はじめに
令和4年(2022年)4月1日に改正個人情報保護法が施行されます。
令和2年(2020年)6月5日に「個人情報の保護に関する法律等の一部を改正する法律」(以下、改正法)が国会で可決、成立し、同年6月12日にとして公布されました。今回の改正は、平成27年(2015年)改正の際に個人情報保護法に設けられた「3年ごと見直し」に関する規定(附則第12条)に基づいたものです。
改正に影響を与えた、もしくは関連した主な出来事として以下のものが挙げられます。
• GDPRの施行(2018年):国際的なプライバシー規制強化に準じた対応
• リクナビ事件(2019年):提供先で個人データとなることが想定される個人関連情報の第三者提供の制限
• 破産者マップ事件(2019年):個人情報の不適切な利用の禁止
個人情報保護委員会(内閣府)において、本人の個人情報に対する意識の高まり、技術革新を踏まえた保護と利活用のバランス、越境データの流通増大にともなう新たなリスクへの対応などの観点から、改正されました。
令和2年(2020年)6月5日に「個人情報の保護に関する法律等の一部を改正する法律」(以下、改正法)が国会で可決、成立し、同年6月12日にとして公布されました。今回の改正は、平成27年(2015年)改正の際に個人情報保護法に設けられた「3年ごと見直し」に関する規定(附則第12条)に基づいたものです。
改正に影響を与えた、もしくは関連した主な出来事として以下のものが挙げられます。
• GDPRの施行(2018年):国際的なプライバシー規制強化に準じた対応
• リクナビ事件(2019年):提供先で個人データとなることが想定される個人関連情報の第三者提供の制限
• 破産者マップ事件(2019年):個人情報の不適切な利用の禁止
個人情報保護委員会(内閣府)において、本人の個人情報に対する意識の高まり、技術革新を踏まえた保護と利活用のバランス、越境データの流通増大にともなう新たなリスクへの対応などの観点から、改正されました。
改正個人情報保護法の全体像
改正の全体像は、大まかに以下の通りです。今回の改正範囲は、非常に幅広く、全体的には個人の権利の保護が強化され、事業者への規制が強化される方向となりました。また、一部、事業者のデータ利活用促進の側面もあります。
① 個人の権利保護が強化され、本人(個人)から事業者への請求可能な事項などが増えた
② 事業者の責務が拡大し、第三者提供に関する規制や公表事項が追加された
③ 個人データの利活用促進のため、仮名加工情報の考え方が創設された
④ 企業の特定分野(部門)を対象とする認定個人情報保護団体も認定可能になった
⑤ 個人情報漏えい時の義務や、事業者の罰則が強化された
⑥ 外国事業者も命令などの対象となり、外国への第三者提供時の規制が強化された
① 個人の権利保護が強化され、本人(個人)から事業者への請求可能な事項などが増えた
② 事業者の責務が拡大し、第三者提供に関する規制や公表事項が追加された
③ 個人データの利活用促進のため、仮名加工情報の考え方が創設された
④ 企業の特定分野(部門)を対象とする認定個人情報保護団体も認定可能になった
⑤ 個人情報漏えい時の義務や、事業者の罰則が強化された
⑥ 外国事業者も命令などの対象となり、外国への第三者提供時の規制が強化された
改正点 個人の権利保護強化について
今回の改正では個人の権利保護が強化され、本人(個人)から事業者に対してさまざまな請求ができるようになりました。これは事業者の対応負担を増加させますが、顧客保護のためにも必要な対応です。
短期保存データも保有個人データとして開示、利用停止等の対象となった。
6カ月以内に消去する予定の個人データも「保有個人データ」に含まれることとなりました。そのため、個人情報取扱事業者が持つ個人情報はすべて開示や利用停止等の請求対象となりました。
※保有個人データとは、個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データのことです。
6カ月以内に消去する予定の個人データも「保有個人データ」に含まれることとなりました。そのため、個人情報取扱事業者が持つ個人情報はすべて開示や利用停止等の請求対象となりました。
※保有個人データとは、個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データのことです。
