改正個人情報保護法アップデート(ガイドラインの公表)
2021/08/10   コンプライアンス, 個人情報保護法

CIPP/E, GBL研究所理事 浅井敏雄[1]


【目  次】


(各箇所をクリックすると該当箇所にジャンプします)


はじめに

改正法施行日

個人の権利の在り方(権利の強化)

利用停止等・第三者提供停止の要件緩和


個人データ開示請求の方法の追加と本人による指定


第三者提供に関する提供元・提供先の記録開示義務


本人への開示対象個人データの拡大


オプトアウト規制の強化


事業者の守るべき責務の在り

漏えい等の報告・通知義務化


適正な利用義務の明確化


事業者による自主的な取組を促す仕組みの在り方

認定個人情報保護団体制度


保有個人データに関する事項の公表事項の拡充


データ利活用に関する施策の在り方

「仮名加工情報」制度の創設


提供先で個人データとなると想定される情報(「個人関連情報」)の第三者提供制限


ペナルティの強化

法の域外適用・越境移転の在り方

法の域外適用の範囲拡大


個人データの越境移転規制の強化


その他ガイドラインの重要追加事項

利用目的の特定


 

本稿のPDF版はこちら

はじめに


昨年2020年, 改正個人情報保護法(以下「改正法」または「法」という)(新旧対照条文はこちら)が成立しました。改正法は, 基本的には2019年12月公表の「個人情報保護法 いわゆる3年ごと見直し制度改正大綱」(「大綱」)で示された方向を反映したものです。

そして, 本年2021年3月24日には, 以下の通り, 改正法の全面施行日を令和4年(2022年)4月1日とする政令が交付されるとともに, その他関連政令・規則が公布されました。

①「個人情報の保護に関する法律等の一部を改正する法律の施行期日を定める政令


②「個人情報の保護に関する法律施行令及び個人情報保護委員会事務局組織令の一部を改正する政令」(新旧対照条文はこちら)(以下「新政令」という)


③「個人情報の保護に関する法律施行規則の一部を改正する規則」(以下「新規則」という)


更に, 本年8月2日, 個人情報保護委員会のWeb上で, 改正法に基づく同委員会の以下のガイドラインと同ガイドライン案に対する意見募集結果が公表されました。

個人情報の保護に関する法律についてのガイドライン(通則編)(以下「通則GL」)


個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)(以下「外国GL」)


個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編)


個人情報の保護に関する法律についてのガイドライン(仮名加工情報・匿名加工情報編)(以下「仮名GL」)


個人情報の保護に関する法律についてのガイドライン(認定個人情報保護団体編)


改正法に関し, 企業法務ナビでは, 本年4月6日に「改正個人情報保護法アップデート(施行令・施行規則の制定)」という記事を掲載しました。

本稿では, 同記事で概説した現行法・大綱・改正法・新政令・新規則に改正法に関する各ガイドラインの概要を追加し(【ガイドライン】の部分), 他の部分も見直し, 改正法の概要をアップデートいたします。

なお, 本稿において, (i)法等の説明中の(  )内の数字は条文・ガイドラインの該当ページ等の番号であり, (ii)法令等への言及中における[  ]内の内容は筆者による補足・追記です。また, 以下は各ガイドラインの略称です。

page top

改正法施行日


政令により以下の通りとなります。
 

項  目


 

期  日


 

全面施行の日


 

令和4年(2022年)4月1日


オプトアウトにより個人データを第三者に提供しようとする際の経過措置(法23(2))


 

令和3年(2021年)10月1日


page top

個人の権利の在り方(権利の強化)


 

利用停止等・第三者提供停止の要件緩和

【現行法】本人は, 以下のいずれかの場合, 事業者に自己の個人データの利用停止または消去(以下「利用停止等」という)を請求することができる(30(1),(2))。

・事業者が当該個人データを, 本人の同意なく当初利用目的範囲外で利用している場合

・事業者が当該個人データを, 偽りその他不正手段により取得した場合

本人は, 自己の個人データが法23条または24条に違反して第三者に提供されている場合, 事業者に当該第三者提供の停止を請求することができる(30(3))。

【大 綱】保有個人データに関する本人の関与を強化する観点から, 個人の権利利益の侵害がある場合を念頭に, 保有個人データの利用停止等の請求, 第三者提供の停止の請求に係る要件を緩和し, 個人の権利の範囲を広げることとする(p 10)。

【改正法】以下内容追加。

①事業者は違法もしくは不当な行為を助長または誘発するおそれがある方法により個人情報を利用してはならない(16の2)。

本人は, 事業者が, 自己の個人データを, 違法もしくは不当な行為を助長または誘発するおそれがある方法により利用[その意味は後述]している場合, その利用停止等を請求できる(30(1))。

本人は, 以下のいずれかの場合, 自己の個人データの利用停止等または第三者への提供の停止を請求することができる(30(5),(6))。

(a)事業者が当該個人データを利用する必要がなくなった場合(★1)


(b)当該個人データについて漏えい・滅失・毀損等であって規則で定めるもの(22の2(1))(「漏えい等」)が生じた場合


(c)その他当該個人データの取扱いにより本人の権利または正当有益な利益が害されるおそれがある場合(★2)


【ガイドライン】(★1)「個人データを利用する必要がなくなった場合」:(意義)利用目的達成により個人データを保有する合理的理由がなくなった場合/利用目的に係る事業が中止となった場合等。(例)事業者がDM送付・電話勧誘停止後本人から消去請求された場合/懸賞品の発送が完了し不着対応等のための合理的期間も経過した場合/不採用の応募者情報について再応募対応等のための合理的な期間が経過した場合。(通則G p126,127)

(★2)「個人データの取扱いにより本人の権利または正当な利益が害されるおそれがある場合」:(例)本人がDM送付・電話勧誘の停止を要求したにもかかわらず, 事業者がその後も繰り返し送付・勧誘した場合/事業者の安全管理措置が不十分で漏えいのおそれがある場合/事業者が法(23(1))に違反して第三者提供し, 本人が利用停止等を請求する場合/事業者が退職後従業員情報を自社従業員であるかのようにホームページに掲載し, これにより本人に不利益が生じるおそれがある場合。事業者は自己に本人の権利利益の保護の必要性を上回る特別な事情がない限り利用停止等に応じる必要がある。(利用停止等が認められない例)電話加入者が電話料金支払を免れるため電話会社に課金情報の利用停止等を請求する場合/匿名のネット投稿をした者が, 発信者情報開示請求・損害賠償請求を免れるためプロバイダに接続認証ログ等の利用停止等を請求する場合/利用規約違反により強制退会処分を受けた者が, 当該サービス再利用のため, サービス提供事業者に強制退会処分等のユーザ情報の利用停止等を請求する場合/過去の信用情報により借入困難な者が, 新規借入のため, 当該信用情報の保有事業者にその利用・第三者提供停止を請求する場合。(通則G p127,128)

