2020.07.21

個人情報保護法改正(2020年)

のぞみ総合法律事務所
弁護士 鈴木 和生

1.はじめに

 今回は、令和2年6月12日に公布された「個人情報の保護に関する法律等の一部を改正する法律」(以下「改正法」といいます。)につき、解説します。今般の改正は、自身の個人情報に対する意識の高まりや、技術革新を踏まえた保護と利活用のバランス及び越境データの流通増大に伴う新たなリスクへの対応等の観点から実施されたものです。

2.漏えい等が生じた場合の報告及び本人への通知(改正法第22条の2)

 改正法においては、新たに、個人情報取扱事業者が、その取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは、原則として、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を個人情報保護委員会に報告し、本人(個人情報により識別される特定の個人のことを指します(法第2条8項)。以下同様。)に対して通知する必要がある旨が定められました(改正法第22条の2)。
 なお、ここでいう「個人情報保護委員会規則で定めるもの」については現在検討が進められているところですが、一定数以上の漏えいの場合や、要配慮個人情報の漏えいの場合などが想定されています。
 個人情報取扱事業者が上記義務に違反した場合には、個人情報保護委員会から勧告・措置命令等がなされる可能性があり(改正法第42条1項から3項)、措置命令等に違反した場合には、その旨が公表されるだけでなく(同4項)、1年以下の懲役又は100万円以下の罰金に処される可能性があるほか(改正法第83条)、業務に関して当該違反行為をした者が所属する法人は1億円以下の罰金に処される可能性があります(改正法第87条1項1号)。

3.仮名加工情報

 改正法においては、匿名加工情報よりも詳細なデータ分析を簡便な方法で可能にするため、新たに、「仮名加工情報」に関する規定が設けられました。ここで、「仮名加工情報」とは、対象となる個人情報に含まれる記述等の一部又は個人識別符号の全部を削除することにより、他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報のことをいいます(改正法第2条9項)。
 例えば、「2000年1月1日生まれの佐藤太郎(男性)」という情報は、氏名を削除し、または記号に置き換えて、「2000年1月1日生まれのA(男性)」などとすることにより、元の情報などと照合しない限り特定個人を識別することができなくなりますので、仮名加工情報に当たります。
 個人情報取扱事業者は、仮名加工情報を作成又は取得した場合には、安全管理措置を講じる必要があります(改正法第35条の2・1項)。また、仮名加工情報の取得にあたっては通常の個人情報を取得する場合と同様、利用目的を公表する必要があり(同4項、第18条1項)、その利用目的を超えて仮名加工情報を利用することはできず(改正法第35条の2・2項)、本人識別のために他の情報と照合することは禁止されます(同7項)。仮名加工情報を利用する必要がなくなったときは、仮名加工情報のみならず、仮名加工に当たって削除した情報についても遅滞なく消去するよう努める必要があります(同5項)。
 さらに、仮名加工情報は、法令に定める場合を除き、原則として第三者提供が禁止されます(改正法第35条の3・1項)。
 なお、「仮名加工情報」は、他の情報と照合することにより特定の個人を識別することができる点で、特定の個人を識別することができないように個人情報を加工し、当該個人情報を復元できないようにした「匿名加工情報」とは異なります。

4.域外適用及び越境移転

(1)域外適用

 現行法においては、報告徴収及び立入検査等の規定が外国事業者に適用されず、個人情報報保護委員会が外国事業者に対して行使できるのは、強制力のない手段に留まっていました。そのため、不適切な外国事業者の取扱いの実効性を確保するべく、改正法により、国内にある者を本人とする個人情報等を外国において取り扱う事業者が、国内にある者に対する物品等を提供する場合などが、罰則により担保された報告徴収(改正法第85条、第56条)及び命令(改正法第85条、第42条)の対象になりました(改正法第75条)。また、事業者が命令に従わない場合にはその旨を個人情報保護委員会が公表することができ(改正法第42条4項、同2項・3項)、個人情報保護委員会による外国事業者に対する立入検査も可能になりました(改正法第40条1項)。もっとも、実際の立入りにあたっては、当該外国の同意が必要とされることになるため、国際約束の誠実な履行等に留意するよう定められました(改正法第78条の2)。

(2)越境移転

 外国にある第三者に個人情報を提供する場合、当該提供先の国・地域の制度等について何もわからない状態では、当該提供先固有のリスクを予見し、これに対応することができず、個人情報、個人の権利利益が侵害されるおそれがありました。そこで、改正法により、個人情報取扱事業者が、外国にある第三者に対して個人データを提供する場合は、事前に、本人に対して、当該外国における個人情報の保護に関する制度などの当該本人に参考となるべき情報を提供しなければならなくなりました(改正法第24条2項、1項)。また、個人情報取扱事業者は、個人データを外国にある第三者に提供した場合には、当該第三者による相当措置(個人データの取扱いについてこの節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置)の継続的な実施を確保するために必要な措置を講ずるとともに、本人の求めに応じて当該必要な措置に関する情報を当該本人に提供しなければならなくなりました(同3項)。

5.その他

 上記のほか、違反行為に対する制裁としての実効性が不十分であるとの問題意識から、委員会による命令への違反・委員会に対する虚偽報告等が行われた場合の法定刑の引上げがなされました(改正法第83条、第85条、第87条1項。場合によっては法人に対して1億円もの罰金が科されることになります。)。
 また、昨今、個人情報保護法の目的である個人の権利利益の保護に照らして、到底看過できないような方法で個人情報が利用されている事例(破産者マップなど)が一部に見られること等に鑑み、個人情報の不適正な利用が禁止されたこと(改正法第16条の2)等が改正点として挙げられます。
 改正法は、一部の規定を除いて公布後2年以内に施行されることとされ(附則第1条)、個人情報保護委員会規則やガイドラインの制定も予定されているため、引き続き動向に留意する必要があります。

以上

一覧に戻る