例
オクト銀行に対し、あるお客様から自身の個人データについてどのような内容が取り扱われているか開示の請求がありました。従来は、6カ月以内に消去する予定の個人データについては、対応が義務ではありませんでしたが、改正後は対応が必要となります。
オクト銀行に対し、あるお客様から自身の個人データについてどのような内容が取り扱われているか開示の請求がありました。従来は、6カ月以内に消去する予定の個人データについては、対応が義務ではありませんでしたが、改正後は対応が必要となります。
保有個人データの開示方法が指定できるようになった。
本人が個人情報取扱事業者に自身の保有個人データの開示請求を行う場合、書面の交付だけでなく、電磁的記録の提供(CD-ROMで郵送、電子メールで送信、Webサイトからダウンロードなど)も含めて開示方法を指定できるようにする必要があります。
本人が個人情報取扱事業者に自身の保有個人データの開示請求を行う場合、書面の交付だけでなく、電磁的記録の提供(CD-ROMで郵送、電子メールで送信、Webサイトからダウンロードなど)も含めて開示方法を指定できるようにする必要があります。
例
オクト証券に対し、あるお客様から自分の個人情報としてどのような情報が取り扱われているかを電子ファイルのやり取りで開示するよう請求がありました。オクト証券では、従来は基本的には書面による交付での対応としていましたが、改正後は電磁的記録の提供による開示も指定可能とする必要があります。
オクト証券に対し、あるお客様から自分の個人情報としてどのような情報が取り扱われているかを電子ファイルのやり取りで開示するよう請求がありました。オクト証券では、従来は基本的には書面による交付での対応としていましたが、改正後は電磁的記録の提供による開示も指定可能とする必要があります。
利用停止等の請求範囲が広がった。
本人から請求があった場合、以下のいずれかに該当する場合においても原則として遅滞なく利用停止等(利用停止、消去、第三者提供の停止)を行わなければならなくなりました。
・利用する必要がなくなった場合
・漏えい等の事案が生じた場合
・本人の権利又は正当な利益が害されるおそれがある場合
本人から請求があった場合、以下のいずれかに該当する場合においても原則として遅滞なく利用停止等(利用停止、消去、第三者提供の停止)を行わなければならなくなりました。
・利用する必要がなくなった場合
・漏えい等の事案が生じた場合
・本人の権利又は正当な利益が害されるおそれがある場合
例
オクト保険では、あるお客様の保険の解約後に本人から自身の個人情報の消去の請求がありました。従来は対応が義務ではありませんでしたが、改正後は基本的には請求に応じる必要があります。
オクト保険では、あるお客様の保険の解約後に本人から自身の個人情報の消去の請求がありました。従来は対応が義務ではありませんでしたが、改正後は基本的には請求に応じる必要があります。
第三者提供の記録を本人が開示請求できるようになった。
本人から開示請求があった場合、自身の個人情報の第三者提供の確認記録(提供年月日、第三者の氏名または名称等)について開示することが必要となりました。
本人から開示請求があった場合、自身の個人情報の第三者提供の確認記録(提供年月日、第三者の氏名または名称等)について開示することが必要となりました。
例
オクト消費者金融では、A社から個人情報の第三者提供を受けていましたが、あるお客様から自身の個人情報の第三者提供の記録(この場合、A社からの提供を受けた年月日、A社の社名)の開示が請求されました。従来は対応が義務ではありませんでしたが、改正後は請求に応じる必要があります。
オクト消費者金融では、A社から個人情報の第三者提供を受けていましたが、あるお客様から自身の個人情報の第三者提供の記録(この場合、A社からの提供を受けた年月日、A社の社名)の開示が請求されました。従来は対応が義務ではありませんでしたが、改正後は請求に応じる必要があります。
改正点 事業者の責務拡大について
今回の改正では、事業者が個人情報を取り扱う上での規制が増えました。特に第三者提供や利用に関する義務や公表事項が追加されました。
個人データとなることが想定される個人関連情報の第三者提供が制限された。