【企業実務への影響】EU GDPRでは法上の利用停止等に相当する消去(17)・処理制限(18)および処理禁止(異議申立)(21)の請求権を行使できる場合にほぼ制約がないが, 法上の利用停止等の権利は改正によってもなお事業者側に問題等のある場合に限定されている。とはいえ, 企業としては以下のような対応が必要となる。

・「違法もしくは不当な行為を助長または誘発するおそれ」の判断の困難性やこの判断に関する本人との争いを回避するため, 原則として全ての場合に利用停止等に応じる対応も考えられるので, この検討。

・利用停止等に応じる場合を法で定める場合に限定するときは, ガイドラインを参考として, 対応マニュアル改訂・社内周知教育・体制整備

 

個人データ開示請求の方法の追加と本人による指定

 

【現行法】保有個人データの開示方法は, 書面交付(または請求者が同意した方法がある場合はその方法)とされている[施行令9]。

【大 綱】本人の利便性向上の観点から, 本人が, 電磁的記録の提供を含め, 開示方法を指示できるようにし, 事業者は, 原則として, 本人が指示した方法により開示するよう義務付けることとする(p 10)。

【改正法】本人は, 電磁的記録の提供(★1)その他規則で定める方法による開示を請求できる(28(1))。これに対し, 事業者は, その方法(またはその方法による開示が多額の費用その他により困難な場合は書面交付)により, 遅滞なく, 当該保有個人データを開示しなければならない(28(1), (2))。事業者は請求の全部・一部拒否/請求データなし/本人請求方法での開示が困難な場合(★2), その旨本人に通知(28(3))

【新規則】本人が指示できる開示方法は, 電磁的記録の提供, 書面交付その他事業者の定める方法とする(18の6)。

【ガイドライン】(★1)電磁的記録の提供による開示:具体的方法(ファイル形式・記録媒体・他の事業者へ移行可能な形式等)は事業者が決定可能。(開示方法の例)CD ROM等に保存・郵送/電子メールに添付/ウェブサイト上でダウンロード/事業者指定場所での音声データ視聴・文書閲覧。(通則G p116,117)

(★2)本人請求方法での開示が困難な場合:(例)電磁的記録の提供による開示のため大規模なシステム改修を要する場合/書面で個人情報を管理している小規模事業者が電磁的記録の提供による開示が困難な場合。(通則G p117)

【企業実務への影響】従来, オンライン上で取得したデータに対する開示請求が多かったのであれば, 改正後はオンライン上で対応すること(ユーザ自身によるダウンロードを含む)を標準とすることも可能となるのでこれを積極活用して対応負担を軽減することも考えられる

 

第三者提供に関する提供元・提供先の記録開示義務

 

【現行法】事業者(「提供元」)が個人データを第三者(提供先)に提供した場合(但し法令・委託・共同利用等による提供等の場合除く), 提供元および提供先は, その提供に関する授受の記録(提供先については提供元による取得経緯の記録を含む)を作成しなければならない(25, 26)。

【大 綱】現行法では, 本人からみた, 個人情報の流通に係るトレーサビリティが担保されていない。個人情報の流通に係るトレーサビリティについては, 本人にとって利用停止権や請求権を行使する上で, 必要不可欠な要素である。従って, 第三者への提供時・第三者からの受領時の記録も, 開示請求の対象とすることとする。(p 13)

【改正法】その開示方法(電磁的記録の提供その他規則で定める方法)を含め個人データ自体と同様に, 本人は, 提供元および提供先からそれぞれの授受記録の開示を請求することができる。但し, その存否が明らかになることにより公益その他の利益が害されるものとして政令で定める記録を除く。(以上28(5))。

【新政令】本人への開示対象外の第三者提供授受記録:当該記録の存否が明らかになることにより以下のいずれかのおそれがあるもの(政令9)。

①本人・第三者の生命・身体・財産に危害が及ぶ。

②違法・不当な行為を助長・誘発する。

③国の安全が害され/他国・国際機関との信頼関係が損なわれ/他国・国際機関との交渉上不利益を被る。

④犯罪の予防鎮圧・捜査その他公共の安全秩序の維持に支障が及ぶ。

[他に法28条(開示)第1項準用(28(5))により当該事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合等も開示対象外]

【ガイドライン】(契約書の代替手段による方法で第三者提供授受記録を作成した場合)当該契約書中, 要記録事項を抽出し本人に開示すれば足り契約書そのものを開示する必要はない(通則G p121)

【企業実務への影響】第三者提供の授受の記録をデータ提供に関する契約書で代替している場合, ガイドラインによれば, 契約書中要記録事項のみ抽出し本人に開示すればよい。

 

本人への開示対象個人データの拡大

 

【現行法】「保有個人データ」の定義から6月内に消去する短期保存データが除外されている(2(7),施行令5)。従って, 本人が開示(28), 訂正等(29), 利用停止等(30)をすることができる事業者の保有個人データには短期保存データは含まれていない。

【大 綱】情報化社会の進展により, 短期間で消去される個人データであっても, その間に漏えい等が発生し, 瞬時に拡散する危険が現実のものとなっている(p 11)。

【改正法】上記の除外を廃止(2(7))し, 短期保存データも開示, 訂正等, 利用停止等の対象とする。

【企業実務への影響】従来, 6か月以内に消去することとして開示, 訂正等, 利用停止等を免れていた企業またはデータについては新たな負担となる

 

オプトアウト規制の強化

 

【現行法】事業者(提供元)が個人データを第三者(委託先等を除く)(提供先)に提供する場合, 原則として, 本人の事前同意を得なければならない。

但し, 事業者が当該個人データについて, (i)本人の求めに応じて第三者提供を停止し, (ii)所定事項を規則に従い公表等し, かつ(iii)委員会に届け出た場合, 本人の事前同意なく当該個人データを第三者に提供することができる(23(2))(「オプトアウト」)。但し, 当該個人データが要配慮個人情報である場合はオプトアウトを利用できない。

【大 綱】名簿の流通により本人の関与が困難となっている現状を踏まえ, オプトアウト届出事業者によって個人情報が不適切に取得されることがないよう, 個人の権利利益を保護する観点から, オプトアウト規定に基づいて本人同意なく第三者提供できる個人データの範囲をより限定していくこととする。現行法上はオプトアウトを利用する事業者の住所が届出事項となっていないので届出後連絡がつかなくなる場合がある。(以上p 12,13)。

【改正法】

個人データが以下のいずれかの場合もオプトアウトは利用できない((b),(c)追加)(23(2)但書)。

(a)第三者に提供される個人データが要配慮個人情報である場合


(b)偽りその他不正の手段により取得されたものである場合


(c)他の事業者からオプトアウトにより提供されたものである場合。[すなわち, オプトアウトにより提供された個人データを提供先が更にオプトアウトにより第三者に提供することはできない。]


