なお、2020年6月15日公表の「個人情報の保護に関する法律等の一部を改正する法律の成立を受けた個人情報保護委員会の今後の取組（案）について」(p 5)によれば、企業による具体的対応の参考となると期待される改正法に関するガイドライン・Q&Aの公表は本年夏頃が想定されているので注視が必要です。

page top

改正法施行日

上記①の政令により以下の通りとなります。

項　　目

期　　日

全面施行の日

令和4年(2022年)4月1日

オプトアウトにより個人データを第三者に提供しようとする際の経過措置(法23(2))

令和3年(2021年)10月1日

page top

個人の権利の在り方(権利の強化)

●利用停止等・第三者提供停止の要件緩和

【現行法】本人は, 以下のいずれかの場合, 事業者に自己の個人データの利用停止または消去(以下「利用停止等」という)を請求することができる(30(1),(2))。

・事業者が当該個人データを, 本人の同意なく当初利用目的範囲外で利用している場合

・事業者が当該個人データを, 偽りその他不正手段により取得した場合

本人は、自己の個人データが法23条または24条に違反して第三者に提供されている場合、事業者に当該第三者提供の停止を請求することができる(30(3))。

【大　綱】事業者の負担も考慮しつつ保有個人データに関する本人の関与を強化する観点から, 個人の権利利益の侵害がある場合を念頭に, 保有個人データの利用停止等の請求, 第三者提供の停止の請求に係る要件を緩和し, 個人の権利の範囲を広げることとする(p 10)。

【改正法】以下内容追加。

①事業者は違法もしくは不当な行為を助長または誘発するおそれがある方法により個人情報を利用してはならない(16の2)。

②本人は, 事業者が, 自己の個人データを, 違法もしくは不当な行為を助長または誘発するおそれがある方法により利用している場合, その利用停止等を請求できる(30(1)二)。

③本人は, 以下のいずれかの場合, 自己の個人データの利用停止等または第三者への提供の停止を請求することができる(30(5),(6))。

(a)事業者が当該個人データを利用する必要がなくなった場合

(b)当該個人データについて漏えい・滅失・毀損等であって規則で定めるもの(22の2(1))(「漏えい等」)が生じた場合

(c)その他当該個人データの取扱いにより本人の権利または正当有益な利益が害されるおそれがある場合

【企業実務への影響】EU GDPRでは法上の利用停止等に相当する消去(17)・処理制限(18)および処理禁止(異議申立)(21)の請求権を行使できる場合にほぼ制約がないが, 法上の利用停止等の権利は改正によってもなお事業者側に問題等のある場合に限定されている。とはいえ, 企業としては以下のような対応が必要となる。

・「違法もしくは不当な行為を助長または誘発するおそれ」の判断の困難性やこの判断に関する本人との争いを回避するため, 原則として全ての場合に利用停止等に応じる対応も考えられるので, この検討。

・利用停止等に応じる場合を法で定める場合に限定するときは対応マニュアル改訂・社内周知教育・体制整備

●個人データ開示請求の方法の追加と本人による指定

【現行法】保有個人データの開示方法は, 書面交付(または請求者が同意した方法がある場合はその方法)とされている[施行令9]。

【大　綱】本人の利便性向上の観点から, 本人が, 電磁的記録の提供を含め, 開示方法を指示できるようにし, 事業者は, 原則として, 本人が指示した方法により開示するよう義務付けることとする(p 10)。

【改正法】本人は, 電磁的記録の提供その他規則で定める方法による開示を請求できる(28(1))。これに対し, 事業者は, その方法(またはその方法による開示が多額の費用その他により困難な場合は書面交付)により, 遅滞なく, 当該保有個人データを開示しなければならない(28(1), (2))。

【新規則】本人が指示できる開示方法は, 電磁的記録の提供, 書面交付その他事業者の定める方法とする(18の6)。

【企業実務への影響】従来, オンライン上で取得したデータに対する開示請求が多かったのであれば, 改正後はオンライン上で開示対応すること(ユーザ自身によるダウンロードを含む)を標準とすることも可能となるのでこれを積極活用して対応負担を軽減することも考えられる。

●第三者提供に関する提供元・提供先の記録開示義務

【現行法】事業者(「提供元」)が個人データを第三者(提供先)に提供した場合, 提供元および提供先は, その提供に関する授受の記録(提供先については提供元による取得経緯の記録を含む)を作成しなければならない(25, 26)。

