2022年4月1日から改正個人情報保護法、いわゆる「令和二年改正法」が施行されました。3年ごとの見直し規定に基づく初の改正であり、多くの民間企業に影響する内容が含まれていることから、年度内のうちに対応に取り組もうと考える企業も少なくないでしょう。
しかし、具体的に何がどう変わり、どのような備えを取るべきかとなると、まだ曖昧な方も多いのではないでしょうか。そこでこの記事では、NRIセキュアが2021年12月に開催したセミナー「DX時代のサービスリスク・データ保護対策セミナー」におけるセッション「改正個人情報保護法に伴う実務対応のポイント」の内容をベースに、押さえておくべき要点をご紹介します。
個人情報保護委員会が示している通り、今回の改正では主に6つの点が概要として挙げられています。中でも民間企業の対応が特に求められるポイントとしては、次の4つが考えられます。
- ・個人の権利の在り方
- ・事業者の守るべき責務の在り方
- ・データ利活用の在り方
- ・法の域外適用・越境移転の在り方
今回は特にこの中から、下記の図にオレンジの囲みで示した「個人の権利利益の保護の強化」「事業者の守るべき責務の在り方」「外国での個人データの取り扱い」の3つについて、順に見ていきたいと思います。
図:令和二年改正法における6つの概要と、民間企業の対応が求められるポイント
※出所:個人情報保護委員会「個人情報保護法 令和2年改正及び令和3年改正案について」を元にNRIセキュア作成
拡がる個人の請求権に、企業はどう対応すべきか
今回の改正では個人の権利の在り方が拡張され、個人の権益利益の保護が強化されました。
まず、個人が事業者に対してデータの利用停止等を求める請求事由が追加されました。改正前でも、データの利用停止や削除、第三者への提供停止などの請求は可能でした。ただ、従来は「事実ではない場合」あるいは「法律に違反する場合」という前提でしたが、改正法では他の請求理由が追加されています。この結果、今後、事業者が個人から受ける請求件数が増加することが予想されます。
追加された請求事由の1つ目は「事業者が個人データを利用する必要がなくなった場合」です。たとえば、展開していたキャンペーンが終了した場合には、事業者としてはそのキャンペーンに関する個人データを利用する必要がなくなったと判断できます。こうした場合に、個人が「自分の応募情報を消してください」といったことを請求できるようになります。
請求事由の2つ目は、「企業で何らかの情報漏洩が発生した場合」です。ランサムウェアや外部からの不正アクセスによる情報漏洩事件がメディアを騒がせていますが、改正法の施行以降は、そうした事態が発生した場合、個人が「私の個人情報を削除してください」と請求できるようになります。
請求事由の3つ目は、「本人の権利または正当な利益が害される恐れがある場合」です。この文面ではややわかりにくいのですが、ガイドラインにはいくつか例が掲載されています。たとえば、個人が事業者に対してダイレクトメールの停止依頼を行ったにもかかわらず、引き続きダイレクトメールが送られてくるといったケースが、個人の権利や正当な利益が害される恐れがある場合に該当します。
このポイントを踏まえ、企業はどう対応すべきでしょうか。
まず、現状で個人からの利用停止・削除請求にどのような対応を行っているか、自社内の対応状況を整理することが第一歩です。その上で、こうした請求があった場合に今後どう対応すべきかを検討、整理し、請求があればすぐに個人データの利用を停止できる状態にしておくべきだと考えます。この整理の中で、必要に応じて体制を変更したり、社内規定やマニュアルを改訂することも必要になってくるでしょう。
デジタルデータによる開示も必要に
改正に伴う個人の利益強化に関して2つ目に押さえておくべきことは、個人からデータの開示を求められた場合、「電磁的記録」、つまりデジタルデータでの開示を要求される可能性があることです。
改正前は、個人データの開示は原則として書面で行われていました。これに対し改正法では、書面またはデジタルデータかのどちらの開示方法にするのかを個人が選択できるようになっています。具体的には、CD-ROMなどの媒体に保存して郵送したり、電子メールに添付して送付したり、あるいは会員専用のWebサイト上でダウンロードできるようにする、といった形式です。
これを踏まえると、まず自社に前述のようなデジタルデータで個人情報を提供する手立てがあるかを整理、確認し、もし手立てがない場合は、技術的・組織的に準備を行う必要があります。
3つ目のポイントは、個人データの第三者提供を行う場合です。改正前でも個人データの第三者提供を行う場合には、第三者の氏名や本人の氏名、提供した個人データの項目、本人の同意といった事項について記録を残す必要がありました。改正法ではそれらを記録するだけでなく、請求に応じて開示することが求められるようになりました。個人データを提供した本人に、自分の情報がいったいどこにどう提供されているのかを見えるようにし、自身の情報のトレーサビリティを確保することが目的です。
改正前では、例えば、第三者との契約書やメールの送受信履歴によって確認記録の作成義務を果しているとみなされていました。しかし改正法は、本人への開示請求に備え、例えば情報の入手元と提供先がわかる「台帳」のようなものを作成するなど、情報のトレースができる形にしていく必要があります。従って、現状でどのように第三者提供の記録を行っているかを整理した上で、本人開示への準備が求められています。
