2023年4月5日
令和2年改正個人情報保護法
### はじめに
2022年4月に「個人情報の保護に関する法律等の一部を改正する法律案」が施行されました。
<br>
以下、改正のポイントについて整理したいと思います。
###### 1. 個人関連情報の提供について
「個人関連情報」とは、「生存する個人に関する情報であって、個人情報、仮名加工情報及び 匿名加工情報のいずれにも該当しないもの」をいい、閲覧履歴、Cookie情報、位置情報などが該当します。
個人関連情報は、提供元の事業者にとって個人データでなくても、提供先が個人データと紐付けることで個人データとなる可能性があるため、これを規制するために新設されました。
<!-- <br>新たに規制対象となる提供先事業者には、自ら個人データを保有しつつ、サードパーティCookieを発行し(また、プラグインの「いいね!」ボタンを設置し)、ターゲティング広告も行っているFacebookやGoogleなどが該当するものと考えられます。 -->
提供先の事業者は、「当社は、第三者が運営するDMP(データ・マネジメント・プラットフォーム)やウェブサイトからCookieにより収集されたウェブの閲覧履歴及びその分析結果を取得し、これをお客様の個人データと結びつけた上で、広告配信等の目的で利用いたします。」等と説明した上で、本人から同意を取得することとなります。
提供元の事業者は、提供先で個人データに該当する個人関連情報の利用につき、あらかじめ本人の同意等が得られていること確認しなければなりません。
提供元の事業者は、個人データの提供と同様、個人関連情報の提供に係る記録を作成しなければなりません。
<br>
<br>
提供先における本人同意の取得・記録義務:<br>
>- ①本人に対する説明(個人関連情報を個人データとして取得して利用する主体、対象となる個人関連情報および利用の目的について)
>- ②本人同意の取得
>- ③記録
<br>
<br>
提供元における本人同意の確認方法:
>- 提供先から申告を受ける方法(提供元は提供先の申告内容を一般的な注意力をもって確認すれば足りる)
<br>
<br>
提供元における記録義務:
>- ①提供年月日
>- ②第三者の氏名等
>- ③個人関連情報の項目等を記録し、原則3年の保存
###### 2. 仮名加工情報について
「個人情報」と「匿名加工情報」の中間的な制度として「仮名加工情報」が新設されました。
<br>
社内限りで顧客情報を分析する、AIを開発するなどのニーズに応じるため、仮名加工情報は、匿名加工情報より緩やかな取扱いが認められています。
匿名加工情報は、元の個人情報を復元できないように加工する必要があるのに対し、仮名加工情報は、他の情報と照合しない限り特定の個人を識別できないように加工すれば足ります。なお、仮名加工情報の作成時に削除された個人特定情報(氏名など)や置換に用いられたパラメータなどの情報は仮名加工情報と分離して保存しなければなりません。
<br>
<br>
加工基準:<br>
>- 以下の情報の削除・置換え
>- ①特定の個人を識別できる記述(氏名など)
>- ②個人識別符号
>- ③財産的被害が生じるおそれのある記述等
<br>
仮名加工情報を当初の利用目的以外の新しい目的で利用する場合には、公表が必要です。
<br>
仮名加工情報は、社内での分析などでの用途を想定しているため、第三者への提供について制限があります。
<br>
仮名加工情報を利用する必要がなくなった際、仮名加工情報及び個人特定情報(氏名など)を消去しなければなりません。
###### 3. 保有個人データに関する公表事項の追加について
保有個人データの安全管理のために講じた措置の内容
本人が措置内容に鑑みて個人情報を提供するか否か、利用停止・削除等の請求をするか否かを判断できるようになります。
<br>
<br>
公表事項1:
個人情報の取扱体制や講じている措置の内容
<br>
本人が措置内容に鑑みて個人情報を提供するか否か、利用停止・削除等の請求をするか否かを判断できるようになります。なお、措置内容は事業者により様々であり、法令上、定まっているものではありません。
<br>
<br>
公表事項2:
保有個人データの処理の方法
<br>
処理方法を含む具体的な利用目的を公表し、個人情報がどう扱われるのかを本人に認識できるようにします(改正前は、抽象的な利用目的を公表するケースも多かったことが改正理由となっています)