【大綱】現行法では, 本人からみた, 個人情報の流通に係るトレーサビリティが担保されていない。個人情報の流通に係るトレーサビリティについては, 本人にとって利用停止権や請求権を行使する上で, 必要不可欠な要素である。従って, 第三者への提供時・第三者からの受領時の記録も, 開示請求の対象とすることとする。(p 13)

【改正法】その開示方法を含め個人データ自体と同様に, 本人は, 提供元および提供先からそれぞれの授受記録の開示を請求することができる。但し, その存否が明らかになることにより公益その他の利益が害されるものとして政令で定める記録(＊)を除く。(以上28(5))。

【新政令】上記(＊)の本人への開示対象外の記録：当該記録の存否が明らかになることにより以下のいずれかのおそれがあるもの(政令9)。

①本人・第三者の生命・身体・財産に危害が及ぶ。

②違法・不当な行為を助長・誘発する。

③国の安全が害され／他国・国際機関との信頼関係が損なわれ／他国・国際機関との交渉上不利益を被る。

④犯罪の予防鎮圧・捜査その他公共の安全秩序の維持に支障が及ぶ。

【企業実務への影響】第三者提供の授受の記録は、実務上、データ提供に関する契約書で代替している例も多い。この場合、具体的にどのようなフォーマット・内容で記録提供に応じるべきなのか（例えば契約の要約書提供でよいか）といった問題がある。この点に関しては、ガイドライン等で明らかにされることが予想されるので注視が必要。

●本人への開示対象個人データの拡大

【現行法】「保有個人データ」の定義から6月内に消去する短期保存データが除外されている(2(7),施行令5)。従って, 本人が開示(28), 訂正等(29), 利用停止等(30)をすることができる事業者の保有個人データには短期保存データは含まれていない。

【大　綱】情報化社会の進展により, 短期間で消去される個人データであっても, その間に漏えい等が発生し, 瞬時に拡散する危険が現実のものとなっている(p 11)。

【改正法】上記の除外を廃止(2(7))し, 短期保存データも開示, 訂正等, 利用停止等の対象とする。

【企業実務への影響】従来, 6か月以内に消去することとして開示, 訂正等, 利用停止等を免れていた企業またはデータについては新たな負担となる。

●オプトアウト規制の強化

【現行法】事業者(提供元)が個人データを第三者(委託先等を除く)(提供先)に提供する場合, 原則として, 本人の事前同意を得なければならない。

但し, 事業者が当該個人データについて, (i)本人の求めに応じて第三者提供を停止し, (ii)所定事項を規則に従い公表等し, かつ(iii)委員会に届け出た場合, 本人の事前同意なく当該個人データを第三者に提供することができる(23(2))(「オプトアウト」)。但し, 当該個人データが要配慮個人情報である場合はオプトアウトを利用できない。

【大　綱】名簿の流通により本人の関与が困難となっている現状を踏まえ, オプトアウト届出事業者によって個人情報が不適切に取得されることがないよう, 個人の権利利益を保護する観点から, オプトアウト規定に基づいて本人同意なく第三者提供できる個人データの範囲をより限定していくこととする。現行法上はオプトアウトを利用する事業者の住所が届出事項となっていないので届出後連絡がつかなくなる場合がある。(以上p 12,13)。

【改正法】

①個人データが以下のいずれかの場合もオプトアウトは利用できない((b),(c)追加)(23(2)但書)。

(a)第三者に提供される個人データが要配慮個人情報である場合

(b)偽りその他不正の手段により取得されたものである場合

(c)他の事業者からオプトアウトにより提供されたものである場合。[すなわち, オプトアウトにより提供された個人データを提供先が更にオプトアウトにより第三者に提供することはできない。]

②オプトアウトにおいて事前公表等および届出すべき事項に以下の事項を追加し, その変更についても届出を義務付ける(23(2),(3))。

・提供元の代表者名・住所等

・第三者提供する個人データの取得方法

・その他規則で定める事項

【新規則】委員会へのオプトアウト届出・その変更届出の方法(規則7)および委員会による届出の公表関連(規則10) -内容は省略。

【企業実務への影響】オプトアウト制度を利用する企業は対応検討要。

page top

事業者の守るべき責務の在り⽅

●漏えい等の報告・通知義務化

【現行法】個人データの漏えい・滅失・棄損(以下「漏えい等」という)の委員会への報告, 本人への通知を義務付ける規定はない。

【大　綱】漏えい等の報告・通知は, 多くの諸外国で義務とされている。法上は義務ではないため, 自主的な対応をしない事業者もある。漏えい等報告の義務化に当たっては, 軽微な事案を除き, 一定数以上の個人データ漏えい, 要配慮個人情報の漏えい等, 一定の類型に該当する場合に限定する。