提供元では個人データには該当しないものの、提供先において個人データとなることが想定される個人関連情報を第三者提供する場合は、本人の同意が得られていることなどの確認が義務となります
※個人データとは、検索できるよう体系的に構成した個人情報のことです。
提供元では個人データには該当しないものの、提供先において個人データとなることが想定される個人関連情報を第三者提供する場合は、本人の同意が得られていることなどの確認が義務となります
※個人データとは、検索できるよう体系的に構成した個人情報のことです。
例
オクトPayサービスでは、自社ネット通販サイトの利用者の購買履歴について、B社から氏名など個人を特定可能な情報は削除し個人関連情報にしても良いから第三者提供して欲しいとの依頼を受けました。B社は、さまざまな企業から個人関連情報を収集しているという噂があり、たとえ個人関連情報であってもB社が持つ他の情報と関連付けて個人情報として取り扱われる可能性が考えられます。
そのため、オクトPayサービスでは、B社に対し、個人関連情報を個人情報として取り扱う可能性があるのかどうかと、もしその可能性があれば改めて本人の同意を取得する必要があることを伝えました。
オクトPayサービスでは、自社ネット通販サイトの利用者の購買履歴について、B社から氏名など個人を特定可能な情報は削除し個人関連情報にしても良いから第三者提供して欲しいとの依頼を受けました。B社は、さまざまな企業から個人関連情報を収集しているという噂があり、たとえ個人関連情報であってもB社が持つ他の情報と関連付けて個人情報として取り扱われる可能性が考えられます。
そのため、オクトPayサービスでは、B社に対し、個人関連情報を個人情報として取り扱う可能性があるのかどうかと、もしその可能性があれば改めて本人の同意を取得する必要があることを伝えました。
オプトアウト規定に基づく第三者提供の範囲が小さくなった。
従来に加え、不正取得された個人データや、オプトアウト規定により提供された個人データについても、オプトアウト規定で第三者に提供できなくなりました。
※オプトアウト規定とは、本人の求めがあれば事後的に停止することを前提に、提供する個人データの項目等を公表等し、個人情報保護委員会に届け出たうえで、本人の同意なく個人データを第三者提供できる制度のことです。
従来に加え、不正取得された個人データや、オプトアウト規定により提供された個人データについても、オプトアウト規定で第三者に提供できなくなりました。
※オプトアウト規定とは、本人の求めがあれば事後的に停止することを前提に、提供する個人データの項目等を公表等し、個人情報保護委員会に届け出たうえで、本人の同意なく個人データを第三者提供できる制度のことです。
例
オクトダイレクトマーケティングでは、C社からの第三者提供で取得した個人データについて、オプトアウトにより第三者提供していましたが、ある日、それらが不正取得された個人データだと判明したため、第三者提供を停止する必要があります。
オクトダイレクトマーケティングでは、C社からの第三者提供で取得した個人データについて、オプトアウトにより第三者提供していましたが、ある日、それらが不正取得された個人データだと判明したため、第三者提供を停止する必要があります。
オプトアウトに関する義務が追加になった。
オプトアウト規定による第三者提供を行うため、個人情報取扱事業者は新たに以下の事項についてもあらかじめ本人に通知し、または本人が容易に知り得る状態に置き、個人情報保護委員会に届け出なくてはならなくなりました。
・個人情報取扱事業者の氏名又は名称及び住所並びに法人等の代表者の氏名
・第三者提供される個人データの取得方法
・その他個人の権利利益を保護するために必要なものとして個人情報保護委員会規則で定める事項(個人データの更新方法、第三者提供の開始予定日)
オプトアウト規定による第三者提供を行うため、個人情報取扱事業者は新たに以下の事項についてもあらかじめ本人に通知し、または本人が容易に知り得る状態に置き、個人情報保護委員会に届け出なくてはならなくなりました。
・個人情報取扱事業者の氏名又は名称及び住所並びに法人等の代表者の氏名
・第三者提供される個人データの取得方法
・その他個人の権利利益を保護するために必要なものとして個人情報保護委員会規則で定める事項(個人データの更新方法、第三者提供の開始予定日)
