがあることをいう¹¹とされています。

具体的には、個人データの漏えいが発生した場合に、適切な再発防止措置が取られていないため、本人を識別する保有個人データについても漏えいするおそれがある場合や、本人に対するダイレクトメールを送付した場合に、平穏な生活を害されたくないことを理由として、本人が送付停止を求める意思を表示したにもかかわらず、本人の意思に反して、個人情報取扱事業者がダイレクトメールを繰り返し送付している場合等には利用停止等の請求が可能となるものと考えられています¹²。

こうした事例がないか、社内で確認する等の対応が必要となります。

情報漏洩が起きてしまった場合の対応方法の明確化

「事業者側の責務」の項で紹介したように、改正法下では、情報漏洩が起きてしまった場合には、事業者は個人情報保護委員会への報告、本人への通知義務を負うこととなります。

これらの手続を確認し、対応手順を明確に確立しておく等の対応が必要となります。

仮名加工情報の活用

仮名加工情報は、取得時の利用目的による制限が緩和されていること、開示等の請求対象から除外されていることから、活用しやすいといえます。

例えば、取得時の利用目的が不十分又は欠けている場合において、利用目的を柔軟に変更することが考えられます。他にも、取得時の利用目的が限定されている個人情報については、仮名加工情報に加工することによって、利用目的を柔軟に変更して利活用することが可能になると考えられます¹³。

個人情報保護法の改正に関するご相談は弁護士へ

以上、個人情報保護法の令和2年改正について説明してきました。個人情報保護の分野は複雑で、独力での対応が困難なケースもあることと思います。

当事務所は、企業経営に関する豊富な経験と知識をもとに、経営者の皆様に最適なリーガルサービスを提供いたします。企業経営の中で気になる点がございましたら、いつでも当事務所にご相談ください。

¹ 個人情報の保護に関する法律等の一部を改正する法律(令和2年法律第44号)

² 第二東京弁護士会 情報公開・個人情報保護委員会編著『令和2年改正個人情報保護法の実務対応-Q&Aと事例-』1頁〔数藤雅彦ほか〕(2021年、新日本法規)

³ 個人情報の保護に関する法律および行政手続きにおける特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律(平成27年法律第65号)附則12条

⁴ 佐脇紀代志編著『一問一答 令和2年改正個人情報保護法』1頁(2020年、商事法務)

⁵ 前掲² 24、25頁〔数藤雅彦〕

⁶ 前掲² 7頁〔数藤雅彦ほか〕

⁷ 個人情報の保護に関する法律施行規則(平成二十八年個人情報保護委員会規則第三号)6条各号参照

⁸ 前掲² 32頁〔和田嵩〕

⁹ 前掲² 150,151頁〔秋山淳〕

¹⁰ 前掲² 175頁〔佐藤ほか〕

¹¹ 前掲⁴ 84頁

¹² 前掲⁴ 83頁

¹³ 前掲² 115頁〔白石ほか〕