【改正法】事業者は, 個人データの漏えい・滅失・棄損等で個人の権利利益を害するおそれが大きいものとして規則で定めるもの(＊)が生じた場合, 規則で定めるところにより, これを委員会に報告し, また, 本人に通知しなければならない。但し, 個人データの取扱い委託先は, 委託元事業者に通知した場合には当該報告・通知義務を負わない。本人への通知が困難で本人の権利利益保護のための代替措置をとる場合は本人への通知は免除される。(以上22の2)

【新規則】

(1)報告通知対象の漏えい等(上記(＊))：以下の漏えい等またはそのおそれ(但し当該個人情報に高度な暗号化その他の個人の権利利益を保護するために必要な措置を講じた場合を除く)(規則6の2)。

・要配慮個人情報が含まれる漏えい等。

・その不正利用より財産的被害が生じるおそれがある漏えい等。

・不正目的をもって行われたおそれがある漏えい等[例：ハッキング]。

・本人の数が千人を超える漏えい等。

(2)委員会への報告：

(a)報告事項：以下の通り(但し報告時点で把握しているものに限る)(6の3(1))。

- ①概要／②該当個人データの項目／③該当の本人の数／④原因／⑤二次被害またはそのおそれの有無およびその内容／⑥本人への対応の実施状況／⑦公表の実施状況／⑧再発防止のための措置／⑨その他参考となる事項

(b)報告時期：漏えい等またはそのおそれを知った後速やかに, かつ, 知った日から30日以内(不正目的の漏えいの場合は60日以内)(6の3(1)柱書,(2))。

(c)報告手段：委員会に報告する場合は電子的通信手段(その使用に支障が生じた場合は書面報告出)。権限受任大臣に報告する場合については内容省略。

(3)個人情報の取扱い委託先が委託元に漏えい等を通知する場合：漏えい等を知った後速やかに上記①～⑨を委託元に通知(6の4)。

(4)本人への通知：漏えい等を知った後状況に応じ速やかに, 当該本人の権利利益を保護するために必要な範囲で以下の事項を通知(6の5)。

- ①概要／②該当個人データの項目／④原因／⑤二次被害またはそのおそれの有無およびその内容／⑨その他参考となる事項

【企業実務への影響】企業の対応として, 社内における漏えい等の検知・報告, 委員会への報告, 本人への通知またはそれが困難の場合の代替措置等を検討し, 自社内で社内規程・対応マニュアル改訂・社内周知教育・体制整備を行う必要がある。

●適正な利用義務の明確化

【現行法】取得については, 偽りその他不正の手段による取得の禁止が明記されている(17)。しかし, 取得後の利用については明文の規定はない。

【大　綱】急速なデータ分析技術の向上等を大綱に, 潜在的に個人の権利利益の侵害につながることが懸念される個人情報の利用の形態がみられるようになった。現行法上違法ではないとしても, 違法・不当な行為を助長・誘発するおそれのある方法での利用等が一部にみられる。

【改正法】事業者は, 違法または不当な行為を助長または誘発するおそれがある方法により個人情報を利用してはならない(16の2)。

【企業実務への影響】例えば, リクナビ事件[1]において, 顧客企業がリクナビ側から学生の氏名等が特定されない形でその内定辞退率の提供を受け, これを自社で付与した学生のIDと照合し特定の学生を識別し利用(個人情報としての利用)をしたようなケースが「不当な行為を助長または誘発するおそれがある方法による個人情報の利用」に当たる可能性があると思われる。

従って, 企業としては, このような社会的非難を受け得るような個人情報の利用が生じないよう自社内で社内規程・対応マニュアル改訂・社内周知教育・体制整備を行う必要がある。

page top

事業者による自主的な取組を促す仕組みの在り方

●認定個人情報保護団体制度

【現行法】事業者による個人情報等の取扱いに関する苦情処理・情報提供等に関する業務を行おうとする団体は委員会の認定を受けることができる(認定団体制度)(47(1))。

【大　綱】現行法上, 認定個人情報保護団体は, 対象事業者の個人情報等の取扱い全般を対象とすることとされており, 特定の事業のみを対象とすることはできない。事業者における個人情報を用いた業務実態の多様化や, 必要な規律の在り方の変化を踏まえ, 認定個人情報保護団体制度について, 現行制度に加え, 特定の事業活動に限定した活動を行う団体を認定できるよう制度を拡充することとする。(以上p 17,18)。

