個人情報保護法改正案の概要と企業実務への影響
2020/03/27   コンプライアンス, 情報セキュリティ, 法改正対応, 個人情報保護法

 

CIPP/E, GBL研究所理事　浅井敏雄[*]

【目　次】

■はじめに

■個人の権利の在り方（権利の強化）

・利用停止等の要件緩和

・個人データ開示請求の方法の追加と本人による指定

・第三者提供に関する提供元・提供先の記録開示義務

・開示対象個人データの拡大

・オプトアウト規制の強化

■事業者の守るべき責務の在り⽅

・漏えい等の報告・通知義務化

・適正な利用義務の明確化

■事業者による自主的な取組を促す仕組みの在り方

■データ利活用に関する施策の在り方

・「仮名加工情報」制度の創設

・提供先で個人データとなると想定される情報（「個人関連情報」）の第三者提供制限

■ペナルティの強化

■法の域外適用・越境移転の在り方

・法の域外適用の範囲拡大

・個人データの越境移転規制の強化

 

■はじめに

本年3月10日、個人情報保護法（「法」）の改正法案（「改正案」）が閣議決定され[1]国会に提出されました。今回の改正は、法の3年ごとの見直しの一環として行われるものです。法は、2003年の制定（2005年全面施行）後2015年に改正(2017年全面施行)され、この最初の改正の際、政府は、個人情報保護に関する国際動向、情報通信技術の進展等を勘案し改正施行後3年を目途に見直しをするものとされていました(附則12)（番号は条文番号。以下同じ）。

そこで、個人情報保護委員会（「委員会」）は、2018年12月以降、改正の論点のまとめ・公表、経済界からのヒアリング、中間整理の公表・意見募集、昨年12月の「個人情報保護法 いわゆる３年ごと見直し制度改正大綱」（「大綱」）の公表・意見募集を行い、今回、改正案が閣議決定されたものです。

改正案が今国会（会期末6月17日）で成立すれば、そのうち多くの規定が遅くとも公布後2年(2022年5月前後)内の政令で定める日から施行されます（改正案附則1）。

以下、改正案のまま改正されるものと仮定し、委員会の公表した改正案の「概要資料」の順番に従い、企業実務に影響が大きいと思われる内容について紹介します（但し細かい例外等は適宜省略）。なお、本稿では、現行法および改正法上の規制対象となる者を全て「事業者」と呼びます。また、以下の現行法、改正案および大綱に関する記述中、[  ]内は筆者の補足・見解等です。

 

■個人の権利の在り方（権利の強化）

●利用停止等の要件緩和

【概要】（「概要資料」の記載内容。太字下線も。以下同じ）　利用停止・消去等の個人の請求権について、不正取得等の⼀部の法違反の場合に加えて、個人の権利または正当な利益が害されるおそれがある場合にも要件を緩和する。

【現行法】　本人は、以下のいずれかの場合、事業者に自己の個人データの利用停止または消去（「利用停止等」）を請求することができる(30(1),(2))。

① 事業者が当該個人データを、本人の同意なく当初利用目的範囲外で利用している場合、② 事業者が当該個人データを、偽りその他不正手段により取得した場合

【改正案】　以下内容追加。

① 本人は、事業者が、自己の個人データを、違法もしくは不当な行為を助長または誘発するおそれがある方法により利用している場合、その利用の停止または消去（「利用停止等」）を請求できる(30(1)二)。

② 本人は、以下のいずれかの場合、自己の個人データの利用停止等または第三者への提供の停止を請求することができる(30(5),(6))。

(a) 事業者が当該個人データを利用する必要がなくなった場合、(b) 当該個人データについて漏えい・滅失・毀損等であって規則で定めるもの(22の2(1))（「漏えい等」）が生じた場合、(c) その他当該個人データの取扱いにより本人の権利または正当な利益が害されるおそれがある場合 [2]