オプトアウトにおいて事前公表等および届出すべき事項に以下の事項を追加し, その変更についても届出を義務付ける(23(2),(3))。

・提供元の代表者名・住所等


・第三者提供する個人データの取得(入手)方法(★1)


・その他規則で定める事項


【新規則】委員会へのオプトアウト届出・その変更届出の方法(規則7)および委員会による届出の公表関連(規則10) -内容は省略。

【ガイドライン】(★1)「第三者提供する個人データの取得(入手)方法」:取得元(取得源)と取得の方法を示す必要がある。(例)新聞・雑誌・書籍・ウェブサイト閲覧による取得/官公庁による公開情報からの取得。

【企業実務への影響】オプトアウト制度を利用する企業は対応検討要。

page top

事業者の守るべき責務の在り


 

漏えい等の報告・通知義務化

 

【現行法】個人データの漏えい・滅失・棄損(以下「漏えい等」という)の委員会への報告, 本人への通知を義務付ける規定はない。

【大 綱】漏えい等の報告・通知は, 多くの諸外国で義務とされている。法上は義務ではないため, 自主的な対応をしない事業者もある。漏えい等報告の義務化に当たっては, 軽微な事案を除き, 一定数以上の個人データ漏えい, 要配慮個人情報の漏えい等, 一定の類型に該当する場合に限定する。

【改正法】事業者は, 個人データの漏えい・滅失・棄損等で個人の権利利益を害するおそれが大きいものとして規則で定めるものが生じた場合, 規則で定めるところにより, これを委員会に報告し, また, 本人に通知しなければならない。但し, 個人データの取扱い委託先は, 委託元事業者に通知した場合には当該報告・通知義務を負わない。本人への通知が困難で本人の権利利益保護のための代替措置をとる場合は本人への通知は免除される。(以上22の2)

【新規則】

(1)報告・通知対象の漏えい等:以下の漏えい等またはそのおそれ(但し当該個人情報に高度な暗号化その他の個人の権利利益を保護するために必要な措置を講じた場合を除く)(規則6の2)。

要配慮個人情報が含まれる漏えい等。


・その不正利用より財産的被害が生じるおそれがある漏えい等。


不正目的をもって行われたおそれがある漏えい等[例:ハッキング]。


本人の数が千人を超える漏えい等。


(2)委員会への報告:

(a)報告事項:以下の通り(但し報告時点で把握しているものに限る)(6の3(1))。


- ①概要/②該当する個人データの項目/③該当する本人の数/④原因/⑤二次被害またはそのおそれの有無およびその内容/⑥本人への対応の実施状況/⑦公表の実施状況/⑧再発防止のための措置/⑨その他参考となる事項


(b)報告時期:漏えい等またはそのおそれを知った後速やかに[速報], かつ, 知った日から30日以内(不正目的の漏えいの場合は60日以内)[確報](6の3(1)柱書,(2))。


(c)報告手段:委員会に報告する場合は電子的通信手段(その使用に支障が生じた場合は書面報告出)。権限受任大臣に報告する場合については内容省略。


(3)個人情報の取扱い委託先が委託元に漏えい等を通知する場合漏えい等を知った後速やかに上記①~⑨を委託元に通知(6の4)。

(4)本人への通知:漏えい等を知った後状況に応じ速やかに, 当該本人の権利利益を保護するために必要な範囲で以下の事項を通知(6の5)。

- ①概要/②該当する個人データの項目/④原因/⑤二次被害またはそのおそれの有無およびその内容/⑨その他参考となる事項


【ガイドライン】「漏えい」:メールの誤送信等ミスによる場合を含む。第三者閲覧前に全てを回収した場合は非該当。(サイバー攻撃による「漏えい」のおそれの例)サーバ・端末に不正アクセスによりデータが窃取された痕跡が認められた場合/サーバ・端末に情報窃取マルウェアへの感染が確認された場合/マルウェアに感染したコンピュータに不正な指令を送るサーバ(C&Cサーバ)のIPアドレス等への通信が確認された場合/第三者から漏えいのおそれについて一定の根拠に基づく連絡を受けた場合。(従業員による漏えいのおそれの例)サーバ・端末に通常業務で必要としないアクセスによりデータが窃取された痕跡が認められた場合

「滅失」:氏名等が記載された帳票等を誤って廃棄/社内で紛失等を含む。

「毀損」:(例)改ざん/暗号化された個人データの復元キー喪失/ランサムウェア等による暗号化・復元不能

漏えい等発覚時に講ずべき措置:事業者内部における報告・被害拡大防止/事実関係の調査・原因の究明/影響範囲の特定/再発防止策の検討・実施/委員会への報告・本人への通知。

「財産的被害が生じるおそれ」:(例)クレジットカード番号/送金・決済機能のあるウェブサービス[ネットバンキング等]のログインIDとパスワードの組み合わせの漏えい。

「本人の数が千人を超える」:当初千人以下でもその後千人を超えた場合にはその時点で該当。本人の数が確定できないが最大千人を超えるおそれがある場合も該当

個人データの取扱い委託の場合の報告義務の主体:委託元と委託先の双方(連名での報告可)。但し, 委託先は, 委託元に当該事態発生を通知したときは報告義務免除

漏えい等またはそのおそれを知った時点:法人の場合はいずれかの部署が当該事態を知った時点。個人データの取扱い委託の場合, 委託元は, 通常, 遅くとも委託先から通知を受けた時点で知ったこととなる

「速やか」:個別事案によるが概ね3~5日以内。

個情委への速報:報告すべき事項を, 原則, 個情委ホームページの報告フォームに入力して報告。

漏えい等の「概要」:発生日/発覚日/発生事案/発見者/規則6の2(要配慮個人情報が含まれる漏えい等)各該当性/委託元・委託先の有無/事実経過等。

本人への通知方法:(例)郵便/電子メールによる通知

本人への通知が困難な場合:(例)事業者が本人への連絡先を有しない場合/連絡先が古く本人へ連絡できない場合。

本人への通知が困難で代替措置をとる場合:(例)漏えい等の事案の公表/問合せ窓口の連絡先を公表し, 本人が自らの個人データが対象となっているか否かを確認できるようにすること。

【企業実務への影響】企業の対応として, 社内における漏えい等の検知・報告, 委員会への報告, 本人への通知またはそれが困難の場合の代替措置等を検討し, 自社内で社内規程・対応マニュアル改訂・社内周知教育・体制整備を行う必要がある。

 

適正な利用義務の明確化

 

【現行法】取得については, 偽りその他不正の手段による取得の禁止が明記されている(17)。しかし, 取得後の利用については明文の規定はない。

【大 綱】急速なデータ分析技術の向上等を大綱に, 潜在的に個人の権利利益の侵害につながることが懸念される個人情報の利用の形態がみられるようになった。現行法上違法ではないとしても, 違法・不当な行為を助長・誘発するおそれのある方法での利用等が一部にみられる。