例
オプトダイレクトマーケティングでは、オプトアウト規定による第三者提供を行っているため、自社の名称、住所、代表者の氏名、第三者提供される個人データの取得方法、その他の事項も含めて、改めて個人情報保護委員会に届け出る必要があります。
オプトダイレクトマーケティングでは、オプトアウト規定による第三者提供を行っているため、自社の名称、住所、代表者の氏名、第三者提供される個人データの取得方法、その他の事項も含めて、改めて個人情報保護委員会に届け出る必要があります。
個人情報の不適正な利用を禁止する旨が明記された。
違法又は不当な行為を助長する等の不適正な方法により個人情報を利用してはならない旨が明確に規定されました。また、その具体的な事例が記載されました。
違法又は不当な行為を助長する等の不適正な方法により個人情報を利用してはならない旨が明確に規定されました。また、その具体的な事例が記載されました。
例
D社からオプト消費者金融に、あるお客様の個人情報の第三者提供の依頼がありました。調べたところD社は貸金業登録を行っていない違法行為が疑われる貸金業者の可能性がありました。当該個人情報を提供してしまうと違法な行為を助長するおそれがあり、個人情報保護法違反の可能性もあるため、この対応への是非について法務部門に相談しました。
D社からオプト消費者金融に、あるお客様の個人情報の第三者提供の依頼がありました。調べたところD社は貸金業登録を行っていない違法行為が疑われる貸金業者の可能性がありました。当該個人情報を提供してしまうと違法な行為を助長するおそれがあり、個人情報保護法違反の可能性もあるため、この対応への是非について法務部門に相談しました。
保有個人データに関する公表事項が追加された。
保有個人データに関する公表事項に以下の事項も追加されました。
・個人情報取扱事業者が法人である場合、その代表者の氏名
・安全管理のために講じた措置(ただし、本人の知り得る状態に置くことにより当該保有個人データの安全管理に支障を及ぼすおそれがあるものを除く。)
また、本来の公表事項となっている保有個人データの利用目的についても、本人が予測できる程度に具体的に利用目的を特定しなければならない旨が明確化されました。
保有個人データに関する公表事項に以下の事項も追加されました。
・個人情報取扱事業者が法人である場合、その代表者の氏名
・安全管理のために講じた措置(ただし、本人の知り得る状態に置くことにより当該保有個人データの安全管理に支障を及ぼすおそれがあるものを除く。)
また、本来の公表事項となっている保有個人データの利用目的についても、本人が予測できる程度に具体的に利用目的を特定しなければならない旨が明確化されました。
例
オプト銀行では、会社ホームページ上のプライバシーポリシーに代表者(この場合、オプト銀行の社長)の氏名および安全管理措置の概要を掲載しました。また、保有個人データの利用目的の記述の一部が抽象的であったため、分かりやすく具体的な記述に変更しました。
オプト銀行では、会社ホームページ上のプライバシーポリシーに代表者(この場合、オプト銀行の社長)の氏名および安全管理措置の概要を掲載しました。また、保有個人データの利用目的の記述の一部が抽象的であったため、分かりやすく具体的な記述に変更しました。
共同利用に関する通知事項が追加された。
個人情報の共同利用について、以下の事項についてもあらかじめ本人に通知し、または本人が容易に知りうる情報に置かなければならなくなりました。
・管理責任者の住所
・管理責任者が法人である場合、その代表者の氏名
個人情報の共同利用について、以下の事項についてもあらかじめ本人に通知し、または本人が容易に知りうる情報に置かなければならなくなりました。
・管理責任者の住所
・管理責任者が法人である場合、その代表者の氏名
改正点 仮名加工情報について
仮名加工情報の考え方が創設され、個人情報の利活用の促進が期待されることとなった。
個人情報を仮名加工情報(他の情報と照合しない限り特定の個人を識別することができないよう加工したもの)に加工することで、第三者提供の禁止や安全管理措置の義務など一定の規制のもとで利用目的を変更して利活用することが可能となりました。
