情報管理-個人情報保護法改正と情報セキュリティ-

企業法務

顧客のニーズの変化をとらえて、うまく新商品やサービスに反映させていくためにも、企業にとって、個人情報を含むデータの分析、利活用は重要です。また、データ主体の権利利益を害さないよう、安全かつ慎重なデータの取扱いが企業に求められます。

現行の個人情報保護法は、情報の利活用に関する施策の見直し、個人権利保護の拡充等の観点から、改正がされ(令和2年度)、令和4年4月1日に全面施行の予定です。

本ブログでは、令和2年度改正個人情報保護法の改正点をいくつかピックアップしてご紹介します。

①「仮名加工情報」概念の新設

「仮名加工情報」は、他の情報と照合しない限り特定個人を識別できないように個人情報を加工して得られる個人に関する情報とされています。氏名や個人識別符号の削除、別情報への置換等が加工の態様として想定されています。

元の情報との容易照合性が排されない限り、原則として仮名加工情報も個人情報に該当します。そのため、安全管理等の個人情報の取扱い一般に課される義務は、仮名加工情報についても課されます。他方、漏洩等セキュリティインシデントが発生した場合の個人情報保護委員会(政府から独立した機関)への報告義務、個人からの開示請求等の権利行使の対象からは除外されています。

そして、仮名加工情報には、事業者の内部利用に限定する、個人の識別行為を行わないという制限がありますが、加工前の個人情報を取得した際の利用目的とは異なる新たな利用目的に利用できるというメリットがあります。例えば、特異な値が重要な医療分野での研究や、当初の利用目的を達成した情報を将来的な統計分析のために保管しておくうえで、仮名加工情報の利活用が期待されています。

②提供先で個人データにあたることが想定される情報の第三者提供の制限

個人データ(データベースを構成する個人情報)の第三者提供にあたっては、本人の同意を得る等の規制がありますが、「個人データ」への該当性は、提供元の事業者にとって個人データに該当するかどうかで判断されています。

ところが、令和元年、リクルートキャリア(提供元)が、顧客企業(提供先)において就活生個人を特定可能であることを知りつつ、就活生の内定辞退率データ(提供元にとっては個人データではない)を顧客企業に提供していたことが問題視されました。

そこで、今回の改正では、提供元で個人データに該当しなくても、提供先で個人データとなることが想定される情報については、提供元は、提供先において本人から当該情報を個人データとして利用することの同意を得ていることを、提供先に対し確認することとされています。

③漏洩等の報告等の義務化

これまで、漏洩等が発生した際の個人情報保護委員会への報告は努力義務にとどまっていましたが、改正により報告が義務化されます。加えて、本人への通知義務も義務化されます。

④利用停止等の個人の請求権の行使要件緩和

これまで、本人が、事業者にその個人データの利用停止、消去を請求するには、事業者が不正取得をした場合等に制限されていました。

しかし、改正により、事業者がデータを利用する必要がなくなった場合、前述③の漏洩等の通知を受けた場合、本人の権利・正当な利益の侵害の恐れがある場合(例えば、事業者が、本人から配信停止依頼があったにもかかわらず繰り返しDMを配信している場合)等も、利用停止、消去請求の対象になります。

⑤開示請求があった場合の開示方法の見直し

本人が事業者に対し、自身の個人データの開示を求めるにあたり、開示の方法(電磁的記録の提供による方法その他個人情報保護委員会規則で定める方法)についても本人が指示できることになります。

⑥オプトアウト規制強化

一定の手続(第三者提供されるデータの項目等の本人への予めの通知や公表等)をとることで、本人の同意なしに個人データの第三者提供を可能にすることをオプトアウトといいます。

要配慮個人情報についてはオプトアウトにより第三者提供できないとされています。

更に、改正により、不正取得した情報のオプトアウトによる第三者提供、オプトアウトで取得した情報を再びオプトアウトにより第三者提供することが禁止されます。

⑦越境移転の規制強化

外国(EU、英国除く)にある第三者(自社グループの外国法人も含む)に個人データを提供する場合は、オプトアウトを利用できず、本人の同意を得なければならないとされています。

更に、改正により、事業者は、本人の同意取得に際し、当該外国における個人情報の保護に関する制度、当該外国にある第三者が講じる個人情報保護のための措置の内容といった情報を本人に提供しなければならないとされています。提供するべき情報として、当該外国の国名、個人情報保護制度の有無・概要、当該外国にある第三者のプライバシーポリシー等が想定されています。

今回の個人情報保護法改正をうけ、改めて、取り扱っている情報の棚卸し、今後社内で想定される情報の利活用の態様の整理、漏洩等セキュリティインシデント対応の体制整備、開示請求・利用停止等請求対応の体制整備、社員教育の資料の見直しをお薦めします。お困りの事業者様はぜひ池田総合法律事務所にご相談ください。

<藪内遥>

CONTACT TEL ACCESS