【改正法】事業者は, 違法または不当な行為を助長または誘発するおそれがある方法により個人情報を利用(★1)してはならない(16の2)。

【ガイドライン】(★1)「違法または不当な行為を助長または誘発するおそれがある方法により個人情報を利用」:(例)無登録貸金業者への提供/公開破産者情報の集約・公開/各企業暴対責任者名簿の無断開示/違法再提供を予見しつつする提供性別・国籍等のみによる不当な差別的採用選考での利用/違法商品と予見しつつその広告配信のためにする利用。(「おそれ」)客観的事情/事業者の一般的注意力による認識・予見可能性を踏まえ社会通念上の蓋然性で判断(例)個人情報の提供において提供先が利用目的を偽った場合でも, この判断基準によれば提供元が提供先の不当利用を予見できない場合「おそれ」は認められない。(通則G p34,35)

【企業実務への影響】企業としては, 上記のような社会的非難を受け得るような個人情報の利用が生じないよう自社内で社内規程・対応マニュアル改訂・社内周知教育・体制整備を行う必要がある

page top

事業者による自主的な取組を促す仕組みの在り方


 

認定個人情報保護団体制度

 

【現行法】事業者による個人情報等の取扱いに関する苦情処理・情報提供等に関する業務を行おうとする団体は委員会の認定を受けることができる(認定団体制度)(47(1))。

【大 綱】現行法上, 認定個人情報保護団体は, 対象事業者の個人情報等の取扱い全般を対象とすることとされており, 特定の事業のみを対象とすることはできない。事業者における個人情報を用いた業務実態の多様化や, 必要な規律の在り方の変化を踏まえ, 認定個人情報保護団体制度について, 現行制度に加え, 特定の事業活動に限定した活動を行う団体を認定できるよう制度を拡充することとする。(以上p 17,18)。

【改正法】認定は, 対象とする事業者等の事業の種類その他の業務の範囲を限定して行うことができる(47(2))。

【ガイドライン】(省略)

【企業実務への影響】例えば, オンライン広告におけるCookie利用等の特定の問題に関し業界横断的な認定団体を利用し, 苦情受付の第1次対応窓口を当該団体とする(47(1))ことも可能になると思われる。

 

保有個人データに関する事項の公表事項の拡充

 

【現行法】事業者が保有個人データに関し本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む)に置くこと(以下「公表等」)が要求される事項(法27(1))に安全管理措置(法20)は含まれていない。

【大 綱】事業者の適正な取扱いを促す観点から, 個人情報の取扱体制や講じている措置の内容, 保有個人データの処理の方法等の本人に説明すべき事項を, 法に基づく公表事項(政令事項)として追加する(p 20)。

【新政令】保有個人データに関する公表等の対象事項(法27(1))として安全管理措置(法20)(★1)を追加(但しその公表等により安全管理に支障を及ぼすおそれがあるもの(★2)を除く)(政令8一)。

【ガイドライン】(★1)安全管理措置の公表等の内容:(例)①基本方針の策定:(例)「関係法令・ガイドライン等の遵守」, 「質問及び苦情処理の窓口」等についての基本方針を策定。②個人データの取扱いに係る規律の整備:(例)個人データの取扱規程を策定。③組織的安全管理措置:(例)責任者設置, 個人データを取り扱う従業者とその個人データの範囲明確化, 法・取扱規程違反またはその兆候把握時の報告連絡体制を整備/定期的自己点検と, 他部署や外部による監査。④人的安全管理措置:(例)従業者への定期的研修/個人データの秘密保持を就業規則に記載。⑤物理的安全管理措置:(例)入退室管理, 持込み機器等の制限, 無権限者による閲覧防止措置/関係機器・電子媒体・書類等の盗難・紛失防止措置/それらの持ち運びの際に容易に個人データが判明しないよう措置実施。⑥技術的安全管理措置:アクセス制御により担当者とその取り扱うデータベース等の範囲限定/関係情報システムを不正アクセス・不正ソフトから保護する仕組みを導入。⑦外的環境の把握:個人データを保管しているA国(本人が合理的に認識できる略称等)の個人情報保護制度を把握した上で安全管理措置実施(当該外国の制度についても, 本人の知り得る状態に置く対応が望ましい)。(通則GL p110,111)

(★2)「公表等により安全管理に支障を及ぼすおそれがあるもの(情報)」(例)個人データが記録された機器等の廃棄方法・盗難防止のための管理方法/個人データ管理区域の入退室管理方法アクセス制御の範囲, アクセス者の認証手法等/不正アクセス防止措置の内容等. (通則GL p111)

【企業実務への影響】安全管理措置の見直しおよび公表すべき内容の検討要。

page top

データ利活用に関する施策の在り方


 

「仮名加工情報」制度の創設

 

【現行法】前回の改正法(2017年施行)で個人データの利活用手段として「匿名加工情報」制度が創設された。

「匿名加工情報」とは, 個人情報に, 規則(19)で定める措置(削除・置換え等)を講じて特定の個人を識別できないよう加工した情報であって当該「個人情報を復元できない」ようにしたものをいう(法2(9)(法改正後は2(11)), 36(1))。

「匿名加工情報」を作成した事業者には, 匿名化に当たり削除した情報および加工方法に関する情報の安全管理義務が課されている(36(2))。

匿名加工情報については, 本人を識別する行為を禁止する(36(5), 38)ことによりもはや個人情報および個人データではないものとして取扱われている。具体的には, 匿名加工情報は, 利用目的による制限(16)や第三者提供の制限(23)に服さず, また, 本人からの開示・訂正・利用停止等の請求権(28~30)の対象外である。

しかし, 匿名加工情報については, その作成基準に, 特異な記述等の削除/その他適切な措置という判断が困難なものも含まれているので作成が困難で, また, データとしての有用性を加工前の個人情報と同等程度に保つことが困難と言われていた。

【大 綱】実務においては, 匿名加工情報に比較しより簡便な加工方法(以下「仮名化」という)でより詳細な分析を行なうニーズがあり, 個人情報と匿名加工情報の中間的規律について, 従前から経済界から要望されていた。

仮名化された個人情報について, 加工前の個人情報を復元して特定の個人を識別しないことを条件とすれば, 個人の権利利益侵害リスクが相当程度低下する。一方で, こうした情報を企業の内部で分析・活用することは, 我が国企業の競争力を確保する上でも重要である。 従って, 一定の安全性を確保しつつ, イノベーションを促進する観点から, 他の情報と照合しなければ特定の個人を識別することができないように加工された個人情報の類型として「仮名化情報(仮称)」を導入することとする。「仮名化情報(仮称)」は, 事業者内部における分析のために用いられることに鑑み, 「仮名化情報(仮称)」それ自体を第三者に提供することは許容しないこととする。但し, その場合でも, 「仮名化情報(仮称)」の作成に用いられた原データ(保有個人データ)を, 本人の同意を得ること等により第三者に提供することは可能である。(以上 p 21,22)

 

