2020年6月30日
個人情報保護法の改正案が6月5日に国会で可決・成立、6月12日に公布されました。施行時期は2022年前半ごろが想定されます。
実際に施行されるためにはまだ不明点も多く、今後の政令や個人情報保護委員会のガイドラインを待たなければなりませんが、今回は、事業者にとって特に影響が大きいと思われるポイントをご紹介いたします。
※本稿は法律の解釈を示す内容ではなく、大まかな変更のポイントを示すものですのであらかじめご了承ください。
※参考:「個人情報の保護に関する法律等の一部を改正する法律案」の閣議決定について(個人情報保護委員会)
※7月2日追記:「個人関連情報の明示と第三者提供の制限」の項を一部修正いたしました(赤文字部分)
現在の個人情報法では取得後6ヶ月以内に消去する情報については個人データに含まれていませんでしたが、改正後は6ヶ月以内に消去する情報も個人データに含まれることになります。
6ヶ月以内に消去するデータを個人データと区別して対応していた事業者は、対応体制を見直す必要が発生します。
(改正条文第2条 第7項)
消費者の間で、事業者が利用停止等に応じないことに対する不満が強かったことがふまえられています。
現在は消費者の個人情報の利用停止、消去等の請求の権利は目的外利用や不正な取得があった場合に発生しますが、改正後は請求の権利を使うための要件が緩和されます。
どのような場合に消費者の請求の権利が認められるのかどうかの判断は困難と思われるため、事業者としては、すべての使用停止、消去等の請求に対応するという判断が考えられます。
(改正条文第30条)
消費者から個人データの開示請求があった場合、現在は原則として書面での交付とされていますが、改正後は電磁的記録(オンラインでエクセル等を通じての開示)を含めて消費者本人が開示方法を指示できるようになります。
事業者としてはこれまで以上に個人情報の利用記録の徹底が求められるとともに、オンラインでの個人情報の開示ができる体制を準備することが必要となります。
(改正条文第28条)
現在は消費者から見て個人情報の流通経路が不透明なため、消費者から個人情報の取得元の開示の要望が多かったことが踏まえられた改正になります。
改正後は消費者が個人データの第三者提供の授受記録について、開示請求を行うことができるようになります。この授受記録にはオプトアウトによる第三者提供の記録も含まれます。
事業者としては、これまで以上に記録の作成を徹底するとともに開示体制を準備する必要があります。
(改正条文第28条 第5項)
現在では個人情報の漏えいが発生した際に、個人情報保護委員会への報告は義務付けられていません。
改正後は一定数以上の個人データ、一定の類型の漏えいの場合に報告が義務化されます。また、その場合には消費者本人への通知も義務化されます。
報告が義務化される漏えいの件数、類型については今後の規則を確認する必要があります。
(改正条文第22条の二)
改正で新しく追加された項目になります。
現在の個人情報保護法には個人情報を取得する場面での「適切な取得」については義務として規程されていますが、利用する場面においての「適正な利用」については定められていません。
急速なデータ分析技術の向上によって、潜在的に個人の権利や利益を侵害することにつながる個人情報の利用形態が発生するようになっており、そのようなケースを防ぐための改正です。
事業者としては、社内で新しい方法で個人情報を利用する際に利用方法が適正であるかどうかを個人情報保護管理の責任者に確認し、リスクを管理するといった体制を構築する必要が発生するかもしれません。
ただし、具体的にどのような利用方法が不適切となるのかについては改正法では明確に定められておらず、今後公表されるガイドラインでの記載を注視する必要があります。
(改正条文第16条の二)
現在の保護法において、データの利活用を促進するために、個人情報とは異なるものとして「匿名加工情報」が定義されています。
「匿名加工情報」とは特定の個人を識別することができないように個人情報を加工し、個人情報を復元できないようにした情報のことを指します。
しかし、個人情報を適切に匿名加工情報に加工するにはどこまで加工しなければならないのかの判断が困難であったり、加工後にビッグデータとして利活用がしにくくなってしまう場合があるといった声があがっていたようです。
改正法では、この「匿名加工情報」と「個人情報」の間の中間的なものとして「仮名加工情報」が新設されました。
「仮名加工情報」とは「他の情報と照合しない限り特定の個人を識別できないように個人情報を加工して得られた個人に関する情報」です。
匿名加工情報と比べた場合に加工のためのハードルが低くなり、データとしての利活用もしやすくなると考えられます。また、個人情報と比較して消費者からの開示請求や利用停止請求への対応が緩和されています。
一方、匿名加工情報は第三者提供が可能ですが、「仮名加工情報」は自社組織内での利活用を想定したもので、第三者提供は原則禁止となります。
「仮名加工情報」への具体的な加工基準は個人情報保護委員会の規則によって定められることとなっています。加工のためのハードルは低くなるかと思われますが、活用を考えている事業者は規則の公開を待つ必要があります。
(改正条文第35条の二)
改正法では、上述した「仮名加工情報」にも「匿名加工情報」にも「個人情報」にも該当しない生存する個人に関する情報を「個人関連情報」と明記しています。
この「個人関連情報」は、例えば、CookieやIPアドレスなどの識別子情報に紐づいた情報が含まれます。
そして、「個人関連情報」について、第三者提供を行う場合に、提供元では個人データに該当しないものの、提供先において個人データとなることが想定される情報の第三者提供について、本人同意が得られていること等の確認が義務付けられます。
この背景には、2019年に起こった就職活動サイト、リクナビの事件があります。
リクナビは、個人情報には当たらない、識別子情報に紐づいたWEBサイトの閲覧履歴情報等を、第三者である企業に提供し、提供先の企業で個人情報と紐づけてもらうことで学生の内定辞退率予測を企業を提供していました。
このような、本人のあずかり知らない方法での個人情報の収集方法が広がってしまうことが懸念されており、それを防ぐ意図があります。
事業者として対策が必要なケースとしては、DMPを利用した行動ターゲティング広告を実施する場合等が考えられます。
(改正条文第26条の二)
個人情報保護法に違反した場合は、国による注意勧告や命令の対象となり、命令にも違反した場合には、罰則規定により6ヶ月以下の懲役または30万円以下の罰金に処せられることになります。
改正では、法人に対しては命令に違反した場合の罰金が最大 1億円に大幅に引き上げられています。
(改正条文第87条)
以上となります。
詳細については今後の政令や個人情報保護委員会のガイドラインを待たなければなりませんが、まずはポイントとしてご確認ください。
社内に詳しい担当がおらず、対応に苦慮することが想定される場合、当機構が認証付与しております個人情報保護第三者認証制度「TRUSTe(トラストイー)」にてお力添えが可能です。
TRUSTeマークの取得に際して個人情報保護法律、OECDプライバシー8原則に準じて個人情報保護体制を確認いたします。ガイドライン等が公表されたのちに、審査基準も改正個人情報保護法に対応いたしますので、第三者の目から対応が確認可能です。
ご興味をお待ちいただけましたらこちらのお問い合わせフォームよりお気軽にご連絡ください。
※ベンチャー企業の経営者様向けに、7月17日(金)、22日(水)、8月6日(木)にTRUSTeをご紹介するオンラインセミナーも実施いたします。
個人情報に関わる資格制度の運営や社員教育、認証付与など総合的ソリューションを提供し、個人情報保護の推進に貢献してまいります。