【2022年4月施行】改正個人情報保護法とは
2022年4月1日に「個人情報の保護に関する法律等の一部を改正する法律」(以下、改正個人情報保護法)が施行されます(罰則強化に関しては既に2020年12月12日より施行)
今回の改正により、事業者はどのような影響を受けることになるのでしょうか。
自社のホームページに記載されている「個人情報保護方針」を変える必要があるのでしょうか?
そこでこの稿では、2022年改正個人情報保護法のポイントをわかりやすく解説します。
個人情報保護法は、技術革新が進展する中で、これまでも個人情報の保護とその利活用のバランスをとってきましたが、今回の改正では仮名加工情報の新設やCookie等の扱いが明確になるなど、デジタル化への対応をより強く意識したものとなっております。
また、欧州のGDPR(一般データ保護規則)やeプライバシー規則案(所謂Cookie法)、米国カリフォルニア州のCCPA(消費者プライバシー法)など欧米の取組みも意識した内容となっているようです。
個人情報保護法改正の6つのポイント
今回の改正のポイントは以下6点、それぞれ解説していきます。
- 本人の権利保護の強化
- 事業者の責務の追加
- 企業の特定分野を対象とする認定団体制度の新設
- データ利用活用の推進
- 法令違反に対するペナルティの強化
- 域外適用の強化等
①本人の権利保護の強化
1,利用停止・消去請求権、第三者提供禁止請求権の緩和
【概要】
本人による利用停止やデータの消去などの請求は、違反が証明できる場合に限られていましたが、改正後は「本人の権利又は正当な利益が害されるおそれがあるとき」や「個人データを利用する必要がなくなった時」場合にも、可能となりました。
【解説】
改正前
本人が、保有個人データの利用停止・消去を請求できるのは(30条1項)。
・目的外利用(16条)
・不正取得(17条)
第三者の提供停止を請求できるのは
・本人の同意なく第三者に提供した場合(23条1項)
・本人の同意なく要配慮個人情報を取得した場合(23条2項)
・本人の同意なく外国にある第三者に提供した場合(24条)
改正後
改正前に加え以下のケースに該当する場合も、利用停止・消去・第三者提供の停止を請求できるようになりました(新30条5項)。
・利用する必要がなくなったとき
・漏えい等が生じたとき(新22 条の 2第一項)
・本人の権利又は正当な利益が害されるおそれがあるとき
但し、個人情報取扱事業者が利用停止等の措置を行うことが困難な場合で、かつ、代替措置が取られた場合には、事業者側の負担軽減の観点から例外として免除されます。
「本人の権利又は正当な利益が害されるおそれがある場合」とは
個人情報保護委員会のガイドラインでは”法目的に照らして保護に値する正当な利益が存在し、それが侵害されるおそれがある場合”となってます。
例えば、以下のような場合が相当します。
- 個人情報取扱事業者に対して、メルマガやダイレクトメールの送付、あるいは勧誘電話等を停止するよう意思表示をしたにもかかわらず、それを繰返すような場合
- 個人情報取扱事業者が安全管理措置を十分に講じておらず、保有個人データが漏えいするおそれがあるため、本人が利用停止等を請求する場合
このような時には、本人は自分の個人情報の利用停止等を請求できるようになりました。
【まとめ】
2,保有個人データの開示請求のデジタル化
【概要】
個人情報取扱事業者は、保有個人データを本人に提供する際には、書面による交付が原則でしたが、今回の改正により、デジタルデータ等「本人の指定する方法による開示」を請求することができるようになりました。
【解説】
個人情報取扱事業者は、本人の請求(旧28条第1項)を受けた場合に、「遅滞なく」開示される予定の保有個人データは、原則として「書面」で行われることになってました(旧28条第2項)
しかし、デジタル化の進展により、大量のデータをはじめ動画や音声データなど、書面での提供が難しいケースが増えてきました。
そこで、今回の改正により、個人情報取扱事業者は、電磁的記録の提供による方法など本人が請求した方法により開示する義務を負うことになりました(新28条1項、2項)