【大綱】（「大綱」の記載内容。以下同じ）　消費者の間で事業者が利用停止等に応じないことに対する不満が強い。

【企業実務への影響】　EU GDPRでは法上の利用停止等に相当する消去(17)・処理制限(18)および処理禁止(異議申立)(21)の請求権を行使できる場合にほぼ制約がないが、法上の利用停止等の権利は改正によってもなお事業者側に問題等のある場合に限定されている。とはいえ、企業としては以下のような対応が必要となる。

① 「違法もしくは不当な行為を助長または誘発するおそれ」の判断の困難性やこの判断に関する本人との争いを回避するため、原則として全ての場合に利用停止等に応じる対応も考えられるので、この検討。②　利用停止等に応じる場合を法で定める場合に限定するときは対応マニュアル改訂・社内周知教育・体制整備

●個人データ開示請求の方法の追加と本人による指定

【概要】　保有個人データの開示方法（※）について、電磁的記録の提供を含め、本人が指示できるようにする。（※）現行は、原則として、書面の交付による方法とされている[施行令9]。

【改正案】　開示方法について、書面の他、電子ファイル（電磁的方法）その他規則で定める方法を追加し、その中から本人が指定できる(28(1), (2))。

【大綱】　開示請求は、訂正、利用停止等の請求の前提となる手続でもあり、一体となって本人による関与の仕組みを構成するものである。

【企業実務への影響】　従来、オンライン上で取得したデータに対する開示請求が多かったのであれば、改正後はオンライン上で対応すること（ユーザ自身によるダウンロードを含む）も可能となるのでこれを積極活用して対応負担を軽減することも考えられる。

●第三者提供に関する提供元・提供先の記録開示義務

【概要】　個人データの授受に関する第三者提供記録について、本人が開示請求できるようにする。

【現行法】　事業者（「提供元」）が個人データを第三者に提供した場合、提供元および提供先は、その提供に関する記録（提供先については提供元による取得経緯の記録を含む）を作成しなければならない(25, 26)。

【改正案】　本人は、提供元および提供先からそれぞれの授受記録の開示を請求することができる(28(5))。

【大綱】　現行法では、本人からみた、個人情報の流通に係るトレーサビリティが担保されていない。消費者から個人情報の取得元の開示の要望が多い。

【企業実務への影響】　この第三者提供の記録にはオプトアウトによる第三者提供の記録も含まれる。オプトアウトによる第三者提供を利用しているのは名簿屋だけでなく、法が本来オプトアウト制度により保護しようとした正当有益な第三者提供が含まれる。これら、正当有益な第三者提供（例：住宅地図、企業・官庁の幹部役職員・人事異動、登記簿、電話帳、弁護士等資格者等のデータの提供[3]）を受けている多くの企業にも新たに本人への提供記録の開示が義務付けられる。特に従来この記録を提供元と提供先間の契約書等により行なっていた場合(規則12,16)は負担が大きい。

【疑問点・問題点】　上記のようなオプトアウトによる正当有益な第三者提供については、(i) 公表だけではなく本人に対する個別開示義務を負わせること、(ii) 元々の提供元だけでなく提供先にまで負わせること等は、この開示義務の創設の趣旨[主に名簿屋間の個人データの転々流通の抑止・トレーサビリティ確保と思われる]にそぐわないと思われる。

●開示対象個人データの拡大

【概要】　6か月以内に消去する短期保存データについて、保有個人データに含めることとし、開示、利用停止等の対象とする。

【現行法】　「保有個人データ」の定義から短期保存データが除外されている(2(7),施行令5)。従って、本人が開示(28)、訂正等(29)、利用または消去（「利用停止等」）(30)をすることができる事業者の保有個人データには短期保存データは含まれていない。

