ブログ
2022年4月施行改正個人情報保護法の概要と実務対応
2022.02.16
大幅に改正された個人情報保護法(以下「改正法」又は単に「法」)が2022年4月1日に施行されます。今回の改正法により、個人情報保護規程やプライバシーポリシーの改訂、社内体制の整備など、企業にとって対応すべき事項は多数に上りますので、そのポイントを解説します。なお、個人情報保護法は、個人情報の保有数等にかかわらず、すべての事業者に適用されます。
公表事項の拡充
事業者において自分の個人データがどのように取り扱われているのかを本人が把握できるようにするため、改正法は、個人情報取扱事業者に対して、保有個人データの利用目的や講じている個人データの安全管理措置等について、本人の知り得る状態におく義務を課しています。そのため、事業者としては、プライバシーポリシーを改訂するなどしてこれらの情報をあらかじめ公表しておくか、本人から請求があれば遅滞なく回答できるような体制を整備しておくことが必要となります。例えば、個人データの取扱いに関する体制の整備(例えば、①基本方針の策定、②内部規律の整備等、③組織的安全管理措置(責任者の設置や報告体制の整備、定期的な点検方法等)、④人的安全管理措置(従業員の教育等)、⑤物理的安全管理措置(個人データの管理・取扱区域の管理、盗難防止等)、⑥技術的安全管理措置(アクセス制御、不正アクセスの防止措置等)、⑦外的環境の把握)について公表等をすることになります。
また、事業者が外国で個人データを取り扱っている場合、例えば外国在住でリモート勤務している従業員が個人情報を取り扱う場合や、外国のサーバに個人データを保存しているような場合は、その国の名称や、その国の個人情報保護に関する制度を把握したうえで講じた措置の内容を公表又は問い合わせに応じて遅滞なく開示する必要があります(外的環境の把握)。外国の事業者が提供するクラウドサービスを利用して個人データを取り扱う場合で、当該クラウドサービス事業者が個人データにアクセスできない場合には、「外国にある第三者への提供」には該当しませんが、個人情報取扱事業者は、外的環境の把握として、当該サービス事業者の所在国と当該個人データが保存されるサーバ所在国の名称を明らかにして、当該外国の制度等を把握したうえで講じた措置の内容を本人の知り得る状態に置く必要があります。
さらに、事業者が公表し又は本人に通知すべき個人情報の利用目的についても、行動・関心等の情報分析等、本人が個人データの処理について合理的に予測できないような処理が行われる場合には、本人が予測・想定できる程度に「利用目的」をより具体化すべきことが、ガイドラインにおいて明確化されました。これにより、「最適化された広告を配信するため」といった記載では不十分で、「取得した閲覧履歴や購買履歴等の情報を分析して、趣味・趣向に応じた新商品・サービスに関する広告のために利用します。」といった記載が必要となります。
本人による開示・利用停止等の請求
本人は事業者に対して、その保有する自己の個人データの開示を請求することができますが、改正法により、本人がその開示方法を指示できることになりました。開示方法としては、書面、電磁的記録のほか、事業者において指定する方法も選択肢とすることができますので、事業者としては、プライバシーポリシー等において、対応可能な方法を規定しておくことが考えられます。
現行法上は、6か月以内に消去するデータは対象外でしたが、改正法上はこのような短期保存データも保有個人データとなり、開示等の請求の対象となります。
2017年に施行された改正により、個人データの第三者提供に際して、提供者に記録義務が、受領者に確認・記録義務が課されましたが、今回の改正法により、本人はこの第三者提供記録の開示請求ができるようになりました。今まで、第三者提供記録を十分に整備していなかったり、契約書等の代替手段で対応されたりしていた事業者も多いかと思いますが、今後は、このような開示請求を受けた場合に速やかに提供できるように記録を整備しておくとともに、開示請求を受けた際の対応フローを社内的に準備しておくことが必要となります。
現行法上も、事業者が保有個人データを目的外利用している場合などには、本人は当該データの利用停止又は消去を請求することができますが、改正法により、当該データを利用する必要がなくなった場合、漏えい、滅失、毀損等が生じた場合、その他本人の権利又は正当な利益が害される恐れがある場合にも、利用停止又は消去請求が可能となりました。今後、このような請求が増える可能性がありますので、事業者としては、対応フローや対応の方法、範囲等について検討することが必要となります。
漏えい等が発生した場合の報告・通知
