2021.11.11
令和2年・令和3年改正個人情報保護法を踏まえた事業者の実務対応 その1
のぞみ総合法律事務所
弁護士 村上 嘉奈子
1 はじめに
令和2年6月12日に公布された令和2年改正個人情報保護法(以下「令和2年改正法」又は「法」といいます。)の全面施行及び令和3年改正個人情報保護法(以下「令和3年改正法」といいます。)の一部施行[i]が令和4年4月1日に迫り,各事業者において同改正法への対応が求められています。
令和2年改正法では,個人の権利利益の保護と個人データの活用の強化,越境データの流通増大に伴う新たなリスクへの対応,AI・ビッグデータ時代への対応等を背景として,各種取扱いについて大きな改正がなされており,事業者においては,同改正法に対応した新たなガイドラインの内容等にも留意しつつ,適切に措置を講じる必要があります。
大きく取扱いの変更が生じると解される改正法のポイントについて,これから数回にわたり解説いたします。
2 保有個人データの範囲拡張及び開示等請求に関する改正について
令和2年改正法においては,保有個人データの範囲及び開示等請求の在り方につき,以下の(1)~(4)に記載するとおりの取扱いの変更が予定されています。
(1)保有個人データの範囲拡張
現行法において,6か月以内に消去することが予定される個人データ(短期保存データ)は「保有個人データ」に含まれないものとされていましたが,令和2年改正法においてはこのような除外要件が撤廃され,事業者が保有する個人データ全てについて個人情報保護法上の「保有個人データ」に該当するものとされます。
これにより,事業者においては,個人データの保存期間にかかわらず,「保有個人データ」について必要とされる法定事項の公表の対応(法第27条第1項《令和3年改正法第32条第1項》)を行うとともに,利用目的通知,開示,訂正・追加・削除,利用停止・消去・第三者提供の停止の各請求に対応する義務が生じます(法第27条第2項・第3項《令和3年改正法第32条第2項・第3項》,法第28条~第34条《令和3年改正法第33条~第39条》)。
(2)電磁的記録の提供の方法による開示への対応の開始
現行法においては,本人から保有個人データの開示請求を受けた場合,書面交付の方法により開示することが前提とされていましたが,令和2年改正法施行後においては
① 電磁的記録の提供による方法
② 書面の交付による方法
③ その他個人情報取扱事業者の定める方法[ii]
のうち本人が請求した方法により開示する必要が生じます(法第28条《令和3年改正法第33条》,規則[iii]第18条の6《令和3年改正規則[iv]第30条》)。
上記①~③のいずれの開示方式によるかについては本人に選択権があり,事業者は原則として本人の請求に従う必要があるものとされますので,留意が必要です。
開示方法として新たに指定された電磁的記録の提供による場合の開示例としては,CD-ROMの交付による方法,電子メールに添付して送信する方法,会員専用サイト等のウェブサイト上で電磁的記録をダウンロードしてもらう方法等が公表されており,事業者においてファイル形式や記録媒体などの具体的な方法を定めて行うものとされます(GL《通則編》[v]124P)。
(3)第三者提供記録についての開示請求への対応
令和2年改正法においては,現行法において開示請求の対象とされていなかった個人データの第三者提供記録につき,新たに本人の開示請求権が認められました(法第28条第5項《令和3年改正法第33条第5項》)。
事業者が第三者提供記録の開示請求を受けた場合は,個人情報保護法所定の記録事項につき,電磁的記録の提供による方法,書面の交付による方法その他個人情報取扱事業者の定める方法のうち本人が求める方法により開示を行うこととなります。
なお,事業者において契約書等の代替手段による方法(GL《第三者提供時の確認・記録義務編》[vi]18~20P)によって第三者提供記録を作成している場合には,記録事項以外の部分をマスキングして開示する方法のほか,記録事項を抜粋して別媒体に記録して開示する方法による旨の対応をとることなどが想定されます(QA[vii]Q9-16参照)
(4)利用停止・消去・第三者提供停止の請求権の拡大
現行法において事業者が利用停止等の義務を負う場合は個人情報不正取得のケースなどの一部の法違反の場合に限定されていましたが,令和2年改正法では,新たに以下の①~④の場合における利用停止,消去,第三者提供停止請求(以下「利用停止等請求」といいます。)が可能となり,利用停止等請求の範囲が拡大されました(法第30条《令和3年改正法第35条》)。
① 事業者が個人データの不適正利用行為に及んだ場合(利用停止・消去請求のみ可能)
個人情報取扱事業者が法第16条の2(令和3年改正法第19条)所定の「不適正利用の禁止」に違反したものとして利用停止又は消去の請求を受けた場合において,これに応じる必要が生じます。
② 事業者が個人データを利用する必要がなくなった場合
例えばダイレクトメールを送付するために個人情報取扱事業者が保有していた情報について,当該個人情報取扱事業者がダイレクトメールの送付を停止した後,本人が個人データの利用停止等を請求した場合,事業者はこれに応じて対応する必要が生じます(GL《通則編》134P参照)。
③ 法第22条の2(令和3年改正法第26条)の要件に該当する重大な漏えい等が発生した場合
個人情報取扱事業者において個人情報保護委員会への報告義務等を負う重大な漏えい等(法第22条の2《令和3年改正法第26条》)が生じたという理由によって利用停止等の請求がなされた場合,事業者はこれに応じて対応する必要が生じます。
④ 本人の権利又は正当な利益が害されるおそれがある場合
例えばダイレクトメールの送付を受けた本人が,送付の停止を求める意思を表示したにもかかわらず,個人情報取扱事業者がダイレクトメールを繰り返し送付していることから本人が利用停止等を請求する場合や,個人情報取扱事業者が安全管理措置を十分に講じておらず,保有個人データの漏えい等のおそれがあるとして本人が利用停止等を請求する場合などにおいて,利用停止等に応じる必要が生じます(GL《通則編》135~137P参照)。
事業者において利用停止等請求を受けた際は,当該請求が法定の要件を満たすかどうか判断し,要件を満たす場合には,本人の権利利益の侵害を防止するために必要な限度で利用停止等の対応を行い,又は,利用停止等が困難な場合は「本人の権利利益を保護するため必要なこれに代わるべき措置」を講ずる必要があります。
(5)開示等請求に関する改正を踏まえた実務対応
上記の改正を踏まえ,事業者においては電磁的記録の提供の方法による開示対応,第三者提供記録についての開示対応,利用停止・消去・第三者提供停止請求への対応の各準備を行う必要があります。
また,各請求等を受けた際の対応手続についてプライバシーポリシーや社内規程等に定めをおく企業においては,これらの変更・整備についても検討が必要となりますので,注意が必要です。
[i] 令和3年5月19日に公布されたデジタル社会の形成を図るための関係法律の整備に関する法律第50条に基づく個人情報保護法改正部分
[ii] 事業者が指定した場所における音声データの視聴,事業者が指定した場所における文書の閲覧等が挙げられています。
[iii] 令和2年改正法施行に伴い改正された個人情報の保護に関する施行規則
[iv] 令和3年改正法施行に伴い改正された個人情報の保護に関する施行規則
[v] 個人情報の保護に関する法律についてのガイドライン(通則編)(令和3年10月一部改正版)
[vi] 個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編)(令和3年10月一部改正版)