個人情報保護法の令和2年改正要旨(弁護士:中川 正一)

この記事を執筆した弁護士
弁護士 中川 正一

中川 正一
(なかがわ まさかず)

一新総合法律事務所
理事/新発田事務所長/弁護士

出身地:新潟県新潟市
出身大学:電気通信大学大学院情報工学専攻(中退)

新潟県弁護士会副会長(平成26年度)、現在は新発田市情報公開・個人情報保護審査会委員、新発田市行政不服審査委員などを歴任しています。取扱分野は、企業法務をはじめ、離婚、相続、交通事故など。その他、幅広い分野に精通しています。
特に相続・成年後見・家族信託等をテーマとしたセミナー講師を務めた実績が多数あります。

改正個人情報保護法は、令和4年4月1日(一部は先行して施行)に施行されています。

同法は定義が分からないと何を言っているか分からないので、基本概念を整理しました。

基本概念

1.「 個人情報取扱事業者」とは

「個人情報取扱事業者」とは、法人に限定されるものではなく、個人や同窓会などの非営利組織が含まれる概念です。

つまり、個人情報データベース等を事業の用に供する者は、誰でも同法の規制対象となります。

2.「 個人情報」、「個人データ」とは

「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるものをいいます。

また、DNA 情報やパスポート番号などの個人識別符号も個人情報に該当します。

「個人データ」とは、個人情報をデータベース化して、特定の個人情報を検索できるように体系的に構成された個人情報をいいます。 個人データは、個人情報の保管や提供に関する規制対象になります。

3.「 オプトアウト」とは

個人情報取扱事業者は、個人データを第三者に提供する場合、原則として、あらかじめ本人の同意を得る必要があります。

ただし、「第三者に提供される個人データについて、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、(特定事項)について、個人情報保護委員会規則で定めるところにより、あらかじめ本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出たとき」は、あらかじめ本人の同意を得る必要がなくなります(オプトアウト)。

ただし、要配慮個人情報(※1)はオプトアウトの適用から除外されています。

改正の要旨

1. オプトアウトによる第三者提供の規制追加

⑴ 新たに、適正取得の規定に違反して提供された個人データが、オプトアウトによる提供の対象から除外されました。

例えば、名簿に記載された本人の事前の同意が得られていない場合や、「持出禁止」の名簿が不正に持ち出された場合などは、オプトアウトによる個人データの提供が禁止されることになります。

⑵ 次に、オプトアウトにより取得された個人データについても、オプトアウトによる提供の対象から除外されました。

また、提供を受ける側からみると、オプトアウトにより取得された個人データであることを知り、又は知ることができる場合に当該個人データをオプトアウトにより取得することは、適正取得の規定に違反することになります。

⑶ ⑴⑵の全部又は一部を複製し、又は加工したものについても、オプトアウトにより提供することが禁止されました。

⑷ 以上より、個人データの取得の際に、当該データがどのように取得されたかについて、オプトアウトに関する公表や届出を確認する必要があります。

他方で、今回の改正によっても、オプトアウトにより取得した個人データを自ら活用することや、事前に本人の同意を得て第三者に提供することは禁止されていません。

2. 個人情報の不適正な方法による利用禁止

「個人情報取扱事業者は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない。」という規定が設けられました。

その趣旨は、いわゆる破産者マップ事件などに対処するためであり、「違法」だけでなく「不当」も禁止されているため、利用には高度な慎重さが求められます。

3. 漏えい等発生時における個人情報保護委員会への報告及び本人への通知の義務化

個人情報取扱事業者に対し、その取扱う個人データの漏えい、滅失又は毀損を防止するため、必要かつ適切な安全管理措置を講ずる義務は、従前からありました。

今回の改正では、さらに、一定の個人データの漏えい等の発生時に、個人情報保護委員会への報告、及び本人への通知が義務づけられました。

4. 提供先で個人データとなる個人関連情報の規制

原則として、あらかじめ本人の同意を得ずに、個人データを第三者に提供してはならないのですが、「個人データ」該当性のうち、容易照合性(他の情報と容易に照合することができ、それによる特定個人の識別可能性)について、提供先ではなく、提供元を基準に判断されます。

しかし、提供元においては容易照合性がなかったとしても、提供先においては他の情報と容易に照合することができる場合もあります。

そこで、新法では、提供元では個人データでなくても、提供先で個人データとして取得されることが想定されるときは、原則として、提供先である第三者において本人同意を事前に取得していることなどを確認しなければ提供してはならない、と規制しました。

5. 仮名加工情報の創設

個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元できないようにした「匿名加工情報」であれば、第三者に提供する際には、本人の同意は必要とされません。

しかし、匿名加工情報を作成するためには、相当程度に高度な技術や判断が必要なため、その活用にあたっての大きな障碍となっていました。

他方で、個人情報を扱う際に、安全管理措置の一環として、氏名等の特定の個人を容易に識別できる記述を削除する「仮名化」程度の加工を行うことはよくあり、広く活用されている現状があります。

そこで、「仮名加工情報」(※2)を新たに創設し、一定の行為規制を課されたうえで、利用目的制限が緩和され、開示等の請求等の対象外とされました。 仮名加工情報は、ビッグデータの分析、技術開発の効率化が期待されています。

6. その他

本人からの開示請求等の範囲の拡大や罰則の強化などの改正がされています。

※1「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経緯等本人に対する不当な差別等が生じないよう取扱いに特に配慮する個人情報をいう。
※2「仮名加工情報」とは、他の情報と照合しない限り特定の個人を識別できないように加工して得られる個人に関する情報、をいう。


<初出:顧問先向け情報紙「コモンズ通心」2022年6月5日号(vol.269)>

※掲載時の法令に基づいており、現在の法律やその後の裁判例などで解釈が異なる可能性があります。

/