COLUMN コラム
個人情報保護法が改正されました
個人情報の保護に関する法律(以下、「個人情報保護法」といいます。)の改正法(以下、「改正法」といいます。)が、一部の条項を除き、令和4年4月1日に全面施行されました。改正法による改正内容は非常に多岐に及びますが、今回のコラムでは、個人情報取扱事業者(以下、「事業者」といいます。)の皆様にとって関係が深いと思われる主要な改正内容をご紹介します。
1.保有個人データの定義
保有個人データは、本人からの開示、削除、利用停止等の請求の対象となることがあります。従前、個人保有データについては、短期間で消去される個人データは本人の権利利益を侵害する危険性が低い等の理由により、6か月以内に消去するものが除外されていました。
改正法では、短期間で消去される個人データであっても本人の権利利益を侵害する危険が低いとは限らない等といった理由から、保有個人データを保有期間によって限定しないこととされました(法第16条第4項参照)。そのため、改正後は、6か月以内に消去する個人データについても、上記のような本人の権利行使の対象とされることになります。
2.仮名加工情報の新設
改正法では、仮名加工情報の概念が新設されました。仮名加工情報とは、他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報をいいます(法第2条第5項)。
従前より導入されている匿名加工情報の制度は、加工基準が厳格であるなど、事業者にとって必ずしも有効に活用されていないことが指摘されていました。そこで、改正法は、個人情報と匿名加工情報の中間的な規律として、仮名加工情報という制度を新設しました。仮名加工情報は、主として事業者内部でのデータの分析等に利用されることが想定されているといわれます。
3.個人関連情報の新設
改正法では、個人関連情報の概念が新設されました。個人関連情報とは、生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものと定義されます(法第2条第7項)。
個人情報保護法では、第三者提供の際の個人データ該当性について、提供元を基準に判断しています。そのため、インターネットの閲覧履歴、位置情報、クッキー等は、提供元においては個人データではないが、提供先においては他の情報と照合して個人データとなることがあります。このような場合、提供元が、提供先において個人データに該当することを知りながら、本人の関与なくして情報提供するスキームが広がることが懸念されていました。そこで、改正法は、事業者が個人関連情報が自己にとっては個人データではなくても、第三者が個人データとして取得することが想定されるときは、原則として提供先が個人関連情報を個人データとして取得することを認める旨の当該本人の同意を得ていることについて確認することとされました(法第31条)。
4.不適正な利用の禁止
改正法は、個人情報の不適正な利用を禁止し、事業者が違法又は不当な行為を助長し又は誘発するおそれがある方法により個人情報を利用してはならないとしました(法第19条)。例えば、裁判所による公告等により散在的に公開されている破産者情報を集約してデータベース化し、インターネット上で公開するような利用方法が、不適正な利用に該当するといわれます。
5.保有個人データに関する公表等の充実化
従前より、事業者は、保有個人データについて、一定の事項を公表等すべき義務がありました。改正法では、事業者が公表等すべき事項について、事業者の住所、代表者の氏名、保有個人データの安全管理のために講じた措置等が追加されました(法第32条各号、個人情報保護法施行令第10条)。
6.本人による権利行使の充実化
従前、本人から保有個人データの開示請求がされた場合、書面による交付が原則とされていました。改正法は、開示請求で得た保有個人データの利用等における本人の利便性を高めるため、原則として本人が電磁的記録の提供を含めて開示方法を指示できることとしました(法第33条第1項、第2項)。
また、改正法は、本人が保有個人データの利用停止等や第三者提供停止を請求できる場合として、本人の権利行使の範囲を広げるため、利用停止等について法第19条(不適正利用の禁止)違反の場合を追加しただけでなく(法第35条第1項)、利用停止等及び第三者提停止について、①当該保有個人データを事業者が利用する必要がなくなった場合、②当該保有個人データに係る漏えい等の事態が生じた場合、③その他当該保有個人データの取扱いにより当該本人の権利又は正当な利益が害されるおそれがある場合についても、本人が権利行使できる事由に追加しました(法第35条第5項)。
7.漏えい等の報告等
従前、個人データの漏えい等の事態が生じた場合に事業者がとるべき対応について個人情報保護法には特段の規定がなく、個人情報保護委員会のガイドラインによる同委員会への報告等についても法的義務ではありませんでした。
改正法は、個人データの漏えい等の事態が生じ、それが個人の権利利益を害するおそれが大きい場合には、原則として、当該事態が生じた旨を個人情報保護委員会に報告するとともに、当該本人に対しても通知すべきこととされました(法26条)。
8.外国にある第三者への提供の制限
改正法は、個人情報の取扱いに関する本人への情報提供の充実を図る観点から、外国にある第三者への提供にあたり、以下の要件を追加しました。
第1に、外国にある第三者への提供について本人の同意を得ようとする場合には、あらかじめ当該外国における個人情報保護制度や当該第三者が講ずる個人情報の保護のための措置等の情報を当該本人に提供することとされました(法第28条第2項)。
第2に、事業者は、個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要な体制を整備している者に対して個人データを提供した場合には、当該第三者による相当措置の継続的な実施を確保するために必要な措置を講ずるとともに、本人の求めに応じて当該必要な措置に関する情報を当該本人に提供することとされました(法第28条第3項)。
以 上