最後のポイントは、短期保存データの扱いについてです。改正前は、6カ月以内に削除する短期保存データ、たとえばプレゼントキャンペーンなど期間限定で保有するデータは、「保有個人データ」の範囲外でした。しかし改正法では期間による区切りはなくなり、短期保存データも、開示・利用停止などの請求に対応しなくてはならなくなりました。
従って、6カ月以内に削除するデータも取り扱っている場合、それらの取り扱い方法を社内で見直すとともに、改正法を踏まえて開示請求などに対応できる体制を整えることが必要です。付随する社内体制や規定類の見直しも必要になるでしょう。
漏洩発生時の報告・本人への通知が、努力規定から義務に変更
改正法では、個人の権利に加え、事業者の守るべき責務の在り方にも大きな変更が加えられました。多くの担当者が関心を持っているのも、この部分ではないでしょうか。
何と言っても大きいのは、情報漏洩が発生し、個人の権利利益を害するおそれが大きい場合に、個人情報保護委員会への報告および個人への通知が義務化されたことです。改正前は報告を務める「通知が望ましい」という形で努力規定となっていましたが、改正法ではそれが義務化されました。
さらに、どのような場合に報告・通知を行わなければならないかも明記されています。具体的には以下の3つの場合が挙げられています。
- ・本人の人種や信条、身分、病歴や犯罪歴といった機微な情報である「要配慮個人情報」が漏洩した場合
- ・不正アクセスによって情報漏洩が発生した場合
- ・クレジットカード情報が漏洩するなどして財産的被害が生じる恐れのある場合
企業は、これらに当てはまるインシデントが起きた場合、件数にかかわらず3〜5日以内に速報を、30日以内に確報を個人情報保護委員会に報告するとともに、本人には状況に応じて速やかに通知を行わなければなりません。また、要配慮個人情報や金銭に関わる情報ではなくても、1000件を超える大規模な情報漏洩が発生した場合も同様に、通知・報告が求められます。
従って今後の対応としては、個人情報保護委員会への報告と本人への通知といったフローを含めたインシデント対応マニュアルを整備し、見直しを行う必要があるでしょう。この中で、社外への報告ルートはもちろん、部署ごとの報告先や報告事項を整理し、社内の報告ルートも確認しておくことが重要です。また、本人への通知方法についても、あらかじめ整理しておく必要があるでしょう。
もう1つ、事業者に課せられる責務として大きいポイントは、違法または不当な行為を助長する等の不適正な方法により個人情報を利用することが禁止されたことです。
改正前は、あらかじめ通知し、本人の同意を得たのであれば、個人情報の利用について特段の規制はありませんでした。しかし改正法では、法令に違反する行為、あるいは社会通年上適正とは認められない行為については明示的に違法とされています。
ただ、この文面だけでは、具体的にどのような場合が違法になるかがわかりづらい部分もあります。改正法では、「違法行為を営む第三者に個人情報を提供すること」のほか、差別が誘発される恐れがあることが十分に予見できるような情報を集約してデータベース化したり、インターネット上で公開したりするケースが例として挙げられています。おそらくこの部分については、今後の実務の積み重ねの中で具体的なケースが明らかになってくるでしょうが、特に「平等であるか」「公平であるか」といった観点が重要となりそうです。
そして事業者は、例えば新しいサービスの開発や既存サービスの機能拡張時に形式的な確認だけではなく、具体的な個人情報の利用において「これは差別的なことを助長する行為ではないか」を問う実質判断が求められてくるでしょう。
「どの国にデータを提供するか」を明記していく必要も
改正法3つ目のポイントは、外国における個人データの取り扱いです。
改正法では、外国の事業者に個人データを委託する等、外国にある第三者に対して個人データを提供する場合、本人へ提供する情報の充実が求められることになりました。
現行法でも、外国の第三者に個人データを提供・委託する際には、本人同意を得る必要がありました。(但し、委託先の国(2022年5月時点はEUやイギリス)や委託先の事業者によっては本人の同意取得が不要となるケースもある為、個別の確認が必要です。)
改正法ではこの同意を得る際に、「どの国に提供するかという外国の名称」「その国における個人情報の保護に関する制度」と、「当該第三者が講じている個人情報保護のための制度・対策」といった情報を本人に伝える必要があります。具体的な国名を添えて、「○○にお客様の情報を移転します」といった具合に明記していく必要があるわけです。
これを踏まえて事業者は、個人データを外国に提供・委託する場合には、国名はもちろん、どのような形で保護されるかを具体的に本人が予測できるよう、プライバシーポリシーに明示していく対応が必要になるでしょう。
「今、どのように個人情報を取り扱っているか」を整理することが改正法対応の第一歩
ここまで主に3つのポイントから、事業者の規制が強化される部分を中心に改正法の要点を紹介してきました。しかし実際には他にも、オプトアウトやデータ利活用、仮名加工情報の新設といったさまざまな内容が改正法には含まれています。
それらを踏まえた対策が求められますが、まずは「自社でどのように個人情報を取り扱っているか」を見える化し、事業ごとの情報の取り扱い方法に合わせ、改正によってどのような対応が必要になるかを整理していくことが第一歩になるでしょう。そして、見える化の作業を通して自社における個人情報保護法の違反のリスクを洗い出し、経営層にも説明を行った上で、社内文書やフローの改訂といった対応を進めていく必要があります。
この改正を機に、個人情報保護法を遵守しつつ、DXに向けたデータ利活用が促進されることが期待されます。
