先の通常国会において提出された「個人情報の保護に関する法律等の一部を改正する法律案」が2020年6月5日に可決、成立し、6月12日に公布されました。この改正個人情報保護法は、公布後2年以内に一部を除き施行される予定です。今後、法施行までに個人情報保護委員会が中心となって関係する政令・規則・ガイドライン等の整備を進める予定となっています。
世界中が新型コロナウイルスの感染拡大に対応する中での法案成立であったため、どこまで注目されたかは未知数ですが、今回の法改正では、企業等が保有する個人情報の取り扱いや管理という従来の視点から、個人情報を提供する個人の権利利益の保護が重視されるようになっています。2018年に施行されたEU一般データ保護規則(GDPR)ではプライバシーを基本的人権として位置付けており、その影響を強く受けた結果とも考えられます。このことによって、個人情報を保有する企業や組織の役割や負担は大きくなると想定されます。そのため、法施行の時点で整備漏れの無いよう、今後の動向に注意することが必要です。
以下では今回の法改正の内容や対応のポイント等について確認します。
個人情報保護法の経緯と今後の予定
改正法の内容に入る前に、個人情報保護法のこれまでの経緯と、施行までの予定について確認します。
当初の個人情報保護法は2005年から施行されましたが、その後しばらく法改正がありませんでした。その間に個人情報に対する意識の変化やITの進化等、社会環境が大きく変化し、法律が時代についていけなかったことから、2015年に法改正が行われ、2017年から施行されることになりました。この法改正の際に、近年の環境変化の速度の速さ等を踏まえ、3年ごとに法律を見直すことが規定されました。今回の法改正はその3年目の節目に当たります。新型コロナウイルスの対応に追われる中で法改正が行われたのは、以上の様な経緯があったからです。
また、上述の通り、今回の法改正ではEU一般データ保護規則(GDPR)の影響を強く受けています。これは、グローバル化が進む中で個人データを円滑に越境移転することを可能とすることも一因と考えられます。
今後については、個人情報保護委員会において、以下の様に進めることが議論されています。なお、以下に提示する時期は、あくまでも予定であり、今後早くなる可能性もあります。
2020年夏:改正法の「基本的な考え方」の提示
2021年春:政令・個人情報保護委員会規則の公布
2021年夏:ガイドライン等の公表
2022年春:改正法施行
今回の法改正の概要
前述の通り、今回の個人情報保護法改正では、個人情報を提供する個人の権利が尊重されています。そのため、個人情報を取り扱う企業や組織は、これまでのようにセキュリティ対応をすればいい、という訳ではなく、個人データに紐づく個々人のプライバシーを尊重する姿勢が必要になります。
改正法の概要は以下の通りです。
以下では上記で提示した概要の個々の事項について確認します。ただし、まだ法改正が行われたばかりで抽象的な内容がまだ多く具体性に欠けること、ご了承ください。
1.「個人の権利」に関する主な改正内容
(1)利⽤停⽌・消去等の請求権の要件緩和
個人が自分の個人情報を保有する企業等に対して、利用停止、消去、または提供停止を請求可能となる要件が緩和されます。個人の権利や正当な利益が侵害されるおそれがある場合にも利用停止、消去、または提供停止の請求が可能となります。
(2)保有個⼈データの開⽰⽅法
企業等が開示請求に応じて保有する個人データを開示する際の方法について、現行法では原則、書面での交付とされていますが、法改正によって電磁的記録の提供を含め、請求者本人が指示できるようになります。なお、個人情報取扱事業者が指示された方法での開示が困難な場合は、書面による交付も認められます。
個人データを電磁的記録として提供するためにはシステム的な対応が必要となるため、システムの改修期間を考慮した対応が望まれます。また、電子データでの対応が難しい場合は書面でも可、とされていますが、これも単純に「できない」だけの理由で認められるかは不明確です。今後公開されるガイドライン等の内容を確認の上、対応する必要があります。
(3)第三者提供記録を本⼈が開⽰請求可能
これまでは開示対象となっていなかった第三者提供記録についても、本人が開示請求できるようになります。前回の法改正(現行法)で個人データのトレーサビリティを確保するために第三者提供記録が義務化されましたが、この記録が開示対象となります。
これも、現状での提供記録が個人の請求に応じて提供可能な状態かどうか確認の上、対応する必要があります。例えば、毎月末に当該月で取得した個人情報や購買記録を提供する、という取決めの中で、件数などのサマリー情報の記録だけだと、開示請求に耐えられない可能性もあります。
(4)短期保存データの保有個⼈データへの組入