電磁的記録とは、CD-ROM、電子メール、Webサイトからダウンロードする等のデジタルデータが想定されてます。
事業者の負担軽減への配慮
「本人が指示した方法により開示することが多額の費用を要する場合、あるいはその他の当該方法による開示が困難である場合にあっては、書面の交付による方法」も良いとされていました(新28条2項かっこ書き)
【まとめ】
保有個人データの提供方法は書面の他にデジタルデータも可能となりました。
3,第三者提供記録の開示請求権
【概要】
個人情報取扱事業者は、個人データの第三者提供する際の記録が義務付けされてましたが、本人がその記録開示を請求できるようになりました。
【解説】
個人情報取扱事業者は、個人データの第三者提供する際の記録(提供年月日、第三者の氏名又は名称等)の作成義務(旧25条1項)及び、第三者提供を受ける際にも記録の作成義務がありましたが(旧26条3項)、本人はその開示請求権に関して法の定めがありませんでした。
もともと第三者提供記録の作成義務には以下のような2つの狙いがありました。
①不正手段で取得された個人情報の流通の抑制
②個人情報のトレーサビリティの確保
但し、これらの記録は監督機関の個人データ流通を追跡しやすくするためのものでしかありませんでしたが、今回の改正により、本人も第三者提供記録の開示を請求できるようになりました(新28条5項)
公益における利害調整
「その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの」は開示の対象から除かれます(新28条5項かっこ書)。
【まとめ】
4、短期保有データの保有個人データ化
【概要】
6か月以内に消去する短期保有データも保有個人データに含めることになり情報開示や停止等の対象となりました。
【解説】
「保有個人データ」とは、個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる個人データであって、その存否が明らかになることにより公益その他の利益が害されないものです。(第2条第7項)
簡単に言うと、事業者が保有し管理している個人データのことだと考えてよいでしょう。
ここで問題視されたのが、旧法が「政令の定めにより6か月以内に消去する個人データは保有個人データではない」としている点でした。
しかし、たとえ6か月以内の短期間であっても、それが消去されるまでの間に漏えいなどが発生すれば、本人によっては修復しがたい損害が生じる可能性があります。
そこで今回の改正では、旧2条7項の「一年以内の政令で定める期間以内に消去することとなるもの」という文言が削除されました。
そのため、政令で定める期間である6か月以内に消去される短期保有データであっても「保有個人データ」に含まれることになり、本人からの開示や利用停止等の請求対象となりました。
【まとめ】
5、オプトアウト規定の強化
【概要】
オプトアウト手続きによる第三者提供がより厳しくなりました。
【解説】
2017年以前、オプトアウトは対象に限定なく幅広く認められていましたが、 2017年の法改正で「要配慮個人情報」が新設され(23条2項)、今回の改正で更に禁止対象が拡大しました。
今回の改正では要配慮個人情報に加えて以下の場合にもオプトアウトの禁止対象としました。
- 不正な手段で取得した個人データ(新17条1項)
- オプトアウト手続きにより取得された個人データ(新23条2項)
不正取得した場合に加えて、オプトアウト規定で取得した個人データをさらにオプトアウトで第三者提供することが禁止となりました。
また、オプトアウト手続により第三者提供する事業者が、個人情報保護委員会に届け出る際、当該事業者の氏名・住所や三者に提供される個人データの方法等が追加されます。
これらの強化策は、名簿業者により個人データが不正流通された時など、本人がオプトアウトすることが困難な状況、つまり後から個人情報の利用停止をすることが困難な状況、を防ぐために設けられたものといえるでしょう。
オプトアウトとは
個人情報を第三者提供するにあたって、本人からの反対がない限り、個人情報の開示に同意したものとみなし、第三者提供を認めることです。
