個人の権利保護強化へ！改正個人情報保護法に向けた企業対応

令和2年（2020年）に可決・成立した改正個人情報保護法が、2022年4月1日から全面的に施行されます。

本記事では、個人の権利利益の保護の観点からなされた改正点と、それを踏まえた企業対応について解説します。

改正個人情報保護法における個人の権利の強化

改正個人情報保護法では次の通り、本人の権利が強化されています。

事業者としては、改正法に沿った対応ができるよう、本人から請求があった場合の取扱いを見直しておく必要があります。

保有個人データの開示・訂正等・利用停止等の請求対象の拡大

現行法上、事業者の「保有個人データ」について、本人には、一定の条件のもとで、開示・訂正等・利用停止等の請求権が認められています。

現行法では、事業者において6か月以内に消去される個人データは、保有個人データから除外されているので、開示や利用停止等の請求の対象にはなっていません。

一方、改正法では6か月以内に消去される個人データも、保有個人データに含まれることになり、開示や利用停止等の請求の対象となります。

保有個人データの利用停止等の請求が可能な場合の拡大

現行法上、保有個人データの利用停止等の請求は、違法な目的外利用や不正取得があった場合に認められています。

2022年4月1日からは新たに、

1. 保有個人データを利用する必要がなくなった場合
2. 個人情報保護委員会への報告対象となる漏えい等が生じた場合
3. 本人の権利・正当な利益が害されるおそれがある場合

にも、利用停止等の請求が可能となります。

保有個人データの開示方法の指定

本人から保有個人データの開示請求があった場合、事業者による開示の方法は、現行法では原則として書面の交付による方法とされています。

改正法では、電子データの提供による方法を含め、本人が開示の方法を指定できることとなります。

ただし、電子データを提供する場合、その提供方法は事業者において定めることが可能です。

具体的には、ファイル形式をPDF 形式にするかWord 形式にするか、提供方法を電子メールによるファイル添付送信にするかウェブサイト上でのダウンロードにするかなど、事業者が決めることができます^※。

※「個人情報の保護に関する法律についてのガイドライン」に関するＱ＆Ａ：Q9-10 参照

第三者提供記録の開示請求

現行法上、個人データを第三者に提供する場合には、委託にともなう個人データの提供といった一定の例外を除いて、提供元・提供先における記録の作成が必要です。

このような第三者提供記録について、新たに、本人からの開示請求が認められることになりました。

事業者としては、2022年4月1日からの改正法の施行に備え、法令に従った第三者提供記録が作成されているかどうか、確認しておく必要があります。

具体的にいうと、提供元の場合は、提供先となる第三者の名称・住所・代表者の氏名、提供された個人データの項目などが記録されているかどうかを確認します。

提供先の場合は、提供元となる第三者の名称・住所・代表者の氏名、提供された個人データの項目、提供元による当該個人データの取得の経緯などが記録されているかどうかを確認します。

改正個人情報保護法において事業者が新たに義務付けられたこと

その他にも、事業者には、新たに次の内容が義務付けられています。

公表事項の追加

ア 保有個人データに関する追加

現行法上、保有個人データについては、本人の知り得る状態に置くべき事項として下記4点が定められています。

1. 事業者の名称
2. すべての保有個人データの利用目的
3. 保有個人データの開示の請求等に応じる手続き
4. 保有個人データの取扱いに関する苦情の申出先

改正法ではさらに、
○事業者の住所・代表者の氏名
○保有個人データの安全管理のために講じた措置
が追加されます。

これらは、本人の求めに応じて遅滞なく回答することでも足ります。
必ずしもプライバシーポリシーに記載する必要はなく、問い合わせがあった場合に速やかに回答できるよう準備しておけばじゅうぶんです。

安全管理措置として本人の知り得る状態に置くべき内容は、個人情報の保護に関する法律についてのガイドライン（通則編）3-8-1.保有個人データに関する事項の公表等（法第 32 条関係）に例示されていますので、そちらを参考にするとよいでしょう。

なお、改正法のもとでも、事業者が、外国にある第三者が提供するクラウドサービスを利用して個人データを保存する場合、そのクラウドサービス提供事業者が個人データを取り扱わないのであれば、個人データの第三者提供には該当しないとされています。

ただし、この場合も、「個人情報の保護に関する法律についてのガイドライン」に関するＱ＆ＡQ10-25によれば、当該外国の個人情報の保護に関する制度等を把握したうえで安全管理措置を講じる必要があり、

