2020年個人情報保護法改正のポイント(弁護士 村上英樹)
1 はじめに
2020年に改正された個人情報保護法のポイントを説明します。
なお当事務所公式YouTubeチャンネルの動画「15分でわかる 2020個人情報保護法改正」では、同じ改正の内容をセミナー形式で解説していますので、動画・文章、お好みに合わせて視聴又はお読み頂ければと存じます。(※YouTube動画は こちら)
今、私たちは、日々どんどん申込フォームに自分の情報を入力し、新しいサービスを利用しており、これによって便利に生活できるようになっていますが、一方で自分の情報が他人の手に委ねられ自分では到底コントロールしようもない感覚、あるいは、あきらめの感覚になっている人も多いはずです。
このような状況に応じて、事業者による個人情報の取得・利用に対して適切なコントロールを及ぼし、また、個人の側からも自分の個人情報について開示請求などの手段をとりやすくなるように武器を強化して、個人の権利・利益がまもられるようにしていく、という方針での改正となっています。
具体的にどのような点で、個人の権利・利益の保護がなされるようになったか、それとデータの利活用とのバランスがどう取られていくのか、という観点から読んで頂ければと思います。
2 「3年ごと見直し」、改正スケジュール(2022年施行)
個人情報保護法は2003年に制定された法律ですが、2015年に大きな改正があり(その改正法は2017年に施行)、以後3年ごとに見直しがされることが規定されました。
現代は技術の進歩のスピードが速く、個人情報の扱いについてもルールを常にアップデートしていく必要があるためです。
この「3年ごと見直し」方針により、2020年に個人情報保護法が改正され、この改正法は2022年6月までに施行されることになっています。
現在2021年7月ですが、来年の施行に向けて、例えばプライバシーポリシー(個人情報保護指針)の整備などの対応をしていく必要があります。
3 個人の権利・利益の保護
インターネット上を中心とした各種サービスにおいて、個人情報を収集、利用する頻度が飛躍的に増大しています。
自分の情報に対する個人の権利・利益を保護する内容の規定の改正がなされ、事業者の責務も拡充されています。
①個人情報について、利用停止・消去等の請求権についての要件の緩和
現行法では、個人情報の利用停止・消去等を請求できるのは、不正取得等があった場合など一部の法違反の場合に限定されています(旧法30条1項)。
これに対して、改正法では、個人の権利や正当な利益が害されるおそれがある場合にも個人情報の利用停止・消去等の請求が認められるようになりました(改正法30条5項)。
②開示請求などの拡充
個人情報取扱事業者の保有個人データについて、次の通り、開示請求が拡充されることになりました。
ⅰ 開示請求の場合に、電磁的記録の提供を含め、本人が指示する方法で開示するように請求できるようになります(改正法28条1項、2項)。
ⅱ 個人データの授受について、事業者が第三者に提供した記録も開示請求できるようになります(同5項)。
ⅲ これまで、開示請求の対象にならなかった短期保有データ(6か月以内に消去されるデータ)も開示、利用停止請求の対象になります(旧法2条7項、旧個人情報保護法施行令5条の改正)。
③オプトアウト規定により第三者に提供できる個人データの範囲を限定
オプトアウト規定とは、一定の要件の下で、本人の同意なく個人データの第三者提供を行えるという規定で、典型的には名簿業者などに利用されてきました。
改正法では、不正取得されたデータや、オプトアウト規定により提供されたデータについては第三者提供することができない旨規定されました(改正法23条2項ただし書)。
4 事業者の責務の拡大
個人の権利・利益を保護するということを反面からみれば、事業者の責務を拡大することでもあります。
①個人情報の漏えい時の報告義務
現行法では、漏えい時の報告について努力するよう定められているに過ぎません。
しかし、改正法では、個人情報の漏えいが起こったとき、個人情報取り扱い事業者は個人情報保護委員会に対して報告することが法的な義務となりました(改正法22条の2第1項)。
また、情報の持ち主(本人)に対して、情報の漏えいがあったことを通知することも原則として義務付けられることになりました(同第2項)。
②不適正な利用の禁止
改正法では、違法または不当な行為を助長・誘発するおそれがある方法による個人情報の利用が禁止されます(改正法16条の2)。