例えば、メルマガの場合、送信は原則自由に行われ、受け取りたくない場合に、本人が個別に受信拒否通知をする方式です。
これに対して、オプトイン方式とは、本人が事前許諾した個人情報だけを第三者提供する方式です。
【まとめ】
②事業者の責務の追加
情報漏洩報告の義務化
【概要】
個人情報が漏えいした時、個人情報保護委員会と本人の両者に対して報告するのが義務となりました。
【解説】
これまで個人情報の漏えいを個人情報保護委員会に報告するのは「努力義務」、本人への通知は「望ましい」とされるにすぎませんでした。
そのため、積極的に対応しない事業者も存在していたため、発生したインシデントを正確に把握することが難しい状況でした。
一方、諸外国では個人情報の漏えいが発生した時の報告義務が一般化されつつあります。
例えば、EUの一般データ保護規則(以下、GDPR)では、漏えいなどのインシデントが発生した場合、委託元はGDPRに定められている監督機関への72時間以内の届け出義務を負う事になっています(GDPR第33条)。
このような状況を踏まえ、今回の改正では、以下のように個人情報が漏洩した際には、個人情報保護委員会への報告する(新22条の2第1項)とともに、本人にも報告することが、共に義務化されました。(新22条の2第2項)。
- 要配慮個人情報
- 不正アクセスによる漏えい
- 財産的被害のおそれのある漏えい
- 大規模な漏えい(1000件以上が目安)
ただし、本人に対する通知義務に関しては、事業者の負担軽減策として、「連絡先が不明など、本人への通知が困難な場合であり、本人の権利利益を保護するための代替措置を取っている場合」には、報告義務は免除されます。
【まとめ】
個人情報保護委員会がまとめた以下の表が分かりやすいので抜粋しておきます。
出典:個人情報保護法 令和2年改正及び令和3年改正案について(個人情報保護委員会)(参照はこちらから)
報告の形態について
個人情報の漏えいがあり、個人情報取扱事業者が個人情報保護委員会へ報告する場合、「速報」と「確報」の二段階に分けて報告を行う必要があります(個人情報保護委員会規則)
これらの報告義務を履行しなかった場合、個人情報保護委員会による勧告及び命令(改正法42条)の対象となり、命令に違反した場合には、公表(改正法42条4項)や罰則(行為者について改正法83条、法人について改正法87条。)の対象となります。
それぞれの報告のタイミングは、
- 「速報」は漏えい等が発生したのを知った時点から概ね3~5日以内
- 「確報」は30日以内
報告する内容も以下のように定義され、「速報」では「その時点で把握している事項」でよく「確報」の場合には全てを報告する必要があります(改正規則6条の3第1項)
- 概要(1号)
- 漏えい等が発生し、又は発生したおそれがある個人データの項目(2号)
- 漏えい等が発生し、又は発生したおそれがある個人データに係る本人の数(3号)
- 原因(4号)
- 二次被害又はそのおそれの有無及びその内容(5号)
- 本人への対応の実施状況(6号)
- 公表の実施状況(7号)
- 再発防止のための措置(8号)
- その他参考となる事項(9号)
不適正な方法による利用の禁止
【概要】
今回の改正で、個人情報の不適正な利用が禁止されます。
【解説】
これまで、個人情報の不適正な利用の禁止に関する条文が無かった為に、違法とまでは言えないまでも、不適切な方法で個人情報が利用されるケースがありました。
今回の改正により、個人情報取扱事業者は、形式的には個人情報保護法の規定に違反しなくても、違法または不当な行為を助長し、または誘発するおそれがある方法(※)により個人情報を利用した場合は、利用停止等(30条)の対象となるなど、個人情報保護委員会の行政処分の対象となり得ます(新16条の2)
これらの規定は、昨今の急速なデータ分析技術の向上等を背景に、潜在的に個人の権利利益が侵害されるような個人情報の利用形態がみられるようになってきたというのが背景にあります。
(※)「違法又は不当な行為を助長する等の不適正な方法」とは?