【改正法】匿名加工情報制度とは別に「仮名加工情報」制度を創設する。

「仮名加工情報」とは, 個人情報に, 規則で定める措置を講じて「他の情報と照合しない限り」特定の個人を識別できないよう加工した情報をいう(法2(9), 35の2(1))。[匿名加工情報と異なり復元不能性の要件はない]

「仮名加工情報」には, ①[例えば加工完了後も原データを保持し続けていることにより]他の情報と容易に照合でき特定の個人が識別できるためなお個人情報である仮名加工情報と②[例えば加工完了後原データを削除したことにより/または委託先・共同利用先にとり]個人情報ではない仮名加工情報とがあるとの前提で両者(いずれもデータに限る)について要旨以下の通り規定されている。

 

(1)個人情報である/個人情報ではない仮名加工情報双方に共通する事項

①事業者は, 仮名加工情報を作成する場合規則で定める基準に従い個人情報を加工しなければならない(35の2(1))。

②事業者は, 仮名化に当たり削除した情報および加工方法に関する情報(「削除情報等」)について規則に定める基準に従い安全管理措置を講じなければならない(35の2(2))。

 

(2)個人情報である仮名加工情報のみに適用される事項

①事業者は, 法令に基づく場合を除き, 当初特定した利用目的の達成に必要な範囲を超えて, 個人情報である仮名加工情報を取り扱ってはならない(35の2(3))。(*)但し次の②および⑦(a)から, 個人情報である仮名加工情報については, その変更後の利用目的の公表を条件として利用目的自体を変更(例:拡大)することは可能

②事業者は, 個人情報である仮名加工情報を取得した場合は, 予めその利用目的を公表している場合を除き, 速やかにその利用目的を公表しなければならない。また, その利用目的を変更した場合は, 変更された利用目的について公表しなければならない。(以上35の2(4))。

③事業者は, 個人情報である仮名加工情報および削除情報等を利用する必要がなくなったときは, それらを遅滞なく消去するよう努めなければならない。この場合, 個人情報である仮名加工情報を正確かつ最新の内容に保つ義務はない。(以上35の2(5))。

④事業者は, 個人情報である仮名加工情報を第三者に提供してはならない(23条の本人の同意・オプトアウトによる提供/24条の本人同意による外国の第三者への提供も不可)但し, 法令に基づく場合および23条5項の委託・事業承継・共同利用の場合は第三者提供可(共同利用の内容は公表で足る)。(以上35の2(6))。

⑤事業者は, 個人情報である仮名加工情報については, 本人を識別するためこれを他の情報と照合してはならない(35の2(7))。

⑥事業者は, 個人情報である仮名加工情報に連絡先等の情報が含まれる場合, 当該情報を電話・郵便・FAX・電子メール・住居訪問等のために利用してはならない(35の2(8))。

⑦個人情報である仮名加工情報については以下の規定は適用しない(35の2(9))。

(a)15条2項(利用目的の変更制限):すなわち, 個人情報である仮名加工情報の利用目的は「変更前の利用目的と関連性を有すると合理的に認められる範囲」を超えて新たな目的に変更できる

(b)22条の2(漏えい等の報告等):すなわち, 個人情報である仮名加工情報(単独)の漏えい等について報告は不要[1]

(c)27条(保有個人データに関する事項の公表等):すなわち, 個人情報である仮名加工情報については上記②の利用目的の公表は必要だが本人からの開示その他の請求に応じる手続等の公表は不要。

(d)28条(開示)・29条(訂正等)・30条(利用停止)~34条:すなわち, 個人情報である仮名加工情報については本人からの開示・訂正・利用停止等の請求に応じる必要はない

なお, 個人情報である仮名加工情報は, 個人情報であるから, 21条・22条・35条等の適用を受け, 事業者は個人情報である仮名加工情報について従業者の監督・委託先の監督・苦情の処理等を行わなければならない

 

(3)個人情報ではない仮名加工情報のみに適用される事項

①事業者は, 個人情報ではない仮名加工情報を第三者に提供してはならない。但し, 法令に基づく場合および(23条5項の準用により)委託・事承継・共同利用の場合は第三者提供可(共同利用の内容は公表で足る)。(以上35の3(1),(2))

②個人情報ではない仮名加工情報についても以下の規定を準用する(35の3(3))

(a)20条・21条・22条・35条準用:すなわち, 事業者は, 個人情報ではない仮名加工情報についても安全管理措置・従業者の監督・委託先の監督・苦情の処理を行わなければならない


(b) 35条の2(7)準用:事業者は, 個人情報ではない仮名加工情報については, 本人を識別するために, 削除情報等を取得しまたはこれを他の情報と照合してはならない。


(c) 35の2(8)準用:事業者は, 事業者は, 個人情報ではない仮名加工情報に連絡先等の情報が含まれる場合, 当該情報を電話・郵便・FAX・電子メール・住居訪問等のために利用してはならない。


- 個人情報ではない仮名加工情報は, 個人情報ではないから上記以外の法の適用を受けない。

 

【新規則】

(1)仮名加工情報の作成基準:以下の全部を実施(規則18の7)

①個人情報に含まれる個人識別可能な記述等または個人識別符号全部の削除(「削除」には復元性のない方法での置換を含む。以下同じ)。

②個人情報に含まれる不正利用により財産的被害が生じるおそれがある記述等(★1)の削除

[なお, 匿名加工情報の作成では①および個人情報との連結符号の削除/特異な記述等の削除その他適切な措置も全部実施要(規則19)。仮名加工情報は, これら下線部分の抽象的で判断困難な加工基準がないので比較的容易に作成可能]

(2)削除情報等に係る安全管理措置の基準:18の8(内容省略)

 

【ガイドライン】(★1)「財産的被害が生じるおそれがある記述等」(例)クレジットカード番号/送金・決済機能のあるウェブサービス[ネットバンキング等]のログインIDとパスワード(仮名GL p11)

 

【企業実務への影響】仮名加工情報制度を自社で活用可能か否か検討

 

提供先で個人データとなると想定される情報(「個人関連情報」)の第三者提供制限

 

【現行法】あるデータの第三者への提供が, 法23条により本人の事前同意を要する個人データの第三者提供(23)に該当するか否かの主体的基準について, 委員会から, 提供元にとり当該データが個人識別可能かを基準として判断するという「提供元基準」の考え方が示されている。同基準によれば, 提供元では個人が識別できないものの, 提供先では個人が識別できる情報については, 当該提供に対し本人の事前同意を要しないことになる。

【大 綱】インターネット上のユーザデータの収集・蓄積・統合・分析を行う「DMP(Data Management Platform)」の運営事業者等が, DMP中のCookie IDに紐付く非個人データを, 提供先で他の情報と照合され個人情報となると知りながら, 提供する事業形態が出現している。このような法第23条の規定の趣旨を潜脱するスキームが横行しつつあり, こうした本人関与のない個人情報の収集方法が広まることが懸念される。そこで, 提供元基準を基本としつつ, 提供元では個人データに該当しないものの, 提供先において個人データになることが明らかな情報について, 個人データの第三者提供を制限する規律を適用する。(以上p 24,25)