【改正案】　上記の除外を廃止し、短期保存データも開示、訂正等、利用停止等の対象とする。

【大綱】　情報化社会の進展により短期保存データであっても漏えい等により瞬時に拡散する危険が現実のものとなり、個人の権利利益を侵害する危険性が低いとは限らない。

【企業実務への影響】　従来、6か月以内に消去することとして開示、訂正等、利用停止等を免れていた企業またはデータについては新たな負担となる。

●オプトアウト規制の強化

【概要】　オプトアウト規定（※）により第三者に提供できる個人データの範囲を限定し、①不正取得された個人データ、②オプトアウト規定により提供された個人データについても対象外とする。（※）本人の求めがあれば事後的に停止することを前提に、提供する個人データの項目等を公表等した上で、本人の同意なく第三者に個人データを提供できる制度。

【現行法】　事業者（提供元）が個人データを第三者（委託先等を除く）（提供先）に提供する場合、原則として、本人の事前同意を得なければならない。

但し、事業者が当該個人データについて、(i)本人の求めに応じて第三者提供を停止し、(ii)所定事項を規則に従い公表等し、かつ(ii)委員会に届け出た場合、本人の事前同意なく当該個人データを第三者に提供することができる(23(2))（「オプトアウト」）。但し、当該個人データが要配慮個人情報である場合はオプトアウトを利用できない。

【改正案】　①　個人データが以下のいずれかの場合もオプトアウトは利用できない(23(2)但書)。(a) 偽りその他不正の手段により取得されたものである場合、(b) 他の事業者からオプトアウトにより提供されたものである場合。[すなわち、オプトアウトにより提供された個人データを提供先が更にオプトアウトにより第三者に提供することはできない。]

②　オプトアウトにおいて事前公表等および届出すべき事項に以下の事項を追加し、その変更についても届出を義務付ける(23(2),(3))。(a) 提供元の代表者名・住所等、(b) 第三者提供する個人データの取得方法、(c) その他規則で定める事項

【大綱】　名簿を取得する名簿屋が、その提供元が不正手段で取得したことを知りまたは容易に知り得る場合がある。名簿屋同士での名簿流通がある。現行法上はオプトアウトを利用する事業者の住所が届出事項となっていないので届出後連絡がつかなくなる場合がある。

【企業実務への影響】 上記II-3で述べた、正当有益なオプトアウトによる第三者提供（例：住宅地図、企業・官庁の幹部役職員・人事異動、登記簿、電話帳、弁護士等資格者等のデータの提供）を受けた提供先が当該データをそのまままたは加工等し自己の製品・サービスの全部または一部としてオプトアウトにより第三者提供する正当有益なビジネスまで実質上禁止される。

【疑問点・問題点】 上記のような結果は、大綱で示唆されているオプトアウト規制強化の趣旨[主に名簿屋間の個人データの転々流通の抑止・トレーサビリティ確保と思われる]にそぐわないと思われる。

 

■事業者の守るべき責務の在り⽅

●漏えい等の報告・通知義務化

【概要】 漏えい等が発生し、個人の権利利益を害するおそれがある場合（※）に、委員会への報告及び本人への通知を義務化する。（※）一定数以上の個人データの漏えい、一定の類型に該当する場合に限定。

【現行法】 漏えい等の委員会への報告、本人への通知を義務付ける規定はない。

【改正案】 事業者は、規則に定める基準に当てはまる重大な漏えい等が生じた場合、これを委員会に報告し、また、本人に通知しなければならない。但し、個人データの取扱い委託先は、委託元事業者に通知した場合には当該報告・通知義務を負わない。本人への通知が困難で本人の権利利益保護のための代替措置をとる場合は本人への通知は免除される。（以上22の2）

【大綱】 漏えい等の報告・通知は、多くの諸外国で義務とされている。法上は義務ではないため、自主的な対応をしない事業者もある。漏えい等報告の義務化に当たっては、軽微な事案を除き、一定数以上の個人データ漏えい、要配慮個人情報の漏えい等、一定の類型に該当する場合に限定する。

