弁護士が語る!経営者が知っておきたい法律の話(第73回)

個人情報保護法改正の知っておくべきポイント

2020.10.12

クリップについて

 2015年の個人情報保護法改正の全面施行により、2017年5月30日からは、取り扱う個人データの数が5000人分未満の事業者であっても、個人情報保護法の適用対象になっています。取り扱う個人データの数には、従業員データも含まれます。これにより、基本的にはすべての事業者に、個人情報保護法の適用があることになりました。

 現行法において、中小企業で個人情報を取り扱う場合に、特に注意する必要がある基本的なポイントを、まず説明しておきましょう。

 個人情報を取得する場合、個人情報の利用目的を特定し(個人情報保護法15条1項)、通知・公表することが必要とされています(同法18条1項)。個人情報取扱事業者は、通知・公表した利用目的の達成に必要な範囲を超えて、個人情報を取り扱うことはできません(同法16条1項)。

 次に、個人情報取扱事業者は、取り扱う個人データの安全管理のために必要かつ適切な措置を講じなければならないとされています(個人情報保護法20条~22条)。これはすべての事業者に適用されますが、中小規模事業者においては、必ずしも大企業と同等の安全管理措置を講じなければならないわけではないとされています。詳しくは、個人情報保護委員会のガイドライン(通則編)「8(別添)講ずべき安全管理措置の内容」を参照してください。

 そのほか、個人データを第三者に提供する場合には、原則として本人の同意が必要となります(個人情報保護法23条)。さらに、本人から保有個人データの開示などの請求があった場合、原則として開示などの対応を行う必要があります(個人情報保護法27条~34条)。

 現行法における個人情報の取り扱いが適法かを確認するには、個人情報保護委員会の作成した中小企業向け自己点検チェックリストを利用するといいでしょう。

 個人情報保護法付則として、法律の施行後3年ごとに、「新個人情報保護法の施行の状況について検討を加え、必要があると認めるときは、その結果に基づいて所要の措置を講ずるものとする」とされていました。

 それにより、2020年3月に、(1)自身の個人情報に対する意識の高まり、(2)技術革新を踏まえた保護と利活用のバランス、(3)越境データの流通増大に伴う新たなリスクへの対応などの観点から、個人情報の保護に関する法律などの一部を改正する法律(以下「改正法」)が国会に提出され、6月に成立、公布されました。2022年6月までに全面施行される予定です。

2020年の個人情報保護法改正のポイント

 改正法の内容のうち、中小企業経営者が注意すべき点について説明しましょう。詳しい内容については、今後、個人情報保護法施行令、施行規則、ガイドライン、Q&Aなどで明らかにされる予定ですので、それらの内容も注視してください。

 まず、改正の重要なポイントとして「不適正利用の禁止」が挙げられます。違法または不当な行為を助長するなどの不適正な方法により、個人情報を利用してはならない旨が明確化されました(改正法16条の2)。

 具体例としては……以下のケースが挙げられます。

<1>違法行為を営む事業者に個人情報を提供するといったようなケース
<2>裁判所による公告などにより散在的に公開されているけれども差別を誘発される恐れがあるような個人情報について、集約化して、データベース化、インターネット上で公開するようなケース

 すでに、2020年7月下旬、個人情報保護委員会が、破産者の氏名などの個人情報をWebサイトに掲載している事業者に対し、サイトの停止などを命令しました。個人情報保護委員会が命令(個人情報保護法42条2項)を出すのはこれが初めてです。破産者の情報は、誰もが閲覧できる「官報」により公開されていますが、それを集約化し、Webで公開している行為が問題とされたわけです。

 今回の改正では、イノベーションを促進する観点から、個人情報から氏名などを削除した「仮名加工情報」という概念が創設されました。内部分析に利用することを前提に、利用目的の変更を可能とし、漏えいなどの報告や開示・利用停止請求への対応などの義務を緩和することとされました(改正法2条9項、35条の2など)。

 想定される事例としては、[1]当初の利用目的には該当しない目的や、該当するか判断が難しい新たな目的での内部分析、[2]利用目的を達成した個人情報について、将来的に統計分析に利用する可能性があるため、仮名加工情報として加工した上で保管することとされています。仮名加工情報の取り扱いは、あくまで、内部分析などの目的に限定されており、仮名加工情報を第三者に提供することはできません。

 漏えいなどが発生し、個人の権利利益を害する恐れがある場合に、委員会への報告および本人への通知が義務化されました(改正法22条の2)。これまでは、個人情報保護法委員会の告示で定められた努力義務でしたが、個人情報保護法上の義務になります。要配慮個人情報の漏えい、それから不正アクセスによる漏えい、財産的被害に至る恐れのあるデータの漏えいについては、件数に関わりなく報告の対象とされるほか、一定数以上の大規模な漏えいについても報告対象とすることが想定されています。

 提供元では個人データに該当しないものの、提供先において個人データとなることが想定される情報の第三者提供について、本人同意が得られていることなどの確認を義務付けることとされました(改正法26条の2)。ターゲティング広告の利用増加や2019年に報道されたリクナビDMPフォロー事案に起因して導入された規制です。

 第三者提供の場面において、個人情報に該当しない「個人関連情報」にも、個人情報保護法の適用があることになりました。個人データに該当しない、クッキー、端末識別子、位置情報などを、第三者に提供し、または第三者から提供されている場合には、同規制の条件を満たしているかについて、注意をする必要があります。

 従来は、6カ月以内に消去するデータ(短期保存データ)は、保有個人データに含まれないとされていましたが、改正法では、保存期間による除外はなくなりましたから注意が必要です(個人情報保護法2条7項)。

 また、保有個人データの開示方法について、これまでは、原則として、書面の交付による方法とされていましたが、電磁的記録の提供を含め、本人が指示できるようにすることとされました(改正法28条1項)。さらに、開示対象に、第三者提供記録が含まれることが明示されました(同条5項)。

 利用停止・消去といった個人の請求権について、不正取得などの一部の法違反の場合に加えて、当該本人が識別される保有個人データを当該個人情報取扱事業者が利用する必要がなくなった場合、当該本人が識別される保有個人データに係る第22条の2第1項本文に規定する事態が生じた場合、その他個人の権利または正当な利益が害される恐れがある場合にも認められることとされました(改正法30条5項)。個人の権利または正当な利益が害される恐れがある場合の具体例としては、本人の意思に反して頻繁にダイレクトメールが送られてくる場合が挙げられています。

 以上、列挙した改正点の中で、一般的な中小企業に最も大きな影響があるのは、漏えいなどが発生した際の報告義務でしょう。そうしたことにならないように、普段から、個人情報が漏えいしないように、安全確保措置を実施する必要があります。特に要配慮個人情報、財産的被害に至る恐れのあるデータの取り扱いには注意しましょう。

SID : 00016073

執筆=渡邊 涼介

執筆=渡邊 涼介

光和総合法律事務所 弁護士
2007年弁護士登録。総務省総合通信基盤局専門職(2014年~2017年)を経て、現在に至る。主な著作として、『企業における個人情報・プライバシー情報の利活用と管理』(青林書院)、『これ1冊でわかる!仮想通貨をめぐる法律・税務・会計』(ぎょうせい、編著)、『データ利活用とプライバシー・個人情報保護 最新の実務問題に対する解決事例108』(青林書院)がある。

連載記事≪弁護士が語る!経営者が知っておきたい法律の話≫

PAGE TOP

閉じる
会員登録(無料) ここでしか読めないオリジナル記事が満載
閉じる