【改正法】

(1)個人関連情報の提供前確認義務:事業者(提供元)は, 「個人関連情報」(個人に関する情報だが個人情報に該当しない情報)(★1)を第三者(提供先)に提供する場合で[2]あって, 提供先が「個人関連情報」を個人データとして取得することが想定されるとき(★2)は, 事前に以下の事項を確認することなく当該提供をしてはならない(26の2(1))。

(a)提供先が当該個人関連情報を本人が識別される個人データとして取得することについて本人の同意が得られていること(★3)

(b)提供先が外国(十分性認定国を除く)にある第三者の場合は, 更に, 規則に従い, 以下の情報が上記同意前に本人に提供されていること

(i) 当該外国の個人情報保護制度


(ii) 提供先の個人情報保護措置


(iii) その他本人に参考となるべき情報


(2)個人関連情報の外国の第三者への提供に係る義務:事業者は, 個人関連情報を, 個人データの取扱いについて法上事業者が講ずべき措置に相当する措置(「相当措置」)を継続的に講ずるために必要なものとして規則で定める基準に適合する体制を整備している外国(十分性認定国を除く)にある第三者(提供先)に提供した場合には, 規則で定めるところにより, 当該第三者(提供先)による相当措置の継続的な実施を確保するために必要な措置を講じなければならない(26の2(2))。

(3)個人関連情報の提供前確認に関連した提供先・提供元の義務:提供先の第三者は, 提供元が上記(1)の確認を行う場合において提供元に対し当該確認に係る事項を偽ってはならない。提供元は, 当該確認を行ったときは, 規則で定めるところにより, 当該個人関連情報提供年月日・当該確認に係る事項その他規則で定める事項の記録を作成しかつ規則で定める期間保存しなければならない。(以上26の2(3))。

【新規則】

(1)個人関連情報の第三者提供を行う際の確認に関する方法:原則以下の方法とする(規則18の2(1),(2))。

①本人同意の確認方法:第三者から申告を受ける方法その他の適切な方法。

②必要情報が本人に提供されていることの確認方法:情報提供が行われていることを示す書面の提示を受ける方法その他の適切な方法(規則18の2(2))。

(2)個人関連情報の第三者提供を行う際の確認記録の作成:規則18の3(個人データの提供と同様(データ提供契約による代替も可:詳細省略)

(3)個人関連情報の第三者提供を行う際の記録事項:規則18の4(内容省略)

(4)個人関連情報の第三者提供に係る記録の保存期間:規則18の5(最後の提供日から1年または3年:詳細省略)

【ガイドライン】(★1)個人関連情報の例:Cookie等により収集された, ある個人のウェブサイトの閲覧履歴/[個人識別不能な]メールアドレスに結び付いた, ある個人の年齢・性別・家族構成等/ある個人の商品購買履歴・サービス利用履歴/ある個人の位置情報/ある個人の興味・関心を示す情報(それぞれ個人情報に該当する場合を除く)。(通則GL p82)

(★2)提供先が「個人関連情報」を個人データとして取得することが想定されるとき:(「個人データとして取得する」)提供先が, 当該個人関連情報を, ID等を介し自己保有の個人データに付加する場合は該当。提供先がそうしない場合は, 提供先保有個人データとの容易照合性が排除しきれないとしても直ちには該当しない。(「想定される」)同業者の一般的な判断力・理解力を基準として判断。(契約等で提供先による個人データとしての利用を禁止した場合)この場合, 通常想定されない(但し, これに反することが窺われる事情がある場合はその確認をした上で判断要)。

(★3)本人の同意が得られていること:(同意取得の主体)提供先だが, 提供元による代行も可。同意取得に際し, 提供先(提供元代行の場合)/対象個人関連情報の項目/その利用目的等を本人に示すこと要。(ウェブサイト上での同意取得)サイト上にこれら事項を示した上でボタンのクリックを求めること要。(提供先の本人同意取得等の確認)提供先の申告(口頭, 誓約書等)による場合, その申告内容を一般的な注意力をもって確認すれば足りる。(通則GL p 81-88)

【企業実務への影響】個人関連情報の第三者提供に関する規制は以下のような場合に適用されると思われる。

(a)DMP運営事業者が自社保有のユーザデータを顧客企業に提供し, 顧客企業において自社会員データと照合紐付けし会員への広告等に利用する場合。なお, 顧客企業からDMP運営事業者に提供されるCookieデータ・IPアドレス等の提供も提供元基準に従えば顧客企業にとり個人データであり, また, この提供を個人データの取扱いの委託と解することは困難で, 顧客企業は, この提供についても本人の同意を得なければならないものと思われる。[3]

(b)リクナビ事件のように, 提供元があえて個人の氏名等が特定されない形でデータを処理し, このデータの提供を受けた提供先が自社の情報と照合し特定の個人を識別(個人情報として取得)し利用する場合。

本人同意等の確認方法(申告等)検討要。

page top

ペナルティの強化


 

【大 綱】違反行為に対する実効性が不十分であるとして, ペナルティの強化が必要との議論がある。

【改正法】

①委員会による命令違反・委員会に対する虚偽報告等の法定刑を引き上げ(令和2年(2020年)12月12日施行済み)

・命令違反:[現行]6月以下の懲役または30万円以下の罰金⇒[改正後]1年以下の懲役または100万円以下の罰金(83)。

・虚偽報告等:[現行]30万円以下の罰金⇒[改正後]50万円以下の罰金(85)。

②個人情報データベース等不正提供罪, 委員会による命令違反の罰金について, 法人と個人の資力格差等を勘案して, 法人に対しては行為者よりも罰金刑の最高額を引き上げ(法人重科)(87)(令和2年(2020年)12月12日施行済み)。

・[現行]個人と同額の罰金(50万円または30万円以下の罰金)⇒[改正後]1億円以下の罰金

③事業者が委員会命令(42(2),(3))に違反した場合, 委員会はその旨を公表することができる(42(5))。

page top

法の域外適用・越境移転の在り方


 

法の域外適用の範囲拡大

     

【現行法】委員会の報告徴収・立入検査・命令の権限は外国の事業者に適用されない(75)。

【大 綱】国内事業者と外国事業者との公平性の観点から問題であるとの指摘もある。こうした状況を踏まえ, 日本国内の個人の個人情報・匿名加工情報を取り扱う外国の事業者を, 罰則によって担保された報告徴収・命令の対象とする。また, 事業者が命令に従わなかった場合には, その旨を委員会が公表できることとする。(以上p 29)

【改正法】法は, 事業者等が, 国内にある者に対する物品・役務の提供に関連して, 国内にある個人の個人情報, 当該個人情報として取得されることとなる個人関連情報または当該個人情報を用いて作成された仮名加工情報・匿名加工情報を外国において取り扱う場合についても適用する(75)。従って, 委員会の上記権限も外国の事業者に及ぶ。