【企業実務への影響】 改正法成立後、報告・通知義務の対象となる漏えい等の類型が規則で規定されると思われるので、これを注視する必要がある。企業の対応としては、社内における漏えい等の検知・報告、委員会への報告、本人への通知またはそれが困難の場合の代替措置等を検討し、自社内で規定改訂・社内周知教育・体制整備を行う必要がある。

●適正な利用義務の明確化

【概要】 違法または不当な行為を助長する等の不適正な方法により個人情報を利用してはならない旨を明確化する。

【現行法】 取得については、偽りその他不正の手段による取得の禁止が明記されている。しかし、取得後の利用については明文の規定はない。

【改正案】 違法または不当な行為を助長または誘発するおそれがある方法による個人情報の利用の禁止を明文で規定する(16の2)。

【大綱】 急速なデータ分析技術の向上等を大綱に、潜在的に個人の権利利益の侵害につながることが懸念される個人情報の利用の形態がみられるようになった。現行法上違法ではないとしても、違法・不当な行為を助長・誘発するおそれのある方法での利用等が一部にみられる。

【企業実務への影響】 例えば、リクナビ事件[4]において、顧客企業がリクナビ側から学生の氏名等が特定されない形でその内定辞退率の提供を受け、これを自社で付与した学生のIDと照合し特定の学生を識別し利用（個人情報としての利用）をしたようなケースが「不当な行為を助長または誘発するおそれがある方法による個人情報の利用」に当たる可能性があると思われる。従って、企業としては、このような社会的非難を受け得るような個人情報の利用が生じないよう自社内で規定改訂・社内周知教育・体制整備を行う必要がある。

 

■事業者による自主的な取組を促す仕組みの在り方

【概要】 認定団体制度について、現行制度（※）に加え、企業の特定分野(部門)を対象とする団体を認定できるようにする[47(2)]。（※）現行の認定団体は、対象事業者のすべての分野（部門）を対象とする。

【企業実務への影響】 例えば、オンライン広告におけるCookie利用等の特定の問題に関し業界横断的な認定団体を利用し、苦情受付の第1次対応窓口を当該団体とする(47(1))ことも可能になると思われる。

 

■データ利活用に関する施策の在り方

●「仮名加工情報」制度の創設

【概要】 イノベーションを促進する観点から、氏名等を削除した「仮名加工情報」を創設し、内部分析に限定する等を条件に、開示・利用停止請求への対応等の義務を緩和する。

【現行法】 前回の改正法（2017年施行）で個人データの利活用手段として「匿名加工情報」制度が創設された。

「匿名加工情報」とは、個人情報に、規則(19)で定める措置（削除・置換え等）を講じて特定の個人を識別できないよう加工した情報であって当該個人情報を復元できないようにしたものをいう（法2(9)（改正後は2(11)）, 36(1)）。

「匿名加工情報」を作成した事業者には、匿名化に当たり削除した情報および加工方法に関する情報の安全管理義務が課されている(36(2))。

匿名加工情報については、本人を識別する行為を禁止する(36(5), 38)ことによりもはや個人情報および個人データではないものとして取扱われている。具体的には、匿名加工情報は、利用目的による制限(16)や第三者提供の制限(23)に服さず、また、本人からの開示・訂正・利用停止等の請求権(28～30)の対象外である。

【改正案】 匿名加工情報制度とは別に「仮名加工情報」制度を創設する。「仮名加工情報」とは、個人情報に、規則で定める措置（削除・置換え等）を講じて他の情報と照合しない限り特定の個人を識別できないよう加工した情報をいう（法2(9), 35の2(1)）。

「仮名加工情報」には、[加工内容・程度に応じ]①個人データである仮名加工情報（「仮名加工情報（個人データ）」）と②個人データではない仮名加工情報（「仮名加工情報（非個人データ）」）とがあるとの前提で要旨以下の通り規定されている。