###### 4. 本人からの請求について
(1)利用停止・削除等の請求が可能なケースが拡大されます(違反の場合以外にも請求可能)
>- ①第22条の2第1項本文に規定する事態が生じた場合(要配慮個人情報の漏洩、財産的被害が発生するおそれがある漏洩、不正アクセス等の故意による漏洩、1,000人を超える漏えい等)
>- ②利用する必要がなくなった場合
>- ③本人の権利又は正当な利益が害されるおそれがある場合
- ※個人情報取扱事業者は、本人からの請求が「本人の権利利益の侵害を防止するために必要な限度」を超えている場合には、必要な限度を超える部分については請求を拒むことができます。
- ※利用停止等の請求の要件を満たす場合であっても、利用停止等を行うことが困難な場合は「本人の権利利益を保護するため必要なこれに代わるべき措置」によって対処することも認められます。困難な場合については、条文上例示されている「利用停止等に多額の費用を要する場合」が代表的なものとして考えられます。
- 例:既に市販されている名簿の刷り直し及び回収作業に多額の費用を要するとして、名簿の増刷時の訂正を約束する場合や損害賠償をする場合
<br>
<br>
(2)短期保存データも保有個人データとして利用停止・削除等の請求対象となります(短期保存データの例外扱いは改正法で削除されました)。結果、利用停止・削除等の請求を受ける数が多くなることが予想されます。
<br>
<br>
(3)保有個人データの開示方法が選択可能となります
<br>
<br>
(4)第三者提供記録の開示請求が可能となります
###### 5. 漏洩等時の本人及び委員会への報告義務について
改正前も、漏洩等時の委員会への報告は努力義務でした。ただし、努力義務であるため、委員会へ報告しないケースも多かったものと思われます。
改正法では、「個人の権利利益を害するおそれが大きい場合」に、委員会及び本人への報告が義務付けられました。これは、報告による被害拡大の防止を目的としています。
<br>
報告対象:
>- ①要配慮個人情報の漏洩
>- ②財産的被害が発生するおそれのある漏洩
>- ③不正アクセス等の故意による漏洩
>- ④1,000人を超える漏えい等
<br>
委員会への報告:
- 速報と確報の二段階。事態の発生を認識した後、速やかな速報が求められるとともに、30日(上記③の場合は60日)以内に確報が求められます
###### 6. 越境移転に係る情報提供について
(1)本人の同意を得て移転する場合
本人からの同意取得時に越境移転先における個人情報保護に関する制度等の情報提供が求められます。
<br>
同意取得時に本人に提供すべき情報:
>- ①移転先の所在国名
>- ②適切かつ合理的な方法で確認された当該国の個人情報保護制度
>- ③移転先が講ずる措置
<br>
(2)基準に適合する体制を整備した事業者へ移転する場合
基準に適合する体制を整備した事業者への越境移転は、本人の同意を要することなく可能です。ただし、移転先による個人データの適正な取扱いの継続的な確保のための「必要な措置」及び本人の求めに応じた情報提供が求められます。
移転元が講ずべき「必要な措置」:
>-①移転先における個人データの取扱状況及びそれに影響を及ぼしうる移転先の所在国の制度の有無の定期的な確認
>-②適正な取扱いに問題が生じた場合の対応(適正な取扱いの継続的な確保が困難な場合は個人データの提供を停止)
<br>
(3)我が国と同水準の外国にある事業者(EU、英国)へ移転する場合
特に変更ありません。
<!--
### 管理体制
個人情報保護法に遵守していない場合でも行政処分を受けるリスクは低く、特に対応していないという事業者の方も多いようです。
しかし、仮に行政処分に至らないとしても、個人情報の管理について何も知らないのでは顧客の信用を失うことにもなりかねません。
#### ポイント
個人情報を取得する際には、目的を明示する。
個人情報の管理方法を社内でルール化する。
不要な個人情報は取得しない。また、取得後不要になった情報は廃棄する(法令上、個人情報に保管義務期間はなく、むしろ不要になり次第廃棄することが求められています)。
個人情報の持ち出しができないようアクセス権者を限定する。
第三者に個人情報を扱わせる場合にはプライバシーマークを取得している事業者を優先採用する。
プライバシーポリシーの内容と社内の実運用との間にギャップがないか定期的に見直す。 -->
<br>
<br>