書いてあること
- 主な読者:個人情報保護法の改正で、何が変わるのかを押さえておきたい経営者・実務担当者
- 課題:個人情報を取り扱う上で、改正にどう対応すべきなのか、違反した場合に、どのようなペナルティーがあるのかが分からない
- 解決策:関連する政令やガイドラインを確認しつつ、保有個人データの取得から消去に至るまでのプロセスを再整理。必要に応じて社内規定を新設・改定し、体制を整える
1 2022年4月からの個人情報保護に関するルール
2022年4月1日、改正個人情報保護法が施行されます。正確に言うと、「個人情報の保護に関する法律等の一部を改正する法律」(2020年6月12日公布。以下「令和2年改正」)と、「デジタル社会の形成を図るための関係法律の整備に関する法律」(2021年5月19日公布)が、一部の内容を除き2022年4月1日に施行されます。
この記事では、個人情報取扱事業者が対応すべき事項について、主に定められている「令和2年改正」に焦点を当て、
- 個人情報取扱事業者の責務の追加
- 権利保護の強化
- データの利活用の促進
などの視点から、実務対応のポイントを整理します。
2 個人情報取扱事業者の責務の追加
1)不適正な利用の禁止
令和2年改正では、「個人情報取扱事業者は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない」とされています。これは、2019年に世間を騒がせた「破産者マップ」(注1)や「内定辞退率の提供」(注2)などの問題を受けたものといわれます。
(注1)官報に掲載された自己破産者の情報をデータベース化し、Googleマップに関連付けすることで可視化したサイトが2019年3月に公開。個人情報保護委員会の指導を受け、運営者は、同月サイトを閉鎖。
(注2)就職情報サイト「リクナビ」を運営するリクルートキャリアが、採用活動に応募した学生等の情報とリクナビ会員情報を突合し、リクナビ上の閲覧履歴等を基に内定を辞退する確率を算出して、本人の同意を得ずに、大手企業など第三者に販売。個人情報保護委員会は、リクルートおよびリクルートキャリアに対し是正勧告。データを購入する契約をしていた企業にも指導。
具体的にどのような利用方法がNGなのでしょうか? 個人情報保護委員会のガイドラインでは、次のような事例が示されています。
個人情報の利用態様について全社的なチェックを行い、個人情報保護規程などでルールとして「不適正な利用の禁止」を規定し、従業員に周知徹底することが望まれます。
2)個人データの漏えい等の報告と本人への通知
令和2年改正では、個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって、個人の権利利益を害するおそれが大きいものが生じたときは、個人情報保護委員会への報告と本人への通知が義務付けられました。
個人の権利利益を害するおそれが大きいものとして、個人情報保護委員会のガイドラインでは、次のようなものを定めています。
- 要配慮個人情報が含まれる個人データの漏えい等
- 不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等
- 不正の目的をもって行われたおそれがある個人データの漏えい等
- 個人データに係る本人の数が千人を超える漏えい等
個人情報保護委員会への報告内容は、発生日、発覚日、発生事案、発見者、委託元および委託先の有無、事実経過、漏えい等が発生した(発生したおそれのある)個人データの項目、個人データに係る本人の数、原因、二次被害またはそのおそれの有無およびその内容、本人への対応の実施状況、公表の実施状況、再発防止のための措置、その他参考となる事項など、多岐にわたります。
速報は、事態を知った時点からおおむね3~5日以内に、確報は、当該事態を知った日から30日以内(不正の目的をもって行われたおそれがある個人データの漏えい等の場合は60日以内)に報告が求められます。
個人の権利利益を害するおそれが大きい漏えい等の事案が発生した場合に備え、社内規定を新設または改定し、原因や影響などを調査できるように体制を整備しておく必要があります。
3 権利保護の強化
1)保有個人データの開示のデジタル化
従前は、保有個人データの開示について、書面による交付が原則とされていました。令和2年改正では、本人が、個人情報取扱事業者に対して電子データでの開示も請求できるとされています。
開示の請求を受けた個人情報取扱事業者は、一定の場合を除いて、請求された方法に従って遅滞なく開示しなければなりません。
今後、「私が識別される保有個人データを全て電子データで開示してほしい」という請求が来た場合にも、対応が求められるようになります。
なお、6カ月以内に消去されるデータは、従前は、開示等の対象となる「保有個人データ」から除外されていましたが、令和2年改正では、この除外がなくなるため留意が必要です。
2)保有個人データの訂正等、利用停止等、第三者提供の停止の請求への対応
従前は、保有個人データについて、本人は、内容が事実でないとき「訂正等」(訂正、追加または削除)を、目的外利用や不正取得されたとき「利用停止等」(利用の停止または消去)を、同意をしていないとき「第三者提供の停止」を請求できるとされていました。
令和2年改正では、これらの要件が緩和され、次の場合にも、利用停止等、第三者提供の停止を請求できるとされています。
- 当該個人情報取扱事業者が利用する必要がなくなった場合
- 漏えい等の報告等が生じた場合
- その他当該本人の権利または正当な利益が害されるおそれがある場合
また、前述した「不適正な利用の禁止」に違反した場合にも、利用停止等を請求できるとされています。
今後、「利用する必要がなくなった保有個人データを消去してほしい」という請求が来ることも想定しておく必要があるでしょう。データの利用停止等に関するシステム対応や、本人確認の方法を含む業務フローの見直しが求められるかもしれません。
4 データの利活用の促進
1)新設された「仮名加工情報」
令和2年改正では、新たに「仮名加工情報」という概念が作られました。
仮名加工情報とは、当該個人情報に含まれる記述等の一部を削除したり、当該個人情報に含まれる個人識別符号の全部を削除したりすることで、他の情報と照合しない限り特定の個人を識別することができないように、個人情報を加工して得られる個人に関する情報をいいます。
仮名加工情報については、本人からの請求(開示、訂正等、利用停止等)への対応義務が緩和され、さまざまな分析に活用できるようになります。ただし、仮名加工情報を第三者へ提供することはできず、個人データとして第三者へ提供することになります(法令に基づく提供は可能)。
2)新設された「個人関連情報」と第三者提供の際の規制
令和2年改正では、新たに「個人関連情報」という概念が作られました。
個人関連情報とは、生存する個人に関する情報であって、個人情報、仮名加工情報および匿名加工情報のいずれにも該当しないものをいいます。
個人関連情報の提供元は、提供先において、個人関連情報を個人関連データとして取得することが想定されるときは、「個人関連情報の提供を受けて本人が識別される個人データとして取得することを認める」旨の、本人の同意が得られていることを確認しなければ、提供してはならないとされます。
例えば、データ・マネジメント・プラットフォーム(DMP)や、マーケティング・オートメーション(MA)ツールを利用してターゲティング広告を行う場合、利用企業は、CookieやIPアドレスなどにひも付いた閲覧履歴などのデータについて、個人データとして取得することを認める旨の本人の同意を得る必要があります。どのようなデータがやり取りされているのかを把握しておくことが重要になるでしょう。
5 弁護士のコメント
令和2年改正では、個人情報保護委員会からの命令への違反および個人情報保護委員会への虚偽報告等の法定刑が引き上げられました。加えて、法人への罰金は、改正前は30万円以下または50万円以下とされていたのが、1億円以下と引き上げられ、重罰化が進んでいます。企業として個人情報を適切に取り扱うことだけでなく、個々の従業員に対する指導・監督が期待されているということに留意する必要があります。
以上(2022年3月)
(監修 有村総合法律事務所 弁護士 小出雄輝)
pj60174
画像:pixabay