(1) 「仮名加工情報（個人データ）」および「仮名加工情報（非個人データ）」共通

(a) 事業者は、仮名化に当たり削除した情報および加工方法に関する情報について規則に定める基準に従い安全管理措置を講じなければならない(35の2(2))。

(b) 事業者は、本人識別のために仮名加工情報を他の情報と照合してはならない(35の2(7), 35の3(3)で準用)。

(c) 第三者（委託先等を除く）への提供は原則禁止される(35の2(6), 35の3(1)：細かい相違は省略）

(2) 「仮名加工情報（個人データ）」

(a) 本人の開示・訂正・利用停止等請求権、事業者の保有個人データとしての公表義務、漏えい等の報告・通知義務の対象とはならない(35の2(9))。

(b) 事業者は、仮名加工情報の取得前または取得後速やかに、当該仮名加工情報の利用目的を公表し(35の2(4))、以後その目的達成に必要な範囲外の取扱い禁止(35の2(3))。

(c) 他の個人データと同様、安全管理措置（20）、従業者の監督（21）、委託先の監督（22）、苦情の処理（35）に関する規定は当然適用される。

(d) 正確性確保義務(19)はないが不要となった仮名加工情報、削除情報等の消去努力義務あり(35の2(5))。

(3) 「仮名加工情報（非個人データ）」

個人データではないので上記(1)以外の義務はない。

【匿名加工情報と仮名加工情報との共通点と相違点】

i)匿名加工情報、ii)仮名加工情報（非個人データ）、iii)仮名加工情報（個人データ）全部に共通して、それ単独では個人を識別できない。[規則において、i), ii), iii)の順で厳格な、異なる内容・程度の加工方法および安全管理措置が規定されるものと思われる。]

i)の匿名加工情報は第三者提供可能だが、仮名加工情報はii) またはiii)いずれであっても原則第三者提供不可。iii)の仮名加工情報（個人データ）には更にその利用目的公表の義務および利用目的による制約がある。

i), ii), iii) いずれについても、本人による開示、訂正等、利用停止等の請求対象にならない。

【大綱】 [匿名加工情報については、データとしての有用性を加工前の個人情報と同等程度に保つことが困難と言われていた。この点に関し、大綱では次のような記載あり。]　匿名加工情報に比較しより簡便な加工方法でより詳細な分析を行なうニーズがあり、個人情報と匿名加工情報の中間的規律について、従前から経済界から要望されていた。

【企業実務への影響】 仮名加工情報制度を自社で活用可能か否か、改正後規則で具体的に定められると思われる、加工方法および安全管理措置の内容・程度を注視する必要がある。

【疑問点・問題点】 匿名加工情報も仮名加工情報も、EUのGDPR上の「仮名化」（追加情報がなければ特定の個人に関連付けできないよう処理すること）をされた個人データに相当する。しかし、GDPR上、「仮名化」された（に過ぎない）個人データは、追加情報を使えばなお個人を特定できる以上、GDPR上の「個人データ」に該当する（GDPR前文26）。従って、処理目的の（による）制限(5(1)(b))に服し、第三者提供には同意その他処理の適法性の根拠(6,9)がなければならず、データ主体のアクセス権その他全ての権利(15～22）の対象となる。

このような日・EU間の法的取扱いの差から、EU域内から十分性認定に基づき提供を受けた個人情報については、補完的ルールにおいて、当該個人情報から法上の匿名加工情報を作成する場合は、削除情報等を削除した場合のみ匿名加工情報とみなすこととされた。これと同じことが仮名加工情報についても当てはまるので、法改正後、仮名加工情報について日欧間の交渉により補完的ルールが改訂されるか、または、規則において手当されることが予想される。従って、これを注視する必要がある。

●提供先で個人データとなると想定される情報（「個人関連情報」）の第三者提供制限

【概要】 提供元では個人データに該当しないものの、提供先において個人データとなることが想定される情報の第三者提供について、本人同意が得られていること等の確認を義務付ける。