1. 事業者・サーバーが所在する外国の名称
2. 当該外国の制度等を把握したうえで講じた措置の内容

を、保有個人データの安全管理のために講じた措置として、本人の知り得る状態に置く必要がある点に留意してください。

イ 個人情報の利用目的に関する追加

事業者が個人情報を取り扱う際には、利用目的を特定し、本人に通知または公表する必要があります。
その際、個人情報がどのように取り扱われるか本人が予測できる程度に特定する必要がある旨、ガイドライン上、追記されています。

たとえば、取得した個人情報から、本人の行動・関心等を分析する場合には、プライバシーポリシー等における利用目的の内容にも、その旨を追加する^※必要があります。

1. 取得した閲覧履歴や購買履歴等の情報を分析して、趣味・嗜好に応じた新商品・サービスに関する広告のために利用いたします。
2. 取得した行動履歴等の情報を分析し、信用スコアを算出した上で、当該スコアを第三者へ提供いたします。

個人情報の保護に関する法律についてのガイドライン（通則編）
3-1-1.利用目的の特定（法第17条第1項関係）参照

ウ 個人データの共同利用に関する追加

個人情報保護法に基づく個人データの「共同利用」を行う際の、本人に通知または本人が容易に知り得る状態に置くべき事項に、共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的、個人データ管理責任者の名称等があります。

改正法においてはそのうえ、個人データ管理責任者の住所・代表者の氏名が追加されます。

「共同利用」を行う事業者は、プライバシーポリシー等にこれらを追加する必要があります。

個人情報の不適正利用の禁止

改正法では、違法・不当な行為を助長・誘発するおそれがある方法による個人情報の利用の禁止が定められました。

ガイドラインでは、提供先において違法な第三者提供がなされることを予見できるにもかかわらず個人情報を提供した場合等の例^※が挙げられています。

※個人情報の保護に関する法律についてのガイドライン（通則編）3-2.不適正利用の禁止（法第19条関係）を参照

このような個人情報の不適正利用は、現行法のもとでも行うべきではありませんが、あらためて留意しておく必要があります。

個人関連情報の第三者提供に関する規制

こちらは、クッキー情報等を用いたターゲティング広告等を行っている場合に、確認が必要な改正点です。

現行法上、委託にともなう個人データの提供等の一定の例外を除いて、本人の同意なく個人データを第三者に提供することは制限されています。

「個人データ」に該当するには、「個人情報」、すなわち特定の個人を識別できる情報（他の情報と容易に照合できることにより識別できる場合を含む）であることが前提となります。

特定の個人を識別可能かどうかは、提供先ではなく、提供元を基準に判断されます。

そのため、提供先では特定の個人を識別可能であっても、提供元で特定の個人を識別できない情報であれば、個人データには該当しません。

改正法では、このような場合も規制するようになります。

つまり、提供元では特定の個人を識別できないものの、提供先では「個人データ」として取得することが想定される個人関連情報（個人に関する情報）を提供する場合には、提供先が本人の同意を得ていることについて、提供元による確認が義務付けられます。

たとえば、広告主がターゲティング広告を行うために、DMP（データマネジメントプラットフォーム）^※1の運営事業者から、クッキー^※2情報に紐づいた閲覧履歴等（それ自体では特定の個人を識別できない情報）の提供を受け、かつ、広告主ではクッキー情報に紐づいて有していた他の情報から特定の個人を識別可能な場合が該当します。

※1 インターネット上の行動履歴等の収集・蓄積・統合・分析を行うプラットフォーム

※2 利用者がウェブサイトを訪問した際に、利用者のブラウザに送信されるデータ。次に同じウェブサイトを訪問した際に、このデータが利用者のブラウザからウェブサイトに送信されることにより、前回の履歴を反映したページ（例：ログインIDが入力済みのページ）が表示される。

このような場合、提供先の事業者としては、個人データとして取得することについて本人から同意を得る必要があります。
また、個人データの第三者提供を受ける場合とおおむね同じ確認・記録義務が課せられる点にも注意が必要です。