【ガイドライン】域外適用の対象となる/ならない例:(省略)(通則GL p 147,148)

 

個人データの越境移転規制の強化

 

【現行法】事業者は, 外国(十分性認定国を除く)にある第三者に個人データを提供する場合には, 法令に基づく場合等を除き, 事前に「外国にある第三者への提供を認める旨」の本人の同意を得なければならない(24)。

但し, この提供先である第三者が, 個人データの取扱いについて法上事業者が講ずべき措置に相当する措置(「相当措置」)を継続的に講ずるために必要なものとして規則で定める「基準」に適合する体制(「基準適合体制」)を整備している場合, 事業者は, 本人の事前同意なく当該個人データを提供先に提供できる(24(1)「第三者」括弧書き)。

- 上記の「基準」:規則11の2一号:提供元・提供先間で適切かつ合理的な方法(個人データの取扱委託の場合は両者間の契約・確認書・覚書等, 同一企業グループ内の移転の場合は両者に共通して適用される内規・プライバシーポリシー等)により相当措置の実施が確保されていること。

【大 綱】移転先における状況の多様性に起因するリスクに対応するために, 移転元となる事業者に対して, 本人の同意を根拠に移転する場合は, 移転先国の名称や個人情報の保護に関する制度の有無を含む移転先事業者における個人情報の取扱いに関する本人への情報提供の充実を求めることとする。また, 移転先事業者において適正取扱いを担保するための体制が整備されていることを条件に, 本人の同意を得ることなく個人データを移転する場合にあっては, 本人の求めに応じて, 移転先事業者における個人情報の取扱いに関する情報提供を行うこととする。(以上p 30)

【改正法】24条に2項・3項として以下を追加。

(1)本人の同意を得て外国に提供する場合事業者は, 規則に従い同意取得前に以下の情報を本人に提供しなければならない(24(2))。

①当該外国の個人情報保護制度

②提供先が講ずる個人情報保護措置

③その他当該本人に参考となるべき情報

(2)基準適合体制を根拠に外国に提供する場合事業者は, 規則に従い以下の事項を行わなければならない(24(3))。

①提供先による相当措置の継続的実施を確保するために必要な措置を講ずること。

②当該必要な措置に関する情報を本人の求め(開示請求)に応じ提供すること。

【新規則

(A)本人の同意を得て外国に提供する場合に本人に提供すべき情報(個人関連情報についても同じ):

(a)情報提供方法:電磁的記録の提供・書面交付その他の適切な方法とする(規則11の3(1))。

(b)提供情報の内容(項目):①提供先国の外国の名称(★1)/②適切かつ合理的な方法により得られた当該外国における個人情報保護制度に関する情報(★2)/③提供先第三者が講ずる個人情報保護措置に関する情報(★3)(規則11の3(2))。

(c)同意取得時点で上記①(外国名称)が特定できない場合(★4)上記①,②に代え(i)当該外国の名称が特定できない旨およびその理由および(ii)当該外国の名称に代わる本人に参考となるべき情報がある場合には当該情報を本人に提供(規則11の3(3))。

(d)同意取得時点で提供先第三者が講ずる保護措置について情報提供できない場合(★5):その旨およびその理由について情報提供(規則11の3(4))。

(B)基準適合体制を根拠に外国に提供する場合の相当措置確保に必要な措置(個人関連情報についても同じ)

(1)相当措置確保に必要な措置の内容以下の通り(規則11の4(1))。

①当該第三者による相当措置の実施状況および当該相当措置の実施に影響を及ぼすおそれのある提供先の外国の制度の有無およびその内容を, 適切かつ合理的な方法により, 定期的に確認すること。(★6)

②当該第三者による相当措置の実施に支障が生じたときは, 必要かつ適切な措置を講ずるとともに, 当該相当措置の継続的な実施の確保が困難となったときは, 個人データ(または個人関連情報)の当該第三者への提供を停止すること。(★7)

(2)相当措置確保に必要な措置について本人の求め(開示請求)を受けた場合の情報提供(★8)

・情報提供方法:電磁的記録提供・書面交付その他の適切な方法とする(規則11の4(2))。

・提供情報の内容(項目):以下の通り(但し情報提供により当該事業者の業務の適正実施に著しい支障を及ぼすおそれがある場合はその全部または一部を提供しないことができる)(規則11の4(3))。

- ①当該外国第三者による基準適合体制整備の方法/②相当措置の概要/③事業者による相当措置実施状況・外国の制度の定期的な確認の頻度および方法/④当該外国の名称/⑤当該第三者による相当措置の実施に影響を及ぼすおそれのある当該外国の制度の有無およびその概要/⑥当該第三者による相当措置の実施に関する支障の有無およびその概要/⑦当該支障に関して事業者が講ずる提供停止措置の概要

・本人が求めた(開示請求した)情報の全部または一部について(上記但書により)提供しない場合:本人に遅滞なくその旨を通知要。また, その理由を説明するよう努める。(以上規則11の4(4),(5))。

 

【ガイドライン】

(A)本人の同意を得て外国に提供する場合に本人に提供すべき情報 (外国GL p40-46)

(★1)提供先の外国の名称:「外国」には十分性認定国(現在EU・英国)は含まれない。その名称は本人が合理的に認識できる略称等でも可。米国の州等の名称までは不要(但し越境移転リスクについて州法が主要な規律となっている等の場合は州名とその制度の情報提供が望ましい)。

(★2)提供先の外国における個人情報保護制度に関する情報:(情報取得のための「適切かつ合理的な方法」)(例)提供先への照会日本・外国行政機関等の公表情報の確認(本人に提供する情報の内容)以下の提供先の外国法の日本法との本質的な差異に関する情報:①保護制度の有無②保護の水準等に関する客観的指標(例:GDPR十分性認定国APECのCBPR システム加盟国であること)/③当該外国法におけるOECDプライバシーガイドライン8原則(※)への対応状況(例:利用目的特定の原則・開示請求権の有無)/④その他本人の権利利益に重大な影響を及ぼす可能性のある制度の存在(例:事業者の政府情報収集活動への広範な協力義務・事業者保有個人情報に対する政府による広範な情報収集[ガバメントアクセス]や消去請求に対応できないおそれがある個人情報の国内保存[データローカライゼーション]義務)(☆)

(※)OECDプライバシーガイドライン:以下の8原則①収集制限[適法・公正・同意]/②データ内容[正確・完全・最新]/③[取得・利用]目的明確化/④[特定した目的外への]利用制限/⑤安全保護措置実施/⑥[個人データ取扱いの]公開/⑦個人参加[開示・訂正等の権利]/⑧[事業者の上記各項目実施]責任。