【現行法】　あるデータの第三者への提供が、法23条により本人の事前同意を要する個人データの第三者提供(23)に該当するか否かの主体的基準について、委員会から、提供元にとり当該データが個人識別可能かを基準として判断するという「提供元基準」の考え方が示されている。同基準によれば、提供元では個人が識別できないものの、提供先では個人が識別できる情報については、当該提供に対し本人の事前同意を要しないことになる。

【改正案】 事業者（提供元）は、「個人関連情報」（個人に関する情報だが個人情報に該当しない情報）を第三者（提供先）に提供する場合であって提供先が「個人関連情報」を個人データとして取得することが想定されるときは、事前に以下の事項を確認することなく当該提供をしてはならない(26の2(1))。

①　提供先が当該個人関連情報を本人が識別される個人データとして取得することについて本人の同意が得られていること。

②　提供先が外国（十分性認定国を除く）にある第三者の場合は、更に、規則に従い、以下の情報が上記同意前に本人に提供されていること

(i) 当該外国の個人情報保護制度、(ii) 提供先の個人情報保護措置、(iii) その他本人に参考となるべき情報

提供元は、個人関連情報を外国（十分性認定国を除く）に提供する場合、規則に従い、提供先が当該個人関連情報の取扱いについて法上事業者が講ずべき措置に相当する措置を実施するよう必要な措置[ガイドラインで、外国にある第三者への個人データの提供(24)と同様、提供元・提供先間の契約・確認書・覚書等、共通の内規・プライバシーポリシー等の締結・適用等でもよいとされると予想される]を講じなければならない(26の2(2))。

提供元は、上記確認の記録を規則に従い作成・保存しなければならない(26の2(3))。

【大綱】　インターネット上のユーザデータの収集・蓄積・統合・分析を行う「DMP（Data Management Platform）」の運営事業者等が、DMP中のCookie IDに紐付く非個人データを、提供先で他の情報と照合され個人情報となると知りながら、提供する事業形態が出現している。このような法第23条の規定の趣旨を潜脱するスキームが横行しつつあり、こうした本人関与のない個人情報の収集方法が広まることが懸念される。

【企業実務への影響】　以下のような場合に影響があると思われる。

(a) DMP運営事業者が自社保有のユーザデータを顧客企業に提供し、顧客企業において自社会員データと照合紐付けし会員への広告等に利用する場合

(b) アドネットワーク運営事業者（例：Google, Yahoo!）やSNS運営事業者(例：Facebook)が、提携サイトに設置したタグ等を通じ発行したサードパーティーCookie等のデータを自社会員データと照合し特定の個人を識別する場合

(c)リクナビ事件のように、提供元があえて個人の氏名等が特定されない形でデータを処理し、このデータの提供を受けた提供先が自社の情報と照合し特定の個人を識別（個人情報として取得）し利用する場合

【疑問点・問題点】　上記(b)の場合、当該データは、通常、ユーザのブラウザとこれら事業者との間で直接やり取りされるので、提携サイト運営者から「提供」されたと言えるか否かが問題となると思われる。疑義をなくすためには（提供先に）「取得または利用可能にさせる」のような文言が必要と思われる。[5]

上記(b)の場合も本条の規制対象となると仮定した場合、「同意が得られていること」および「情報が当該本人に提供されていること」に関し、当該同意取得および情報提供の主語（義務主体）が問題となる。

基本的には提供先が同意取得・情報提供を行うことが想定されているものと思われる。上記(b)のケースで、Google等に関しては、自社のユーザ登録時にこのような提供等がプライバシーポリシー等に記載されており、ユーザはこれに同意した上会員登録する形がとられているのであれば、この同意取得・情報提供の要件は満たすことになる。

しかし、条文の文言上、提供元が同意取得・情報提供を行うことも排除されていないと思われる。この場合は提携サイト側で、サイトで利用するCookieについての説明（いわゆる「Cookie Notice」）の中で当該提供についても説明し、チェックボックス等を使用しこれに対する同意を得るときは、この同意取得・情報提供の要件は満たすことになる。