現行法では保有個人データに「6ヶ月を越えて保有するもの」という条件がありますが、今改正によりこの条件が外れます。つまり、これまでは対象外だった、6か月以内に消去する短期保存データも保有個人データに含められることになり、開示請求等の対象となります。
事業者によっては、個人データの管理等に関わる負担を軽減するため、この短期保存データに関わる適用除外を活用していました。しかし、ITの進化により、短期間で消去される個人データであっても、漏えいなどで不適切に拡散するリスクは変わらないため、この適用除外は廃止されることとなりました。全社で管理するような個人データはシステム化されているため影響は少ないでしょうが、部門等の限られた範囲で、しかも紙やexcelで管理しているような個人データに関しても適切な管理運用が必要となるため、個人情報取扱事業者は現状を把握し、すべての個人情報に対して取得から削除・廃棄までのライフサイクルを明確にする必要があります。
(5)オプトアウト規定の厳格化
オプトアウト手続とは、本人の求めがあれば事後的に停止することを前提に、提供する個人データの項目等を公表等した上で、本人の同意なく第三者に個人データを提供できる制度です。現在はオプトアウト手続により第三者に提供可能な個人データの範囲について、要配慮個人情報は除かれていますが、今回の改正によって以下の個人データも除外されます。
・不正取得された個人データ
・オプトアウト手続により提供された個人データ
2.「事業者の守るべき責務」に関する主な改正内容
(1)漏洩等の報告と本⼈通知を義務化
個人データの漏えいが発生し、個人の権利利益を害するおそれがある場合、個人情報保護委員会への報告と本人への通知が義務化されます。ただし、本人通知については困難かつ代替措置が講じられる場合は、代替措置によることも許容されるとされています。
現行法では個人データ漏えいの報告は努力義務です。つまり、漏えいの事実を隠そうと思えば隠すことも可能です。しかし、改正法の施行後は漏えいがあった場合の報告は建前上「行わなければならない」ことになります。しかし、GDPR(EU一般データ保護規則)では当局への報告期限は72時間以内とされていますが、改正法では期限の縛りはないため、実際にどう運営するかは今後のガイドライン等で確認することになります。
(2)不適正な個人情報利用の禁止を明確化
違法、または不当な行為を助長したり、誘発したりするおそれがある方法による個人情報の利用について、これを禁止することが明確化されます。例えば違法な行為を営む業者へのデータ提供等、法令違反ではないが個人の権利利益保護の観点で問題のある個人情報の利用は禁止されます。
現行の個人情報保護法において、取得した個人情報の「利用」についての義務は明確に定められていません。そのため、現状では個人の権利利益を脅かすおそれのある個人情報の利用が行われても、法的には問題が無いという形になります(例.リクナビ事件)。改正法が施行される段階で、こうした「不適切な利用」ができなる一方で、どのような利用が「不適切な利用」にあたるのか、どのようにして実際に「不適切な利用」が行われていないか検証するのか、等、現時点では不明確です。今後公開されるガイドライン等の内容によっては、個人情報取扱事業者の負担が大きくなる可能性もあるので、今後の動向を注視する必要があります。
3.「事業者による自主的な取組を促す仕組み」に関する主な改正内容
(1)認定団体制度の拡充
認定個人情報保護制度が拡充され、現現在の認定団体は対象事業者のすべての分野(部門)を対象としていますが、企業の特定分野(部門)を対象とする団体も認定できるようになります。
4.「データ利活用に関する施策」に関する主な改正内容
(1)「仮名加工情報」の創設
イノベーションを促進する観点から、氏名等を削除した「仮名加工情報」を創設し、内部分析に限定する等を条件として、開示・利用停止請求への対応等の義務を緩和する、とされています。
前回の法改正、つまり現行法では匿名加工情報という制度が導入されました。これは、個人情報を加工することで特定の個人を識別することができないようにしたものです。よって、他の情報と照合しても特定の個人を識別することができません。一方、仮名加工情報は他の情報と照合して個人を特定することも可能な場合があります。そのため、その取り扱いは個人情報と同等になると考えられています。
(2)個人データとなりうる情報提供の本人同意
提供元では個人データに該当しないものの、提供先において他のデータと組み合わせて個人データとなることが想定される情報(個人関連情報)の第三者提供について、本人同意が得られていること等の確認が義務付けられます。この個人関連情報として、氏名等と結び付けられていないCookie等の端末識別子、ウェブ閲覧履歴、GPS等位置情報が含まれる可能性があると考えられます。
