EN

NRIセキュア ブログ

改正個人情報保護法の実務対応のポイント|事業者が守るべき2つの責務を解説

目次

    blogtop_個人情報保護

     202065日に可決された個人情報保護法の改正法(令和2年改正法)が20224月より施行となります。既に本施行に向けた準備を進めている企業も多いかと思いますが、本記事では改めて本改正において民間事業者に対応が求められる事項について、ポイントを絞って解説します。

     

     なお、個人情報保護法は2021年にも個人情報保護法、行政機関個人情報保護法、独立行政法人等個人情報保護法を統合したデジタル法(令和3年改正法)が可決されていますが、本改正法は民間企業への大きな影響はないため、本記事では令和2年改正法の内容に絞って解説します。本記事で記載される条文も令和2年改正法における条文となります。

    令和2年改正法の概要

     令和2年改正法の概要は以下のとおりです。

     

    項目

    概要

    1.個人の権利の在り方

    1-1. 利用停止・消去等の請求の拡充

    ・利用停止・消去等の個人の請求権について、不正取得等の一部の法違反の場合に加えて、個人の権利又は正当な利益が害されるおそれがある場合にも要件を緩和。

    1-2.開示の電子化

    ・保有個人データの開示方法について、電磁的記録の提供を含め、本人が指示できるようにする。

    1-3.トレーサビリティの記録の開示

    ・個人データの授受に関する第三者提供記録について、本人が開示請求できるようにする。

    1-4.6ヶ月間の短期保有データの例外の撤廃

    ・6ヶ月以内に消去する短期保存データについて、保有個人データに含めることとし、開示、利用停止等の対象とする。

    1-5.オプトアウトによる第三者提供を受けたデータについて、オプトアウトによる第三者提供を禁止

    ・オプトアウト規定により第三者に提供できる個人データの範囲を限定し、①不正取得された個人データ、②オプトアウト規定により提供された個人データについても対象外とする。

    2.事業者の守るべき責務の在り方

    2-1. 漏えい時の個人情報保護委員会への報告の義務化

    ・漏えい等が発生し、個人の権利利益を害するおそれがある場合に、委員会への報告及び本人への通知を義務化する。

    2-2. 個人情報の不適正な利用の禁止

    ・違法又は不当な行為を助長する等の不適正な方法により個人情報を利用してはならない旨を明確化する。

    3.事業者による自主的な取組を促す仕組みの在り方

    3-1. 認定個人情報保護団体制度の改正

    ・認定団体制度について、現⾏制度に加え、企業の特定分野(部門)を対象とする団体を認定できるようにする。

    4.データ利活用に関する施策の在り方

    4-1. 「仮名加工情報」の創設

    ・イノベーションを促進する観点から、氏名等を削除した「仮名加工情報」を創設し、内部分析に限定する等を条件に、開示・利用停止請求への対応等の義務を緩和する。

    4-2. 個人関係情報について、提供先における同意の取得と、提供元における確認義務

    ・提供元では個人データに該当しないものの、提供先において個人データとなることが想定される情報の第三者提供について、本人同意が得られていること等の確認を義務付ける。

    5. ペナルティの在り方

    5-1. 法定刑の引き上げ

    ・委員会による命令違反・委員会に対する虚偽報告等の法定刑を引き上げる。
    (命令違反:6月以下の懲役又は30万円以下の罰金→ 1年以下の懲役又は100万円以下の罰金
    虚偽報告等:30万円以下の罰金 → 50万円以下の罰金)

    6.法の域外適用・越境移転の在り方

    6-1. 外国事業者に対する報告徴収・命令

    ・日本国内にある者に係る個人情報等を取り扱う外国事業者を、罰則によって担保された報告徴収・命令の対象とする。

    6-2. 外国にある第三者へ個人データを提供する際の本人への情報提供の充実

    ・外国にある第三者への個人データの提供時に、移転先事業者における個人情報の取扱いに関する本人への情報提供の充実等を求める。

    出所:個人情報保護委員会、「個人情報の保護に関する法律等の一部を改正する法律(概要)」を元に作成

     

     なお、本改正に関連して、2021年3月24日には、改正施行令・改正施行規則が、そして、8月2日にはガイドライン及びパブコメ結果が公表されているため、事業者はこれらを踏まえ、来年4月施行に向けた対応が求められています。

     

     本記事では、主に「2.事業者の守るべき責務の在り方」の「2-1. 漏えい時の個人情報保護委員会への報告の義務化」及び「2-2. 個人情報の不適正な利用の禁止」の2点に絞って、事業者に求められる対応について解説します。image02