【改正法】認定は, 対象とする事業者等の事業の種類その他の業務の範囲を限定して行うことができる(47(2))。

【企業実務への影響】例えば, オンライン広告におけるCookie利用等の特定の問題に関し業界横断的な認定団体を利用し, 苦情受付の第1次対応窓口を当該団体とする(47(1))ことも可能になると思われる。

保有個人データに関する事項の公表事項の拡充

【現行法】保有個人データに関する事項の公表事項(法27(1))に安全管理措置(法20)は含まれていない。

【大　綱】事業者の適正な取扱いを促す観点から, 個人情報の取扱体制や講じている措置の内容, 保有個人データの処理の方法等の本人に説明すべき事項を, 法に基づく公表事項(政令事項)として追加する(p 20)。

【新政令】保有個人データに関する事項の公表事項(法27(1))として安全管理措置(法20)を追加(但しその公表等により安全管理に支障を及ぼすおそれがあるものを除く)(政令8一)。

【企業実務への影響】安全管理措置の見直しおよび公表すべき内容の検討要。

page top

データ利活用に関する施策の在り方

●「仮名加工情報」制度の創設

【現行法】前回の改正法(2017年施行)で個人データの利活用手段として「匿名加工情報」制度が創設された。

「匿名加工情報」とは, 個人情報に, 規則(19)で定める措置(削除・置換え等)を講じて特定の個人を識別できないよう加工した情報であって当該「個人情報を復元できない」ようにしたものをいう(法2(9)(法改正後は2(11)), 36(1))。

「匿名加工情報」を作成した事業者には, 匿名化に当たり削除した情報および加工方法に関する情報の安全管理義務が課されている(36(2))。

匿名加工情報については, 本人を識別する行為を禁止する(36(5), 38)ことによりもはや個人情報および個人データではないものとして取扱われている。具体的には, 匿名加工情報は, 利用目的による制限(16)や第三者提供の制限(23)に服さず, また, 本人からの開示・訂正・利用停止等の請求権(28～30)の対象外である。

しかし, 匿名加工情報については, データとしての有用性を加工前の個人情報と同等程度に保つことが困難と言われていた。

【大　綱】実務においては, 匿名加工情報に比較しより簡便な加工方法(以下「仮名化」という)でより詳細な分析を行なうニーズがあり, 個人情報と匿名加工情報の中間的規律について, 従前から経済界から要望されていた。

仮名化された個人情報について, 加工前の個人情報を復元して特定の個人を識別しないことを条件とすれば, 個人の権利利益侵害リスクが相当程度低下する。一方で, こうした情報を企業の内部で分析・活用することは, 我が国企業の競争力を確保する上でも重要である。従って, 一定の安全性を確保しつつ, イノベーションを促進する観点から, 他の情報と照合しなければ特定の個人を識別することができないように加工された個人情報の類型として「仮名化情報(仮称)」を導入することとする。「仮名化情報(仮称)」は, 事業者内部における分析のために用いられることに鑑み, 「仮名化情報(仮称)」それ自体を第三者に提供することは許容しないこととする。但し, その場合でも, 「仮名化情報(仮称)」の作成に用いられた原データ(保有個人データ)を, 本人の同意を得ること等により第三者に提供することは可能である。(以上 p 21,22)

【改正法】匿名加工情報制度とは別に「仮名加工情報」制度を創設する。

「仮名加工情報」とは, 個人情報に, 規則で定める措置を講じて「他の情報と照合しない限り」特定の個人を識別できないよう加工した情報をいう(法2(9), 35の2(1))。[匿名加工情報と異なり復元不能性の要件はない]

「仮名加工情報」には, ①[例えば加工完了後も原データを保持し続けていることにより]他の情報と容易に照合でき特定の個人が識別できるためなお個人情報である仮名加工情報と②[例えば加工完了後原データを削除したことにより]個人情報ではない仮名加工情報とがあるとの前提で両者(いずれもデータに限る)について要旨以下の通り規定されている。

(1)個人情報である／個人情報ではない仮名加工情報双方に共通する事項

①事業者は, 仮名加工情報を作成する場合規則で定める基準に従い個人情報を加工しなければならない(35の2(1))。

②事業者は, 仮名化に当たり削除した情報および加工方法に関する情報(「削除情報等」)について規則に定める基準に従い安全管理措置を講じなければならない(35の2(2))。