(★3)当該第三者が講ずる個人情報保護措置に関する情報:OECDプライバシーガイドライン8原則の措置を全部講じていること/または対応していない措置があればその旨(例:「提供先は概ね我が国の個人情報取扱事業者に求められる措置と同水準の措置を講じているものの, 取得した個人情報についての利用目的の通知・公表を行っていない」)

(★4)同意取得時点で外国名称が特定できない場合(例)日本の製薬会社が医薬品等の研究開発被験者への説明・同意取得時点で, どの国の審査当局等に承認申請するかが未確定。(当該外国の名称に代わる本人に参考となるべき情報)候補国の名称

(★5)同意取得時点で第三者が講ずる保護措置について情報提供できない場合:(例)上記製薬会社の例と同じ。

 

(B)基準適合体制を根拠に外国に提供する場合に相当措置確保に必要な措置 (外国GL p49-53)

(★6)相当措置の実施状況の確認:(例)提供先との個人データ取扱い委託契約の遵守状況の確認/提供先(同一企業グループ内)と共通して適用されるプライバシーポリシーの遵守状況の確認(「定期的に確認」)年に1回以上確認すること。

(★7)相当措置の継続的な実施確保が困難となったとき:(困難化の原因例)外国の上記(☆)の制度(ガバメントアクセス,データローカライゼーション等)/提供先が委託契約違反し合理的期間内に是正しない場合/提供先で重大な漏えい等が発生した後適切な再発防止策が講じられていない場合

(★8)相当措置確保に必要な措置について本人の開示請求を受けた場合の情報提供の内容:①当該外国第三者による基準適合体制整備の方法の例:「提供先との契約」/②相当措置の概要の表現例:契約において, 特定した利用目的の範囲内で個人データを取り扱う旨/不適正利用の禁止/必要かつ適切な安全管理措置を講ずる旨/従業者に対する必要かつ適切な監督を行う旨/再委託の禁止/漏えい等が発生した場合には提供元が個人情報保護委員会への報告及び本人通知を行う旨/個人データの第三者提供の禁止等を定めている」/③事業者による定期的な確認の頻度および方法の例:「毎年, 書面による報告を受ける形で確認している」/「毎年, 我が国の行政機関等が公表している情報を確認している」

 

【企業実務への影響】本人の同意を得て外国の第三者に提供する場合, その外国が, ①OECDプライバシーガイドライン8原則を満たしていない場合や, ②中国のようにガバメントアクセス(国家情報法等)やデータローカライゼーション(サイバーセキュリティ法等)がある場合, それらのことを本人に情報提供してその同意を得なければならないから, 同意取得のハードルが非常に高くなる

一方, 基準適合体制を根拠に外国に提供する場合, OECDプライバシーガイドライン8原則を満たしていないだけの外国については契約等により対応可能かもしれない。しかし, 中国等については, 抽象的には既に, 提供先による相当措置の実施に支障があるとも言え, 最初から提供が困難とも思われる。

従って, 中国等に関しては, 可能な限り個人データを提供しない方策を検討する必要があると思われる。

page top

その他ガイドラインの重要追加事項


 

利用目の特定

改正法自体の内容ではないが, 個人情報の利用目的の特定に関し新ガイドライン(通則GL p)には以下の内容が追加されたので, この対応も(改正施行を待たず)必要。

『(※1)「利用目的の特定」の趣旨は, 個人情報を取り扱う者が, 個人情報がどのような事業の用に供され, どのような目的で利用されるかについて明確な認識を持ち, できるだけ具体的に明確にすることにより, 個人情報が取り扱われる範囲を確定するとともに, 本人の予測を可能とすることである。

本人が, 自らの個人情報がどのように取り扱われることとなるか, 利用目的から合理的に予測・想定できないような場合は, この趣旨に沿ってできる限り利用目的を特定したことにはならない。

例えば, 本人から得た情報から, 本人に関する行動・関心等の情報を分析する場合, 個人情報取扱事業者[従って, 事業者が下記情報を本人の氏名等個人情報と紐づけて管理している場合]は, どのような取扱いが行われているかを本人が予測・想定できる程度に利用目的を特定しなければならない

【本人から得た情報から, 行動・関心等の情報を分析する場合に具体的に利用目的を特定している事例】

事例 1)「取得した閲覧履歴や購買履歴等の情報を分析して, 趣味・嗜好に応じた新商品・サービスに関する広告のために利用いたします。

事例 2)「取得した行動履歴等の情報を分析し, 信用スコアを算出した上で, 当該スコアを第三者へ提供いたします。」』

以 上


page top


【注】

[1] CIPP/E (Certified Information Privacy Professional/Europe)一般社団法人GBL研究所理事/UniLaw 企業法務研究所代表

[1]個人情報である仮名加工情報の漏えい等について報告が不要とされる理由】「仮名加工情報」は「他の情報と照合しない限り」特定の個人を識別できないよう加工された情報である(法2(9), 35の2(1))から, 仮名化に当たり削除した情報および加工方法に関する情報(「削除情報等」)もともに漏えい等していない限り, 本人の権利利益が害されるおそれがないからだと思われる。

[2]個人関連情報の提供先第三者】委託・事業承継・共同利用の場合の「第三者」からの除外はない。

[3] 【顧客企業からDMP運営事業者へのデータ提供の性質】 同旨: 渡辺渡邉雅之「Q&A改正個人情報保護法(2020年8月21日全面改訂」 弁護士法人三宅法律事務所 p 29,32

シェアする

  • はてなブックマークに追加
  • LINEで送る
  • 資質タイプ×業務フィールドチェック
  • TKC
  • 法務人材の紹介 経験者・法科大学院修了生
  • 法務人材の派遣 登録者多数/高い法的素養

新着情報

公式メールマガジン

企業法務ナビでは、不定期に法務に関する有益な情報(最新の法律情報、研修、交流会(MSサロン)の開催)をお届けするメールマガジンを配信しています。

申込は、こちらのボタンから。

メルマガ会員登録

公式SNS

企業法務ナビでは各種SNSでも
法務ニュースの新着情報をお届けしております。

企業法務ナビの課題別ソリューション

企業法務人手不足を解消したい!

2007年創業以来、法務経験者・法科大学院修了生など
企業法務に特化した人材紹介・派遣を行っております。

業務を効率化したい!

企業法務業務を効率化したい!

契約法務、翻訳等、法務部門に関連する業務を
効率化するリーガルテック商材や、
アウトソーシングサービス等をご紹介しています。

企業法務の業務を効率化

公式メールマガジン

企業法務ナビでは、不定期に法務に関する有益な情報(最新の法律情報、研修、交流会(MSサロン)の開催)をお届けするメールマガジンを配信しています。

申込は、こちらのボタンから。

メルマガ会員登録

公式SNS

企業法務ナビでは各種SNSでも
法務ニュースの新着情報をお届けしております。

企業法務ナビに興味を持たれた法人様へ

企業法務ナビを活用して顧客開拓をされたい企業、弁護士の方はこちらからお問い合わせください。