    漏えい時の個人情報保護委員会への報告の義務化

    背景

     現行の個人情報保護法では、漏えい等が発生しても個人情報保護委員会への報告は法令上の義務ではなかった(ただし、金融分野ガイドラインでは、報告は法的義務とされている)ため、積極的に報告しない事業者も存在しており、監督機関である個人情報保護委員会を始めとする関係団体が適切な対応が行えない恐れがある点が問題視されていました。

     

     個人データの漏えい等が発生した場合、個人情報取扱事業者が漏えい等の拡大や再発を防止するために必要な安全管理措置や個人の権利利益の侵害を防止するために必要な措置を講じるためには、個人情報保護委員会が事実関係を早急に把握することが必要であることから、本改正では漏えい時の個人情報保護委員会への報告が義務付けられました。また、漏えいの対象となった本人についても、その権利利益を保護するための措置を講じることが出来るよう、本人への通知義務も新設されました。

    漏えい報告の対象となる事案

     報告対象となる事案として、以下の漏えい、滅失若しくは毀損(「漏えい等」)が発生し、又は発生した恐れがある事態が挙げられています(規則6条2)。

     

     各事案と想定される事例は以下のとおりです。

    対象となる事案

    想定される事例

    要配慮個人情報が含まれる個人データの漏えい等

    ・病院における患者の診療情報や調剤情報を含む個人データを記録した USB メモリーを紛失した場合

    ・従業員の健康診断等の結果を含む個人データが漏えいした場合

    不正利用により財産的被害が生じるおそれがある個人データの漏えい等

    ・EC サイトからクレジットカード番号を含む個人データが漏えいした場合

    ・送金や決済機能のあるウェブサービスのログイン ID とパスワードの組み合わせを含む個人データが漏えいした場合

    不正の目的をもって行われたおそれがある個人データの漏えい等

    ・不正アクセスにより個人データが漏えいした場合

    ランサムウェア等により個人データが暗号化され、復元できなくなった場合

    ・個人データが記載又は記録された書類・媒体等が盗難された場合

    個人データに係る本人の数が1,000人を超える漏えい等

    ・システムの設定ミス等によりインターネット上で個人データの閲覧が可能な状態となり、当該個人データに係る本人の数が 1,000 人を超える場合

    出所:個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」を元に作成

    報告・本人通知の時期と内容(規則6条の3第1項・第2項)

     個人情報取扱事業者は、速報として、事態を知った後、速やか(概ね3~5日以内)に、事態の概要等について報告することが求められます。また、確報として、事態を知った日から30日以内(不正目的の場合は60日以内)に、報告することが求められます。なお、「事態を知った」時点とは、個人情報取扱事業者のいずれかの部署が当該事態を知った時点が基準となります。

     

     個人情報保護委員会への漏えい等報告時に報告が求められる項目は以下の9項目です(速報時はその時点で把握している内容、確報は全ての事項)。本人への通知内容は、以下9項目のうち、1,2,4,5,9の5項目が対象となります(規則第6条3)。

    1. 概要
    2. 漏えい等が発生し、又は発生したおそれがある個人データの項目
    3. 漏えい等が発生し、又は発生したおそれがある個人データに係る本人の数
    4. 原因
    5. 二次被害又はそのおそれの有無及びその内容
    6. 本人への対応の実施状況
    7. 公表の実施状況
    8. 再発防止のための措置
    9. その他参考となる事項

     

     なお、委託元から個人データの取扱いを受託している場合にデータ漏洩等が発生した場合は、個人情報保護委員会への報告義務を負っている委託元に対して、上記9項目までに掲げている事項のうち、その時点で把握しているものを速やかに(概ね3~5日以内)通知することで、通知義務は免除されます(規則第6条の4)。

    事業者に求められる対応

     個人情報取扱事業者は、対象となる漏えい事案が発生した場合を想定して、報告体制やプロセスを整備しておくことが求められます。

     

     これまでも個人情報保護委員会への報告については、努力義務の元、報告を実施してきた事業者は既に体制やプロセスを構築済みであると想定されますが、本改正では具体的な報告期日(速報として概ね3~5日、確報として30日以内)も明記されていることから、本期日までに報告できるような体制・プロセスとなっているか改めて確認し、必要に応じて見直すことが求められます。

     

     本人通知については、対象者数によっては多大な影響が及ぶ可能性があるため、本人への通知方法や通知内容等も含め改めて検討するとともに、社内規程やプライバシーポリシー等の記載内容についても確認し、必要に応じて修正する必要があります。image01