例えば、下記のような、悪質なケースが想定されております。
- 違法行為を営む第三者に個人情報を提供すること
(例えば、違法な闇業者と知りながら個人情報を提供する、等) - 裁判所の公告等により散在的に公開されている個人情報について、差別の誘発が十分に予見できるにもかかわらず、それを集約してインターネット上で公開すること。(いわゆる「破産者マップ事件」、下記のメモ欄参照)
破産者マップ事件とは?
破産者マップとは、Googleマップ上に表示されたピンを押すと、破産者の個人情報を閲覧できるようにしたサイトのことです。
具体的には、自己破産をした場合、官報に掲載される以下の情報をまとめて地図上で可視化しました。
2019年3月に問題となり、同月には閉鎖となりました。
- 破産者の氏名
- 破産者の住所
- 破産手続き開始日
- 免責決定日
【まとめ】
③企業の特定分野を対象とする認定団体制度の新設
【概要】
これまでの認定団体制度は、対象事業者の全ての分野が対象だったため使い勝手が悪い場合がありました。今回の改正では「企業の特定分野(部門)」を対象とする団体を認定できるようになりました。
【解説】
認定個人情報保護団体とは、個人情報保護委員会、個人情報取扱事業者、本人との間で、以下の業務を行う仲介団体です。
- 個人情報の取扱いに関する苦情の処理
- 事業者への個人情報の適正な取り扱いに関する情報の提供
個人情報取扱事業者は、これらの認定個人情報保護団体に加入することによって、上記の業務を仲立ちをしてもらってました。
旧法における「認定個人情報保護団体」は銀行、電気通信、医療、小売り業など業種別にはなっているものの、企業の全部門が対象でした。
しかし、デジタル化が進展する中で、次第に個々の業務の専門性が求められるようになり、仲介する側もされる側も利用しずらいものとなってました。
今回の改正では、対象事業者の特定の「事業の種類その他業務の範囲」に限定した認定団体が認められたことにより(新47条2項)、より専門性を生かした取り組みが可能となり認定団体の活用が進む事が期待されてます。
認定個人情報保護団体とは
業界・事業分野ごとの民間による個人情報の保護の推進を図るために、自主的な取組を行うことを目的として、個人情報保護委員会の認定を受けた法人(法人でない団体で代表者又は管理人の定めのあるものを含む。)のことです 。
認定個人情報保護団体の一覧はこちらから
【まとめ】
個人情報保護委員会がまとめた以下の図が分かりやすいので、このケースで説明しましょう。
これまで金融系認定団体はそれぞれの銀行の全ての部門をカバーする必要がありましたが、改正法では以下の図のように複数の銀行の「広報部門」のみを横ぐしでカバーする団体も認められるようになりました。
これにより「広く浅く」ではなく「専門分野」ごとのきめ細かな対応が可能となります。
出典:個人情報保護法 令和2年改正及び令和3年改正案について(個人情報保護委員会)(参照はこちらから)
④データ利用活用の推進
データの利活用を促進する観点からは、次の2点が改正されました。
- 「仮名加工情報」が新設され、事業者の義務が緩和されました。
- 「個人関連情報」が新設され、提供先で個人データとなることが想定される場合の確認義務が規定されました。
「仮名加工情報」
【背景】
これまでは、2015年の改正で新たに追加された「匿名加工情報」は、個人情報の加工の程度を高めることにより個人を特定できないように作成してましたが(つまり個人情報ではなくなる)、逆にこれでは使い勝手が悪く、その利用に制限がかかってました。
例えば、事業者の組織内部の運用の範囲内で、デジタル化した個人情報をビックデータとして分析する場合には個人情報の仮名化を行うケースが増えてきました。
つまり、データとしての有用性を個人情報と同程度に保ちつつ、匿名加工情報よりも有効な分析を簡便な方法で利活用しようとするニーズが高まっております。