(2)個人情報である仮名加工情報のみに適用される事項

①事業者は, 法令に基づく場合を除き, 当初特定した利用目的の達成に必要な範囲を超えて, 個人情報である仮名加工情報を取り扱ってはならない(35の2(3))。(＊)但し次の②および⑦(a)から, 個人情報である仮名加工情報については, その変更後の利用目的の公表を条件として利用目的自体を変更（例：拡大）することは可能。

②事業者は, 個人情報である仮名加工情報を取得した場合は, 予めその利用目的を公表している場合を除き, 速やかにその利用目的を公表しなければならない。また, その利用目的を変更した場合は, 変更された利用目的について公表しなければならない。(以上35の2(4))。

③事業者は, 個人情報である仮名加工情報および削除情報等を利用する必要がなくなったときは, それらを遅滞なく消去するよう努めなければならない。この場合, 個人情報である仮名加工情報を正確かつ最新の内容に保つ義務はない。(以上35の2(5))。

④事業者は, 個人情報である仮名加工情報を第三者に提供してはならない(23条の本人の同意・オプトアウトによる提供／24条の本人同意による外国の第三者への提供も不可)。但し, 法令に基づく場合および23条5項の委託・事業承継・共同利用の場合は第三者提供可(共同利用の内容は公表で足る)。(以上35の2(6))。

⑤事業者は, 個人情報である仮名加工情報については, 本人を識別するためこれを他の情報と照合してはならない(35の2(7))。

⑥事業者は, 個人情報である仮名加工情報に連絡先等の情報が含まれる場合, 当該情報を電話・郵便・FAX・電子メール・住居訪問等のために利用してはならない(35の2(8))。

⑦個人情報である仮名加工情報については以下の規定は適用しない(35の2(9))。

(a)15条2項(利用目的の変更制限)：すなわち, 個人情報である仮名加工情報の利用目的は「変更前の利用目的と関連性を有すると合理的に認められる範囲」を超えて新たな目的に変更できる。

(b)22条の2(漏えい等の報告等)：すなわち, 個人情報である仮名加工情報(単独)の漏えい等について報告は不要。[2]

(d)28条(開示)・29条(訂正等)・30条(利用停止)～34条：すなわち, 個人情報である仮名加工情報については本人からの開示・訂正・利用停止等の請求に応じる必要はない。

なお, 個人情報である仮名加工情報は, 個人情報であるから, 21条・22条・35条等の適用を受け, 事業者は個人情報である仮名加工情報について従業者の監督・委託先の監督・苦情の処理等を行わなければならない。

(3)個人情報ではない仮名加工情報のみに適用される事項

①事業者は, 個人情報ではない仮名加工情報を第三者に提供してはならない。但し, 法令に基づく場合および(23条5項の準用により)委託・事承継・共同利用の場合は第三者提供可(共同利用の内容は公表で足る)。(以上35の3(1),(2))

②個人情報ではない仮名加工情報についても以下の規定を準用する(35の3(3))

(a)20条・21条・22条・35条準用：すなわち, 事業者は, 個人情報ではない仮名加工情報についても安全管理措置・従業者の監督・委託先の監督・苦情の処理を行わなければならない。

(b) 35条の2(7)準用：事業者は, 個人情報ではない仮名加工情報については, 本人を識別するために, 削除情報等を取得しまたはこれを他の情報と照合してはならない。

- 個人情報ではない仮名加工情報は, 個人情報ではないから上記以外の法の適用を受けない。

【新規則】

(1)仮名加工情報の作成基準：以下の全部を実施(規則18の7)

①個人情報に含まれる個人識別可能な記述等または個人識別符号全部の削除(「削除」には復元性のない方法での置換を含む。以下同じ)。

②個人情報に含まれる不正利用により財産的被害が生じるおそれがある記述等の削除。

[なお, 匿名加工情報の場合は①および個人情報との連結符号の削除／特異な記述等の削除／その他適切な措置も全部実施要(規則19)]

(2)削除情報等に係る安全管理措置の基準：18の8(内容省略)

【企業実務への影響】仮名加工情報制度を自社で活用可能か否か検討。

●提供先で個人データとなると想定される情報(「個人関連情報」)の第三者提供制限

【現行法】あるデータの第三者への提供が, 法23条により本人の事前同意を要する個人データの第三者提供(23)に該当するか否かの主体的基準について, 委員会から, 提供元にとり当該データが個人識別可能かを基準として判断するという「提供元基準」の考え方が示されている。同基準によれば, 提供元では個人が識別できないものの, 提供先では個人が識別できる情報については, 当該提供に対し本人の事前同意を要しないことになる。