事業者が取り扱う個人データが漏えい、滅失、毀損等した場合、現行法上は、その事実関係及び再発防止策等について個人情報保護委員会等に速やかに報告することが努力義務とされていますが、改正法により、個人の権利利益を害するおそれが大きいものとされる一定の場合に報告及び本人への通知が事業者の義務となります。昨今、不正アクセスやランサムウェア等によるデータ漏えい事案も多発していますが、事業者内のいずれかの部署でこれらの事態の発生に気づいてから速やかに(概ね3から5日以内に)まずは概要を速報し、30日(不正目的による事案は60日)以内に最終報告(確報)をする必要があります。事業者としては、有事の際に速やかに対応できるよう、平時から判断基準等を確認し、対応フローを整備しておくとともに、従業員等にも周知徹底しておくことが求められます。
外国にある第三者への個人データの提供
2017年に施行された改正以降、事業者が外国にある第三者に個人データを提供する場合には、生命・身体・財産の保護その他法令に基づく場合などや、当該第三者の所在国が我が国と同等の水準にあると認められる個人情報保護制度を有している国である場合(現状ではEU/EEAと英国のみ)を除き、①本人の同意を取得するか、②当該第三者が、個人情報取扱事業者が講ずべき措置に相当する措置(すなわち、日本の個人情報保護法を遵守する措置、以下「相当措置」)を継続的に講ずるために必要な体制(適切な契約等の締結、グループ企業内の内規等)を整備している必要がありますが、今回の改正法により事業者の義務が加重されました(注1)。まず、①本人の同意に基づいて提供する場合は、同意取得時に、移転先の国の名称と、その国の個人情報保護制度や当該第三者が講ずる個人情報保護措置に関する情報等を提供する必要があります。これは、本人が自己の情報が移転先の国でどのような保護が受けられるのかを知ったうえで同意するか否かを判断できるようにすることが目的ですが、主要国については、個人情報保護委員会が各国の制度について情報提供してくれています(注2)。
一方、②の場合は、当該第三者による相当措置の継続的な実施を確保するための定期的な確認等の措置を講ずるとともに、相当措置の実施に影響を及ぼすような当該外国制度変更等について確認し、相当措置の実施に支障が生じたときは当該支障を解消するために、当該第三者に是正を求めたり、個人データの提供を停止したりするなどの措置を取る必要があります。また、本人の求めがあった場合は、上記の必要な措置についての情報を当該本人に提供する義務が追加されました。
国内の移転であれば、法令等に基づく場合のみならず、委託・事業承継・共同利用等の場合も第三者提供記録義務は生じませんが、本人の同意に基づく国外移転の場合は、委託・事業承継・共同利用等であっても第三者提供記録義務がありますので、本人から当該記録の開示請求を受ける可能性があります。
外国の事業者が提供するクラウドサービスを利用して個人データを取り扱う場合で、当該クラウドサービス事業者が個人データにアクセスできる場合には、「外国にある第三者への提供」に該当するため、当該外国がEUか英国以外の国である場合は、①本人の同意又は②の体制整備が必要となります。
(注1)なお、国内の第三者に提供する場合には本人の同意が不要とされている委託、事業承継又は共同利用による提供の場合にも、法28条(外国にある第三者への提供の制限)が適用されます。
(注2)外国における個人情報の保護に関する制度等の調査(https://www.ppc.go.jp/personalinfo/legal/kaiseihogohou/#gaikoku)
個人関連情報
改正法により、提供元では個人データに該当しないものの、提供先において個人データとなることが想定される情報の第三者提供について、提供元に対して、本人同意が得られていること等の確認を義務付ける制度が新設されました。個人関連情報とは、生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいい、具体的には、ある個人に関する、①Cookie等により収集されたウェブサイト閲覧履歴、②メールアドレスに結び付いた、個人の年齢・性別・家族構成、③サービス利用履歴、④位置情報、⑤個人の興味・関心を示す情報等の、ある個人に関する情報であるものの特定の個人を識別できないものをいいます。
個人関連情報を第三者に提供する事業者は、提供先が個人関連情報をID等の他の情報と紐づけるなどして、個人データとすることを知っている場合や、一般人の認識を基準に想定できるような場合は、提供先が本人から同意を得ていることを確認したうえで提供する必要があります。また、提供先が外国の第三者の場合は、あらかじめ、当該外国の名称、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置が当該本人に提供されていることも確認するなどの必要があります(注3)。さらに、提供元は、これらの確認についての記録を作成し、一定期間、保存する義務を負います。