具体的な内容は個人情報保護員会が定めるガイドラインで示されることになっており、違反は行政処分(指導、勧告、命令)の対象となります。
この間、破産者マップ事件(※1)が発生するなど、個人情報の利用について、個人の権利・利益を害するおそれがある事象が思わぬ形で生じる可能性が指摘されてきました。
このような背景から、個人情報保護法の目的に照らして適切でない利用を禁止するという趣旨での改正です。
(※1)破産者マップ事件
2019年3月15日ころ、Googleマップと連動させ、破産者の住所氏名等を公表するサイトが公開されました。翌16日には、インターネット上で大騒ぎになり1時間当たり230万アクセスという状況になりました。
住所氏名等を公表された破産者の権利・利益を害すると批判が相次ぎ、弁護士らの間で集団訴訟の動きも起こりました。
個人情報保護委員会の行政指導もなされ、同月19日にサイトは閉鎖されました。
5 データの利活用に関する施策
上記のように、個人の権利利益を保護する改正とともに、IT、ビッグデータ時代に対応して、適正なデータの利活用がなされることを目指す改正がなされています。
①仮名加工情報の新設
現行法でも、個人情報の取り扱いについて事業者の義務を緩和した「匿名加工情報」の制度がありますが利用は低調です。
改正法では、他の情報と照合しない限り個人を識別することができないように個人情報を加工して得た個人に関する情報(氏名等を削除、または置き換えた情報)を「仮名加工情報」として、情報漏えい時の報告や、開示、利用停止等の制度の対象外とする制度が導入されます(改正法2条9項、35条の2)。
これにより、様々なデータ分析の活用を促すという施策です。
②提供先で個人データとなることが想定される場合の義務
情報の提供元では、個人が特定されず「個人データ」とならないものでも、提供先において他の情報と照合した場合に個人が特定され「個人データ」となることが想定される場合の規定がなされます。
「個人関連情報」という概念が導入されました。これは、「生存する個人に関する情報であって、個人情報、仮名加工情報、匿名加工情報のいずれにも該当しないもの」(改正法26条の2第1項)をいいます。たとえば、Cookie(説明は以下リクナビ事件(※2)を参照)などのような、他の情報と照合することにより個人を識別できるものがこれにあたります。
この場合、情報の提供元の事業者には、本人の同意が得られていることを確認する義務が課せられます。
また提供先の事業者には、本人の同意を取得する義務が課せられます(以上、改正法26条の2第1項)。
この改正は、2019年に起きたリクナビ事件のような場合の個人情報の保護について必要な手当をするものです。
(※2)リクナビ事件
2019年、「リクナビ」(運営リクルートキャリア)が、リクナビに登録した就活生の閲覧履歴をもとに内定辞退の確率をAIで予測したデータを、各企業に販売していた事件。
2019年2月以前の運用では、リクナビ側の持つデータ(IDと、Cookieと呼ばれるサイト訪問者の行動情報、内定辞退率)だけでは個人が特定できないが、顧客企業にそのデータが渡ると、企業はIDと氏名の情報を持っていることから個人が特定できる。結局、企業では、個人の内定辞退率を知ることができた。
6 その他
以上のほかにも、個人情報保護がより実効的で適正なものになるように次のような改正がなされます。
①民間団体による個人情報保護の推進
認定個人情報保護団体とは、個人情報保護について、第三者機関として苦情処理や、対象事業者への情報提供のほか必要な業務を行う民間団体のことです。
現行法では、すべての事業分野を対象とするものしか認可の対象ではありませんでしたが、改正法では、企業活動の特定の事業のみ、たとえば「広報部門」などにつき横断した認定個人情報保護団体の認定を行えるようになります。
②ペナルティの強化
法人の代表者に対する罰金刑につき、現行の「100万円以下」から「1億円以下」に引き上げられます(改正法87条1項)。
③グローバル化への対応
外国の事業者に対する個人情報保護委員会の権限を強化し、強制力のある報告徴収や、立入検査が可能になります。
7 終わりに
以上、2020年個人情報保護法改正の内容を概観しました。
改正の一つ一つの内容、条文を追いかけようと思うとなかなか大変ですが、法改正には「テーマ」があります。
本稿で解説させていただいた改正の「考え方」「テーマ」(個人の権利・利益の保護の拡充と利活用のバランス)をまずは頭に入れて頂いたうえで、具体的な対応を検討していただければと存じます。
以 上
(2021.7.8弁護士 村上英樹記)