【大　綱】インターネット上のユーザデータの収集・蓄積・統合・分析を行う「DMP(Data Management Platform)」の運営事業者等が, DMP中のCookie IDに紐付く非個人データを, 提供先で他の情報と照合され個人情報となると知りながら, 提供する事業形態が出現している。このような法第23条の規定の趣旨を潜脱するスキームが横行しつつあり, こうした本人関与のない個人情報の収集方法が広まることが懸念される。そこで, 提供元基準を基本としつつ, 提供元では個人データに該当しないものの, 提供先において個人データになることが明らかな情報について, 個人データの第三者提供を制限する規律を適用する。(以上p 24,25)

【改正法】

(1)個人関連情報の提供前確認義務：事業者(提供元)は, 「個人関連情報」(個人に関する情報だが個人情報に該当しない情報)を第三者(提供先)に提供する場合で[3]あって提供先が「個人関連情報」を個人データとして取得することが想定されるときは, 事前に以下の事項を確認することなく当該提供をしてはならない(26の2(1))。

(a)提供先が当該個人関連情報を本人が識別される個人データとして取得することについて本人の同意が得られていること。

(b)提供先が外国(十分性認定国を除く)にある第三者の場合は, 更に, 規則に従い, 以下の情報が上記同意前に本人に提供されていること

(i) 当該外国の個人情報保護制度

(ii) 提供先の個人情報保護措置

(iii) その他本人に参考となるべき情報

(2)個人関連情報の外国の第三者への提供に係る義務：事業者は, 個人関連情報を, 個人データの取扱いについて法上事業者が講ずべき措置に相当する措置(「相当措置」)を継続的に講ずるために必要なものとして規則で定める基準に適合する体制を整備している外国(十分性認定国を除く)にある第三者(提供先)に提供した場合には, 規則で定めるところにより, 当該第三者(提供先)による相当措置の継続的な実施を確保するために必要な措置を講じなければならない(26の2(2))。

(3)個人関連情報の提供前確認に関連した提供先・提供元の義務：提供先の第三者は, 提供元が上記(1)の確認を行う場合において提供元に対し当該確認に係る事項を偽ってはならない。提供元は, 当該確認を行ったときは, 規則で定めるところにより, 当該個人関連情報提供年月日・当該確認に係る事項その他規則で定める事項の記録を作成しかつ規則で定める期間保存しなければならない。(以上26の2(3))。

【新規則】

(1)個人関連情報の第三者提供を行う際の確認に関する方法：原則以下の方法とする(規則18の2(1),(2))。

①本人同意の確認方法：第三者から申告を受ける方法その他の適切な方法。

②必要情報が本人に提供されていることの確認方法：情報提供が行われていることを示す書面の提示を受ける方法その他の適切な方法(規則18の2(2))。

(2)個人関連情報の第三者提供を行う際の確認記録の作成：規則18の3(個人データの提供と同様（データ提供契約による代替も可：詳細省略)

(3)個人関連情報の第三者提供を行う際の記録事項：規則18の4(内容省略)

(4)個人関連情報の第三者提供に係る記録の保存期間：規則18の5(最後の提供日から1年または3年：詳細省略)

【企業実務への影響】個人関連情報の第三者提供に関する規制は以下のような場合に適用されると思われる。

(a)DMP運営事業者が自社保有のユーザデータを顧客企業に提供し, 顧客企業において自社会員データと照合紐付けし会員への広告等に利用する場合。なお, 顧客企業からDMP運営事業者に提供されるCookieデータ・IPアドレス等の提供も提供元基準に従えば顧客企業にとり個人データであり, また, この提供を個人データの取扱いの委託と解することは困難で, 顧客企業は, この提供についても本人の同意を得なければならないものと思われる。[4]

(b)リクナビ事件のように, 提供元があえて個人の氏名等が特定されない形でデータを処理し, このデータの提供を受けた提供先が自社の情報と照合し特定の個人を識別(個人情報として取得)し利用する場合。

本人同意等の確認方法検討要。

page top

ペナルティの強化

【大　綱】違反行為に対する実効性が不十分であるとして, ペナルティの強化が必要との議論がある。

【改正法】

①委員会による命令違反・委員会に対する虚偽報告等の法定刑を引き上げ(令和2年(2020年)12月12日施行済み)