先般、就職情報サイト「リクナビ」を運営するリクルートキャリアが、就職活動中の学生に通知することなく、学生のWeb閲覧履歴等を内定辞退率の算出に使用して顧客企業に販売した事件が問題となりました。現行法では違反とはなりませんが、結果として本人同意が無く第三者提供されたデータと組み合わせた個人データを利用したことが問題視されたことから追加された事項となります。
5.「ペナルティ」に関する主な改正内容
(1)法定刑の引上げ
個人情報保護委員会による命令違反や、個人情報保護委員会に対する虚偽報告等の法定刑が以下の通り引き上げられます。
・命令違反:6月以下の懲役または30万円以下の罰金
→ 1年以下の懲役又は100万円以下の罰金
・虚偽報告等:30万円以下の罰金
→ 50万円以下の罰金
(2)法人に対する罰金刑の最高額引上げ
データベース等不正提供罪、個人情報保護委員会による命令違反の罰金について、法人に対しては行為者(個人)よりも罰金刑の最高額を引き上げることになります。
・個人と同額の罰金(50万円または30万円以下の罰金)
→ 1億円以下の罰金
6.「法の域外適用・越境移転」に関する主な改正内容
(1)外国事業者に対する監督の拡充
日本国内にある者に係る個人情報等を取り扱う外国事業者が、罰則によって担保された報告徴収、立入検査、命令の対象となります。つまり、日本に支店や日本法人を置く外国事業者も個人情報保護法やこれに基づく政令、個人情報保護委員会規則、及びガイドラインに従った適切な対応を行う必要があります。
(2)海外移転の際に本人への情報提供の充実等
個人情報取扱事業者は海外の第三者に個人データを提供する際に、移転先事業者における個人情報の取扱いに関する本人への情報提供の充実等が求められます。本人同意を取得して個人データを提供する場合は、提供先となる対象国の個人情報保護制度や提供先が講じる措置等、参考となる情報の提供を行うことになります。
改正個人情報保護法への対応に向けて
今回の改正で追加、変更された要件についてはまだ抽象的で不明確な表現が多く、今後公布される政令や、個人情報保護委員会で検討されるガイドライン等によってより明確化、具体化されていくことが予想されます。個人情報取扱事業者においては、改正法が施行されるまでに準備を行うことになりますが、具体的な対応内容が例示されるガイドラインの公表まで待っていると準備期間が足りなくなる可能性があります。まず、取得しているすべての個人データを棚卸の上、取得から削除までのライフサイクルを確認する必要があります。この時点で不明確な状況がある場合は、すなわち改善ポイントとして検討作業が必要です。その後、関連する現状の業務プロセス、社内規程、情報システム等をピックアップし、内容を精査して変更すべきポイントの検証を進めておくことが必要です。特に短期保存データは全社で把握しておらず、部門任せになっている可能性もあるので注意しなければなりません。また、企業や組織等で進められているDX(デジタルトランスフォーメーション)やテレワーク等の動きとも連携して対応を進めていく必要があります。その意味では、個人情報保護法対応に向けた単独の活動ではなく、社内の様々な活動を統括して進めていく必要があるでしょう。
個人情報を取り巻く環境は個人情報取扱事業者にとって負担が増え、管理等も厳しくなる方向に向かっていきます。企業や組織はこれまでの「個人データを守る」というセキュリティ面からの発想からステップアップし、「顧客のプライバシーの尊重」に向けて取り組んでいく必要があります。また、クライアントの担当者と話をしていると、
「自社で獲得した個人情報は自社の資産である」
「少なくとも自社内で利活用する分には問題ないだろう」
と考えている方が時々見られます。また、
「何かで使えるかもしれない」から「取得しよう/保存しておこう」
と考ている方も散見されます。
しかし、獲得した個人情報はあくまでもその個人が所有するものであり、個人情報取扱事業者は許諾の上でお預かりしている、というのがより正しい姿ではないでしょうか。そう考えれば、お預かりした個人情報をぞんざいな扱いをすることはできないのでは、と考えます。法律上問題ないという形式的な対応から、実質的に顧客のプライバシーを守っていくという積極的な姿勢や行動に変わることが重要になると考えます。
参考:
個人情報保護委員会「令和2年 改正個人情報保護法について」
上記内容に関するご相談やお問い合わせについては、「お問い合せ」のページからご連絡ください。
デルタエッジコンサルタントでは、個人情報保護法に対応するため、
・規程、手順書等の作成や見直し
・情報セキュリティを含む安全管理措置の策定や見直し
・現行法から改正法への移行に対応するための支援(業務プロセス+情報システム)
等のコンサルティングサービスを提供しております。
また、
・現状と何が足りないのかを把握するための簡易診断
・従業員等に対する研修やトレーニング
のサービスも提供しております。
詳細は、こちらのページをご確認ください。
==>「個人情報保護対策支援サービス」
興味や関心がございましたら、ぜひご連絡ください。