そこで、仮名化された個人情報による分析の有用性と、それにより個人の権利利益が侵害されるリスクのバランスを考慮して、一定の要件の下、個人情報の利活用を拡大するのが、今回の改正で仮名加工情報を新設した狙いとなります。
【匿名加工情報とは】
「仮名加工情報」とは「他の情報と照合しない限り、特定の個人を識別することができないように個人情報を加工して得た個人に関する情報」です(新2条9項)。
仮名加工情報に加工する事業者は、個人情報保護委員会規則第18条の7各号に定める以下の基準に従う必要があります。
- 特定の個人を識別することができる記述等の全部又は一部の削除又は復元にするための規則性を有しない置換
- 個人識別符号全部の削除又は復元にするための規則性を有しない置換
- 不正に利用されることにより財産的被害が生じるおそれのある記述等の削除又は復元にするための規則性を有しない置換
仮名加工情報の具体例
例えば、ID、氏名、年齢、性別、購入履歴が含まれる個人情報を加工する場合には「氏名」を削除する、マイナンバーに記載されている個人番号がある場合には削除する、あるいは意味のない通し番号に変換する、等のケースが想定されます。
IDと氏名をマッピングするデータがある場合には容易に個人データが復元ができる点が次に説明する匿名加工情報と異なる点となります。
【仮名加工情報の利用に付随する規定】
ここでは全ての仮名加工情報共通に適用される規定を紹介します。
(実際には個人情報となるかどうかで更に詳細な規定があります)
- 削除情報等に関する安全管理措置義務(新35条の2第2項)
仮名加工情報は、削除情報等と照合することにより個人情報に復元できるため、削除情報等の漏洩を防止するために定められた義務です。 - 識別目的での照合禁止(新35条の2第7項)
本人を識別することを目的として仮名加工情報を他の情報と照合することは禁止されています。 - 連絡先等の情報の利用の禁止(新35条の2第8項)
仮名加工情報に住所、電話番号含まれる場合、本人に連絡をしたり、住居へ訪問する目的でこれらの情報を利用してはなりません。
これは、仮名加工情報が、内部分析に限って利用することを想定しているため、内部分析以外の利用を禁止するのが狙いです。
匿名加工情報
ここで、旧法で規定されている「匿名加工情報」に関してもあらためて説明しておきます。
「匿名加工情報」とは、以下のような加工をした情報であり(2条9項)、この状態が保証される限り「個人情報」として扱う必要はありません。。
- 次の措置を講じて特定の個人を識別することができないように加工すること
・個人情報に含まれる記述等の一部を削除するか、復元することのできる規則性を有しない方法によって置き換えること
・個人識別符号の全部を削除するか、復元することのできる規則性を有しない方法によって置き換えること - もとの個人情報に復元することができないようにすること
以下に両者を比較した表を掲載しておきます。
個人関連情報
もう一つ新設されたのが「個人関連情報」です。
「個人関連情報」とは、「生存する個人に関する情報であって、個人情報、仮名加工情報、匿名加工情報のいずれにも該当しないもの」と定義されてます(新26条の2)。
具体的には以下のような情報の中で特定の個人が識別できないものを想定してます。
- Cookie情報
- IPアドレス
- 端末固有ID
- 位置情報、ログ情報などの個人に関わる情報で
「個人関連情報」は、デジタル化の進展により第三者の提供先で他の情報と関連付けることにより個人データを悪用するケース(例えば「リクナビ問題」、後述)が出てきたことからその取扱いを明確にするために出てきた概念と考えられます。
「個人関連情報」を第三者へ提供する場合は、提供元における記録義務があります。
具体的には、以下の項目を記録し、原則3年保存しなくてはなりません(新26条の2)。
- 本人の同意を確認した旨
- 外国にある提供先への場合、外国の名称、外国における個人情報保護制度、提供先が講ずる個人データ保護措置など、必要な情報提供が行われていることを確認した旨