    個人情報の不適正な利用の禁止

    背景

     昨今の急速なデータ利活用サービスや技術の登場・向上により、潜在的に個人の権利利益の侵害につながる個人情報の利用が増えてきています。現行法の規定に照らして違法ではないとしても、違法又は不当な行為を助長し、又は誘発する恐れのある方法により個人情報を利用するなどの悪質な行為も出てきており、それらへの対応が求められていました。

     

     本改正では、これらを明確に禁止する趣旨のもと、「違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない」という条文が新設されました(第16条2)。

    対象となる行為

     ガイドラインでは、以下の6つの事例が例示されています。

    #

    事例概要

    1

    違法な行為を営むことが疑われる事業者(例:貸金業登録を行っていない貸金業者等)からの突然の接触による本人の平穏な生活を送る権利の侵害等、当該事業者の違法な行為を助長するおそれが想定されるにもかかわらず、当該事業者に当該本人の個人情報を提供する場合

    2

    裁判所による公告等により散在的に公開されている個人情報(例:官報に掲載さ れる破産者情報)を、当該個人情報に係る本人に対する違法な差別が、不特定多数の者によって誘発されるおそれがあることが予見できるにもかかわらず、それを集約してデータベース化し、インターネット上で公開する場合

    3

    暴力団員により行われる暴力的要求行為等の不当な行為や総会屋による不当な要 求を助長し、又は誘発するおそれが予見できるにもかかわらず、事業者間で共有している暴力団員等に該当する人物を本人とする個人情報や、不当要求による被害を防止するために必要な業務を行う各事業者の責任者の名簿等を、みだりに開示し、又は暴力団等に対しその存在を明らかにする場合

    4

    個人情報を提供した場合、提供先において法第 23 条第 1 項に違反する第三者提供がなされることを予見できるにもかかわらず、当該提供先に対して、個人情報を提供する場合

    5

    採用選考を通じて個人情報を取得した事業者が、性別、国籍等の特定の属性のみにより、正当な理由なく本人に対する違法な差別的取扱いを行うために、個人情報を利用する場合

    6

    広告配信を行っている事業者が、第三者から広告配信依頼を受けた商品が違法薬物等の違法な商品であることが予見できるにもかかわらず、当該商品の広告配信の ために、自社で取得した個人情報を利用する場合

    出所:個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」を元に作成

     

     本条項における「おそれ」の有無は、個人情報取扱事業者による個人情報の利用が、違法又は不当な行為を助長又は誘発することについて、社会通念上蓋然性が認められるか否かにより判断されます。この判断に当たっては、個人情報の利用方法等の客観的な事情に加えて、個人情報の利用時点における個人情報取扱事業者の認識及び予見可能性も踏まえる必要があります。

     

     なお、パブリックコメント(No.54等)では、本条項について、個人データの提供先が違法・不当な目的で利用するか否かについての確認義務が提供元に事実上課されるかどうかについての質問が複数挙げられていましたが、本点については、「個人情報の第三者提供の場面において、提供元に対して提供先の利用目的等の確認を求める趣旨ではありません。もっとも、例えば、提供の時点において、提供先が個人情報を違法に利用していることを疑わせる事情があり、提供元が自己の提供した個人情報も違法に利用されることを一般的な注意力をもって予見できるにもかかわらず、個人情報を提供した場合には、提供元の不適正利用に該当する可能性があると考えられますので、この観点から、提供に先立って提供先の利用目的等を確認することは望ましいと考えられます。」との考え方が示されています。image03

    事業者に求められる対応

     個人情報取扱事業者は、個人情報の利用の棚卸しを行い、全社の個人情報の取扱い業務において「不適正な利用」に該当する事例が無いか確認し、必要に応じて見直しを行う必要があります。具体的には、「違法又は不当な行為を助長し、又は誘発するおそれ」があると一般的に見られてしまうような利用がないかという観点で改めて確認することが重要となります。

    まとめ

     本記事では、2022年4月に施行される令和2年改正法のうち、主に事業者の守るべき責務の在り方として新設された「漏えい時の個人情報保護委員会への報告の義務化」と「個人情報の不適正な利用の禁止」の2点について取り上げました。

     

     本記事冒頭に記載したとおり、改正範囲は本2点以外にも多岐にわたるため、公表されている改正施行令・改正施行規則・改正ガイドライン及びそのパブコメ等をもとに、2022年4月の施行に向けて、自社の個人情報の取扱い状況や体制の確認や見直しを行うことが求められます。

     

    NRI Secure Insight 2020