・命令違反：[現行]6月以下の懲役または30万円以下の罰金⇒[改正後]1年以下の懲役または100万円以下の罰金(83)。

・虚偽報告等：[現行]30万円以下の罰金⇒[改正後]50万円以下の罰金(85)。

②個人情報データベース等不正提供罪, 委員会による命令違反の罰金について, 法人と個人の資力格差等を勘案して, 法人に対しては行為者よりも罰金刑の最高額を引き上げ(法人重科)(87)(令和2年(2020年)12月12日施行済み)。

・[現行]個人と同額の罰金(50万円または30万円以下の罰金)⇒[改正後]1億円以下の罰金

③事業者が委員会命令(42(2),(3))に違反した場合, 委員会はその旨を公表することができる(42(5))。

page top

法の域外適用・越境移転の在り方

●法の域外適用の範囲拡大

【現行法】委員会の報告徴収・立入検査・命令の権限は外国の事業者に適用されない(75)。

【大　綱】国内事業者と外国事業者との公平性の観点から問題であるとの指摘もある。こうした状況を踏まえ, 日本国内の個人の個人情報・匿名加工情報を取り扱う外国の事業者を, 罰則によって担保された報告徴収・命令の対象とする。また, 事業者が命令に従わなかった場合には, その旨を委員会が公表できることとする。(以上p 29)

【改正法】法は, 事業者等が, 国内にある者に対する物品・役務の提供に関連して, 国内にある個人の個人情報, 当該個人情報として取得されることとなる個人関連情報または当該個人情報を用いて作成された仮名加工情報・匿名加工情報を外国において取り扱う場合についても適用する(75)。従って, 委員会の上記権限も外国の事業者に及ぶ。

●個人データの越境移転規制の強化

【現行法】事業者は, 外国(十分性認定国を除く)にある第三者に個人データを提供する場合には, 法令に基づく場合等を除き, 事前に「外国にある第三者への提供を認める旨」の本人の同意を得なければならない(24)。。

(＊)但し, この提供先である第三者が, 個人データの取扱いについて法上事業者が講ずべき措置に相当する措置(「相当措置」)を継続的に講ずるために必要なものとして規則で定める「基準」に適合する体制を整備している場合, 事業者は, 本人の事前同意なく当該個人データを提供先に提供できる(24(1)「第三者」括弧書き)。

- 上記の「基準」：規則11の2一号・外国ガイドライン[5](4-1)：提供元・提供先間で適切かつ合理的な方法(個人データの取扱委託の場合は両者間の契約・確認書・覚書等, 同一企業グループ内の移転の場合は両者に共通して適用される内規・プライバシーポリシー等)により相当措置の実施が確保されていること。

【大　綱】移転先における状況の多様性に起因するリスクに対応するために, 移転元となる事業者に対して, 本人の同意を根拠に移転する場合は, 移転先国の名称や個人情報の保護に関する制度の有無を含む移転先事業者における個人情報の取扱いに関する本人への情報提供の充実を求めることとする。また, 移転先事業者において適正取扱いを担保するための体制が整備されていることを条件に, 本人の同意を得ることなく個人データを移転する場合にあっては, 本人の求めに応じて, 移転先事業者における個人情報の取扱いに関する情報提供を行うこととする。(以上p 30)

【改正法】24条に2項・3項として以下を追加。

(1)「外国にある第三者への提供を認める旨」の本人の同意を得る場合：事業者は, 規則に従い同意取得前に以下の情報を本人に提供しなければならない(24(2))。

①当該外国の個人情報保護制度

②提供先が講ずる個人情報保護措置

③その他当該本人に参考となるべき情報

(2)上記(＊)の但書きにより(本人の事前同意なく)個人データを提供先に提供する場合：事業者は, 規則に従い以下の事項を行わなければならない(24(3))。

①提供先による相当措置の継続的実施を確保するために必要な措置を講ずること。

②当該必要な措置に関する情報を本人の求め(開示請求)に応じ提供すること。

【新規則】

(A)「外国にある第三者への提供を認める旨」の本人の同意を得る場合に事前提供すべき情報(個人関連情報についても同じ)：

(a)情報提供方法：電磁的記録の提供・書面交付その他の適切な方法とする(規則11の3(1))。

(b)提供情報の内容(項目)：①当該外国の名称／②適切かつ合理的な方法により得られた当該外国における個人情報保護制度に関する情報／③当該第三者が講ずる個人情報保護措置に関する情報(規則11の3(2))。

(c)同意取得時点で上記①が特定できない場合：上記①,②に代え(i)当該外国の名称が特定できない旨およびその理由および(ii)当該外国の名称に代わる本人に参考となるべき情報がある場合には当該情報を本人に提供(規則11の3(3))。