- 個人関連情報を提供した年月日
- 提供先の氏名・名称・住所・代表者氏名
- 提供する個人関連情報の項目を具体的に記載する(例えば、ウェブサイトの閲覧履歴、購入履歴、年齢・性別などの情報項目)
「個人関連情報」は、EUの「eプライバシー規則(案)」を意識したものになっているようですが、実際にApple社の「Safari」では2020年3月にはサードパーティcookieを既にブロックしてますし、Google Chromeでも2023年までにそれに代替する手段を構築することを宣言していますので自然な流れだと言えるでしょう。
リクナビ問題
今回の改正で個人関連情報が新たに創設された背景には「リクナビ問題」があります。
リクナビ問題(事件)とは、リクナビを運営するリクルートキャリアが起こした事件で、以下の手順で内定辞退率を提供していました。
- リクナビサイトを通じて「Cookie情報」と「業界ごとの閲覧履歴」を取得し、
- リクナビサイトで行なったウェブアンケートとCookie情報から、「応募者管理ID」と「業界ごとの閲覧履歴」を紐づけることにより、
- 契約企業から提供された「前年度の選考参加者/辞退者、内定承諾者/辞退者」と上記②の「業界ごとの閲覧履歴」から、応募学生の当該契約企業に対する選考離脱や内定辞退の可能性を予測するアルゴリズムを開発し、内定辞退率をスコア化した。
リクナビ側としてはこれらの情報だけでは特定の個人を識別することはできませんでしたが、契約企業においては、「応募者管理ID」は特定の個人の姓名と紐づけられているため、個人を特定することができ、学生の採否判定に利用していたというわけです。(詳細はこちらから)
この事件を受けて、個人情報保護委員会は「内定辞退率の提供を受けた企業側において特定の個人を識別できることを知りながら、提供する側では特定の個人を識別できないとして、個人データの第三者提供の同意取得を回避しており、法の趣旨を潜脱した極めて不適切なサービスを行っていた。」と指摘しています。
出展;毎日新聞 リクナビの内定辞退率販売 個人情報保護に遅れ スコアリングに対応を=論説委員・竹川正記 (記事の参照はこちらから)
⑤ペナルティーの強化
昨今、違法、不当な事案が増加する中、個人情報保護委員会では事業者の実態を把握するきっかけとなる報告徴収(報告させること)や立入検査の実効性を高める必要があると指摘されてました。
特に法人に対しては行為者と同額の罰金を科したとしても、旧法の罰金額では十分な抑止効果は期待できないのではないかという疑問の声にこたえるために、今回の改正で法定刑が個人・法人共に引き上げられました。
特に法人の罰金刑の上限額が大きく引き上げらております。
例えば
- 個人情報保護委員会による措置命令に対する違反
旧法:30万円以下の罰金
新法:1億円以下の罰金 - 個人情報データベース等の不正提供
旧法:50万円以下の罰金
新法:最大1億円の罰金
⑥域外適用の強化等
これまで外国の事業者に行使できる権限は、指導及び助言並びに勧告のような強制力を伴わない権限にとどまっていたため、域外の事業者における漏えい等の事案に対して個人情報保護委員が適切に対処できない場合がありました。
改正法では、日本国内にいる個人に対する物品又は役務の提供に関連して個人情報等を取り扱う外国の事業者を、罰則によって担保された①報告徴収や②立入検査、③命令に関する規定の対象とできるようになりました(新40条,新75条)。
今回の改正により、日本人の個人情報を扱う、域外の事業者の不適切な取扱いに対して、より実効的な措置を実施することが期待されます。
域外適用の対象となる外国にある個人情報取扱事業者とは
例えば、以下のようなケースです。
- 外国にあるインターネットショッピングサイトの運営事業者が、日本の消費者に対して商品を販売・配送を行うため日本の消費者の個人情報を取り扱う場合
- 外国の旅行会社が、自国に呼び込むため収集した日本人の個人情報を取り扱う場合
以上