外国の第三者への提供時の本人への情報提供等

こちらは、EU・イギリス以外の外国の第三者に対して個人データを提供する場合に、確認が必要な改正点です。

現行の個人情報保護法上でも、個人データを外国の第三者に提供するには、国内の第三者に提供する場合よりも厳しい制限が設けられています。

具体的には
①日本と同水準の個人情報保護制度を有しているとされる国（具体的にはEU・イギリス）にある第三者
または
②個人情報保護委員会が定める基準に適合する体制を整備している第三者（体制整備要件）

に提供する場合を除き、委託にともなう個人データの提供等として本人の同意を不要とすることは認められておらず、本人の同意が必要となります。

改正法では、これに加えて、本人への情報提供等が義務付けられます。

具体的にいうと、本人の同意による場合は、
1.提供先の外国の名称
2.当該外国の個人情報保護制度に関する情報
3.提供先が講ずる個人情報保護措置に関する情報
を、あらかじめ提供する必要があります。

上記②の体制整備要件による場合は、提供先による措置の実施状況やそれに影響を及ぼすおそれのある提供先の外国の制度の有無・内容を定期的に確認する等の、必要な措置を実施しなければなりません。

それとともに、本人から求められた場合には
1.提供先が実施する措置の概要
2.提供先の外国の名称
3.提供先による措置の実施に影響を及ぼすおそれのある当該外国の制度の有無・概要
を含む一定の情報を提供する必要があります。

なお、外国の個人情報保護制度については、改正法施行に向けて、個人情報保護委員会が事業者の参考になる情報を取りまとめて公表することが予定されています。

オプトアウトによる第三者提供の限定

名簿業者等により利用されることが多い、オプトアウトによる第三者提供^※に関して、改正法では、①不正取得された個人データ、②オプトアウトにより提供を受けた個人データは、オプトアウトによる第三者提供が認められないこととなりました。

※本人の求めがあれば事後的に停止することを前提に、一定の事項の公表・個人情報保護委員会への届出のうえで、本人の同意なく第三者に個人データを提供できる制度

個人データ漏えい等発生時の報告・本人への通知義務

・「要配慮個人情報」（例：病歴）が含まれる
・財産的被害が生じるおそれがある
・1000人を超える
などの一定の類型の個人データの漏えい等が発生等した場合に、個人情報保護委員会への報告・本人への通知が義務付けられます。

報告については、個人情報保護委員会のホームページの報告フォームに入力する方法により、約3～5日以内に速報を行い、原則30日以内に確報を行う必要があります。

罰則の強化

個人情報保護法の実効性確保の観点から、次の通り罰則の強化がなされています。
なお、罰則強化は2020年12月12日からすでに施行されています。

個人情報保護委員会の命令違反、個人情報保護委員会に対する虚偽報告等について、法定刑が、次の通り引き上げられています。

また、個人情報データベース等の不正提供等、個人情報保護委員会の命令違反について、法人に対する罰金刑の最高額が、次の通り引き上げられています。

なお、違反行為者個人に対しての罰金額は従来通りです。

【参照】

・個人情報の保護に関する法律についてのガイドライン（通則編）
https://www.ppc.go.jp/files/pdf/211116_guidelines01.pdf

・「個人情報の保護に関する法律についてのガイドライン」に関するＱ＆Ａ
https://www.ppc.go.jp/files/pdf/2109_APPI_QA_4ejj3t.pdf

【注意】

個人情報保護法に関しては、令和3年に、行政機関等による個人情報の取扱いについても個人情報保護法に一元化するための改正等がなされており、こちらの多くも2022年4月1日から施行されます。
その関係で、2022年4月1日以降、個人情報保護法の条文番号が、少しずつ変わることになります。

今津泰輝 氏（弁護士）

米国を本拠地とする大規模ローファームを経て、平成21年に今津法律事務所（現弁護士法人今津法律事務所）を開設し約10年。『なるほど図解　会社法のしくみ』（中央経済社）等著作、講演多数。①会社法・取締役の関係、②契約書作成・商取引・規定作成、③訴訟・トラブル解決支援、④中国ビジネス・海外との商取引等に取り組んでいる。

坂本敬 氏（弁護士）

平成27年1月に今津法律事務所（現弁護士法人今津法律事務所）入所。「判例から学ぼう！管理職に求められるハラスメント対策」（株式会社エヌ・ジェイ・ハイ・テック）等講演、著作多数。①会社法・取締役の関係、②契約書作成・商取引・規定作成、③訴訟・トラブル解決支援、④中国ビジネス・海外との商取引等に取り組んでいる。