一方で、自社において個人関連情報の提供を受けたうえで、個人データとして使用することを予定している事業者は、本人の同意を取得するため、プライバシーポリシーの改訂等をしたうえで、チェックボックス等の同意を取得するための措置が必要となるとともに、確認・記録義務も負います。
(注3)なお、上記第4で述べたのと同様に、①EU/EEAや英国への移転の場合や、②相当措置の継続的実施体制を整備している場合は、この確認は不要です。
仮名加工情報
2017年に施行された改正により、匿名加工情報の制度が新設されましたが、さらなるデータの利活用によりイノベーションを促進する観点から、改正法により、仮名加工情報として当初の利用目的に限定せずに事業者内部で利用できる制度が新設されました。
仮名加工情報とは、個人情報から氏名等を削除し、他の情報と照合しない限り特定の個人を識別することができないように加工された情報をいいます。大雑把に言えば、匿名加工情報は、元の個人情報を復元できないように加工したものをいい、仮名加工情報は、他の情報と照合すれば、特定の個人を識別できる情報をいいます。匿名加工情報は、交通情報や医療情報等のいわゆるビッグデータの利活用を促進するために作られた制度ですが、作成基準が細かく、作成時や第三者への提供時に公表義務が課せられるなど、一般事業者にとっては使いにくい制度でした。仮名加工情報は、事業者内部における分析等に限定して利用するための制度であり、第三者に提供することはできませんが、匿名加工情報に比べて、より緩やかな基準で作成し、利用することができます。
仮名加工情報に加工すれば、個人情報の取得時に特定されていた利用目的と関連性がない利用目的に変更することが可能であり、事業者内部では利活用できるようになりますし、漏えい時の報告義務も課されず、本人からの開示・利用停止等の請求の対象にもなりませんので、そのような内部の利活用により新たなビジネスチャンスが生まれないか、検討されてみてはいかがでしょうか。なお、仮名加工情報は、基本的に個人情報に該当しますが、委託や共同利用等により仮名加工情報の提供を受けた者が、仮名加工情報の加工方法や氏名等の削除した情報(「削除情報等」と総称します。)を保有していない場合などには、個人情報に該当しない場合もあります。個人情報に該当する仮名加工情報を新たな利用目的で利用する場合は、プライバシーポリシー等でその利用目的を公表するなどの一定の義務が課されますし、また、仮名加工情報の取扱いにあたっては、本人を識別する行為の禁止、削除情報等について安全管理措置を講ずる義務等が課されます。
オプトアウト規制の強化
現行法上も、本人からの求めがあれば第三者への提供を停止することを前提に、事前に本人から同意を得ることなく個人データを第三者に提供するオプトアウトを行うには、個人情報保護委員会への届出を要するなど厳しい規制がありますが、改正法によりさらに規制が厳しくなります。現行法上も要配慮個人情報のオプトアウトによる提供は禁止されていますが、改正法は、不正取得された個人データや、オプトアウトの方法により本人の事前同意なく第三者から提供を受けた個人データについてもオプトアウトによる第三者提供を禁止しています。
ペナルティ・域外適用の強化
現行法上も、日本の消費者に商品・サービスを提供する際にその個人情報を取得する外国事業者についても日本の個人情報保護法の適用を受けますが、報告徴収、立入検査及び命令等の規定については適用対象外となっていました。改正法施行後は、これらの規定についても外国事業者に適用され、個人情報保護委員会は外国事業者に対して報告徴収、立入検査、指導、助言等もでき、法違反がある場合は是正措置を命令し、命令違反に対してはその旨を公表することができるようになりました。
罰則の法定刑も引き上げられ、法人については最高1億円の罰金となりました(注4)。
(注4)なお、法定刑の引き上げについては、2020年12月12日に施行されました。
おわりに
今回の改正項目は多岐にわたり、上記の概説だけでは網羅しきれるものではありません。詳細については各ガイドラインを確認するとともに専門家に相談することもご検討ください。また、海外のグループ会社や取引先に協力を求める必要がある事項も多数ありますので、今回の改正についての英文の説明もご活用ください(注5)。
(注5)Overview of Amendment to the Act on the Protection of Personal Information of Japan coming into effect on April 1, 2022(https://www.tmi.gr.jp/eyes/blog/2022/13208.html)
参照法令の条文番号やガイドラインの該当ページ番号を付記したバージョンがご入用な場合はご連絡ください。