(d)同意取得時点で上記③について情報提供できない場合：その旨およびその理由について情報提供(規則11の3(4))。

(B)提供先による相当措置の実施を確保するために必要な措置(個人関連情報についても同じ)

(1)当該必要な措置の内容：以下の通り(規則11の4(1))。

①当該第三者による相当措置の実施状況並びに当該相当措置の実施に影響を及ぼすおそれのある当該外国の制度の有無およびその内容を, 適切かつ合理的な方法により, 定期的に確認すること。

②当該第三者による相当措置の実施に支障が生じたときは, 必要かつ適切な措置を講ずるとともに, 当該相当措置の継続的な実施の確保が困難となったときは, 個人データ(または個人関連情報)の当該第三者への提供を停止すること。

(2)当該必要な措置に関する情報について本人の求め(開示請求)を受けた場合の情報提供

・情報提供方法：電磁的記録提供・書面交付その他の適切な方法とする(規則11の4(2))。

・提供情報の内容(項目)：以下の通り(但し情報提供により当該事業者の業務の適正実施に著しい支障を及ぼすおそれがある場合はその全部または一部を提供しないことができる)(規則11の4(3))。

- ①当該第三者による体制整備の方法／②当該第三者が実施する相当措置の概要／③事業者による定期的な確認の頻度および方法／④当該外国の名称／⑤当該第三者による相当措置の実施に影響を及ぼすおそれのある当該外国の制度の有無およびその概要／⑥当該第三者による相当措置の実施に関する支障の有無およびその概要／⑦当該支障に関して事業者が講ずる提供停止措置の概要

・本人が求めた(開示請求した)情報の全部または一部について(上記但書により)提供しない場合：本人に遅滞なくその旨を通知要。また, その理由を説明するよう努める。(以上規則11の4(4),(5))。

【企業実務への影響】上記(1)①の本人に提供すべき当該外国の個人情報保護制度の情報については, 事前に関係情報を収集し本人に提供可能な情報を作成しておく必要がある。特に情報が入手しにくい外国への提供がある場合には十分事前に情報収集しておく必要がある。

上記(2)①の提供先による相当措置の実施を確保するために必要な措置に関しては, 現在, 外国ガイドラインに従い, 多くの企業が, 提供元・提供先間の契約・確認書・覚書等, 共通の内規・プライバシーポリシー等の締結・適用等を利用しており, 改正後も基本的に同じ方法による対応でよいと思われる。しかし, 上記の(A)の通り本人への情報提供項目として, 「③事業者による定期的な確認の頻度および方法」／「⑦(提供先による相当措置の実施に関する支障)に関して事業者が講ずる提供停止措置の概要」が明定されたことから, 従来の提供先との契約書・内規等に, 提供元による提供先に対する監査権・報告要求権および問題発生時の提供停止・返還消去要求権等が規定されていなければこれらを追加で規定し, かつ, 確認については実際に合理的な範囲で監査または報告の要求を行わなければならないものと思われる。更に, 本人の開示請求があった場合, 「情報提供により当該事業者の業務の適正実施に著しい支障を及ぼすおそれがある」部分を除き, 具体的に如何なる内容を開示するかを検討しておかなければならない。

以　上

page top

[１] CIPP/E (Certified Information Privacy Professional/Europe)／一般社団法人GBL研究所理事／UniLaw 企業法務研究所代表

[1] 【リクナビ事件】　（参照）浅井敏雄　「もしリクナビ問題がEUで起こったら」2019年12月26日、UniLaw 企業法務研究所サイト

[2] 【個人情報である仮名加工情報の漏えい等について報告が不要とされる理由】「仮名加工情報」は「他の情報と照合しない限り」特定の個人を識別できないよう加工された情報である（法2(9), 35の2(1)）から、仮名化に当たり削除した情報および加工方法に関する情報（「削除情報等」）もともに漏えい等していない限り、本人の権利利益が害されるおそれがないからだと思われる。

[3] 【個人関連情報の提供先第三者】委託・事業承継・共同利用の場合の「第三者」からの除外はない。

[4] 【顧客企業からDMP運営事業者へのデータ提供の性質】　同旨：渡辺渡邉雅之「Ｑ＆Ａ改正個人情報保護法（2020年８月21日全面改訂」弁護士法人三宅法律事務所 p 29,32

[5] 【外国ガイドライン】 「個人情報の保護に関する法律についてのガイドライン（外国にある第三者への提供編）」

メルマガ会員登録