「個人情報」の第三者提供に関してはその取扱い委託先への提供については本人の同意は不要とされる(23(5)一)。これに対し「個人関連情報」に関しては同様の規定がなく均衡を欠くように思われる。

 

■ペナルティの強化

【概要】　委員会による命令違反・委員会に対する虚偽報告等の法定刑を引き上げる。（※）命令違反：[現行]6月以下の懲役または30万円以下の罰金→[改正後]1年以下の懲役または100万円以下の罰金、虚偽報告等：[現行]30万円以下の罰金→[改正後]50万円以下の罰金

データベース等不正提供罪、委員会による命令違反の罰金について、法人と個人の資力格差等を勘案して、法人に対しては行為者よりも罰金刑の最高額を引き上げる（法人重科）。

（※）[現行]個人と同額の罰金（50万円または30万円以下の罰金）→[改正後]1億円以下の罰金

[事業者が委員会命令(42(2),(3))に違反した場合、委員会はその旨を公表することができるようにする(42(4))。]

 

■法の域外適用・越境移転の在り方

●法の域外適用の範囲拡大

【概要】　日本国内にある者に係る個人情報等を取り扱う外国事業者を、罰則によって担保された報告徴収・命令の対象とする。

【現行法】　委員会の報告徴収・立入検査・命令の権限は外国の事業者に適用されない(75)。

【改正案】　外国の事業者に法の全規定を適用(75)。従って、委員会の上記権限も外国の事業者に及ぶ。

【大綱】　国内事業者と外国事業者との公平性の観点から問題であるとの指摘もある。

●個人データの越境移転規制の強化

【概要】　外国にある第三者への個人データの提供時に、移転先事業者における個人情報の取扱いに関する本人への情報提供の充実等を求める。

【改正案】（(*)部分追加）　①　事業者（提供元）は、外国（十分性認定国を除く）にある第三者（提供先）に個人データを提供する場合には、原則として、事前に外国にある第三者への提供を認める旨の本人の同意を得なければならない。

事業者は、当該同意を得る前に、規則に従い以下の情報を本人に提供しなければならない(24(3)) (*)。

(i) 当該外国の個人情報保護制度、(ii) 提供先が講ずる個人情報保護措置、(iii) その他当該本人に参考となるべき情報

②　提供先が、個人データの取扱いについて法上事業者が講ずべき措置に相当する措置（「相当措置」）を講ずる体制で規則に定めるものを整備している場合、事業者は、本人の事前同意なく当該個人データを提供先に提供できる(24(1)「第三者」括弧書き)。

事業者は、この場合、規則に従い以下の事項を行わなければならない(24(3)) (*)。

(i) 提供先による相当措置の実施を確保するために必要な措置を講ずること、(ii) 本人の求めに応じ当該必要な措置に関する情報を提供すること

【大綱】　移転先における状況の多様性に起因するリスクに対応するために、移転元となる事業者に対して、本人の同意を根拠に移転する場合は、移転先国の名称や個人情報の保護に関する制度の有無を含む移転先事業者における個人情報の取扱いに関する本人への情報提供の充実を求める。また、移転先事業者において適正取扱いを担保するための体制が整備されていることを条件に、本人の同意を得ることなく個人データを移転する場合にあっては、本人の求めに応じて、移転先事業者における個人情報の取扱いに関する情報提供を行うこととする。

【企業実務への影響】　上記(1)(i)により本人に提供すべき「外国の個人情報保護制度」の情報については、事前に関係情報を収集し本人に提供可能な情報を作成しておく必要がある。特に情報が入手しにくい外国への提供がある場合には十分事前に情報収集しておく必要がある。

上記(1)(ii)および(2)(i)(ii)の措置に関しては、現在、委員会のガイドライン[6]に従い、多くの企業が、提供元・提供先間の契約・確認書・覚書等、共通の内規・プライバシーポリシー等の締結・適用等を利用している。改正後も同じ対応でよいと思われるが、これらに関する本人への情報提供に関しては、契約書等の内容全部をそのまま提供することはできない場合が多いであろうから、本人の個人情報に関わる部分のみの要約等を作成しておく必要がある。

以　上

[*] CIPP/E (Certified Information Privacy Professional/Europe)／一般社団法人GBL研究所理事／UniLaw 企業法務研究所代表

[1] 【法改正に関する資料】　（資料１）　個人情報保護委員会　『「個人情報の保護に関する法律等の一部を改正する法律案」の閣議決定について』（2020年3月10日）から以下の関連資料をダウンロードできる：「法案要綱」、「新旧対照表」、「参照条文」、「概要資料」　（資料2）個人情報保護委員会　「個人情報保護法 いわゆる３年ごと見直し制度改正大綱」　(2019年12月13日)（「大綱」）　（資料4）　森大樹 「個人情報保護法の改正案について」　長島・大野・常松法律事務所　NO&T Client Alert（2020年3月13日号） （資料5）　IIJビジネスリスクマネジメントポータル「改正個人情報保護法により一定のサードパーティ・クッキーについて事前同意が必要に」（2020年3月10日） （資料6）　Hiroyuki Tanaka, Noboru Kitayama, Naoto Obayashi “Analysis of Cabinet of Japan's approved bill to amend APPI” Mar 18, 2020, APPI

[2] 【「本人の権利または正当な利益が害されるおそれがある場合」】　この場合について後記資料には次の記述がある（下線は筆者）。『個人情報保護委員会は具体的なケースとして「他社に知られたくないような内容のダイレクトメールが頻繁に到達して、場合によっては民事上の『平穏に暮らす権利』などを侵害する」といった事態を挙げる。損害賠償やプライバシー侵害を訴えるまでに至らなくても、権利または正当な利益の侵害を主張する「幅広い要件」（同委員会）を想定すると説明した。」　（参考資料）大豆生田 崇志『「個人関連情報」「仮名加工情報」って何？個人情報保護法改正案を読み解く』　 日経クロステック／日経コンピュータ　2020.03.26　（「大豆生田」）

[3] 【オプトアウト届出の例】　個人情報委員会サイト　「オプトアウト届出書一覧」

[4] 【リクナビ事件】　（参照）浅井敏雄　「もしリクナビ問題がEUで起こったら」　2019年12月26日、UniLaw 企業法務研究所サイト

[5] 【個人関連情報の「提供」の意味】　これに関連し前注「大豆生田」には次の記述がある（下線は筆者）。『例えば個人データを保有する米フェイスブックが「いいね」ボタンを通じてほかのWebサイトから個人関連情報を取得する場合については、個人情報保護委員会はフェイスブックが直接データを取得しているもので、今回の改正項目には該当しないと指摘する。」　これによれば、委員会としては、アドネットワーク運営事業者やSNS運営事業者が、提携サイトに設置したタグ等を通じ発行したサードパーティーCookie等のデータを取得することは、アドネットワーク運営事業者等による「直接」の取得なので、提携サイト運営者からアドネットワーク運営事業者等への「提供」には該当しないと解釈する意向のようである。しかし、このような直接取得はいわゆる「Piggy Back」と呼ばれる技術的な手法であり、同じ目的を達成する手法としては最初に提携サイトからアドネットワーク運営事業者等へのCookie IDの転送がなされる「Cookie Sync」と呼ばれる手法もある。このような単なる技術的手法の違いにより法的評価・効果を変えることは、個人関連情報の提供規制の趣旨を潜脱するスキームを生む危険性があるように思われる。（参考資料）株式会社ビデオリサーチ　『「Piggy Back」と 「Cookie Sync」、その特徴と違いって何？今さら聞けない！基本の『キ』』　2018年12月26日

[6] 【相当措置の確保措置】　委員会サイト　「個人情報の保護に関する法律についてのガイドライン（外国にある第三者への提供編） 」　平成31年1月23日  p 8