個人情報を仮名加工情報(他の情報と照合しない限り特定の個人を識別することができないよう加工したもの)に加工することで、第三者提供の禁止や安全管理措置の義務など一定の規制のもとで利用目的を変更して利活用することが可能となりました。
例
オクトPayサービスでは、顧客の個人データについて氏名の削除や住所を規則性のない他の記述に置き換えるなどの仮名加工を行うことで仮名加工情報を作成し、元々の利用目的を超えてさまざまな用途で活用することにしました。ただし、当該仮名加工情報は、第三者提供は禁止されており、漏えいなどのセキュリティ事故が発生しないよう適切に安全管理措置を講じる必要があります。
オクトPayサービスでは、顧客の個人データについて氏名の削除や住所を規則性のない他の記述に置き換えるなどの仮名加工を行うことで仮名加工情報を作成し、元々の利用目的を超えてさまざまな用途で活用することにしました。ただし、当該仮名加工情報は、第三者提供は禁止されており、漏えいなどのセキュリティ事故が発生しないよう適切に安全管理措置を講じる必要があります。
改正点 部門別の認定個人情報保護団体について
特定分野の認定個人情報保護団体が認定可能になった。
特定の分野を対象として認定個人情報保護団体が認定可能となりました。
※認定個人情報保護団体とは、個人情報取扱事業者についての苦情、情報処理等の業務を行う団体です。
特定の分野を対象として認定個人情報保護団体が認定可能となりました。
※認定個人情報保護団体とは、個人情報取扱事業者についての苦情、情報処理等の業務を行う団体です。
例
オクトPayサービスは、キャッシュレス決済事業を主要事業として営んでおり金融系の認定個人情報保護団体に加入していますが、一部ネット通販事業も営んでいます。従来は会社全体として金融系の認定個人情報保護団体に加入していましたが、改正後はネット通販を専門とした認定個人情報団体が認定された場合は、ネット通販を行う部門のみ当該団体に加入することができます。
オクトPayサービスは、キャッシュレス決済事業を主要事業として営んでおり金融系の認定個人情報保護団体に加入していますが、一部ネット通販事業も営んでいます。従来は会社全体として金融系の認定個人情報保護団体に加入していましたが、改正後はネット通販を専門とした認定個人情報団体が認定された場合は、ネット通販を行う部門のみ当該団体に加入することができます。
まとめ
今回の改正は、その多くは個人情報がデジタル化して利活用されるようになったことで発生した事件や事故をベースとなっており、事業者への規制強化の側面が強いといえます。
ビジネスの現場では、毎年さまざまな技術が登場し技術的には個人情報を利用しやすい環境になってきしたが、それらに起因して個人(本人)の利益を損なう事象が発生しないよう、プライバシーリスクについても常に留意し続ける必要があることは間違いありません。
後編は、事業者の責任および罰則強化、海外との関わり、そして金融分野ガイドラインについて解説します。
ビジネスの現場では、毎年さまざまな技術が登場し技術的には個人情報を利用しやすい環境になってきしたが、それらに起因して個人(本人)の利益を損なう事象が発生しないよう、プライバシーリスクについても常に留意し続ける必要があることは間違いありません。
後編は、事業者の責任および罰則強化、海外との関わり、そして金融分野ガイドラインについて解説します。
<参考>
・個人情報の保護に関する法律等の一部を改正する法律(概要)
・個人情報の保護に関する法律等の一部を改正する法律(令和二年法律第四十四号)
・個人情報の保護に関する法律施行規則(平成二十八年個人情報保護委員会規則第三号)
・改正法の新旧対照表
・令和3年8月2日 個人情報の保護に関する法律についてのガイドライン(通則編)
・個人情報保護に関する法律についてのガイドライン(認定個人情報保護団体編)
・個人情報の保護に関する法律についてのガイドライン新旧対照表
・「令和2年 個人情報の保護に関する法律等の一部を改正する法律」(以下、「改正法」)によるオプトアウト届出制度の改正について Q&A(令和3年6月)
・個人情報の保護に関する法律等の一部を改正する法律(概要)
・個人情報の保護に関する法律等の一部を改正する法律(令和二年法律第四十四号)
・個人情報の保護に関する法律施行規則(平成二十八年個人情報保護委員会規則第三号)
・改正法の新旧対照表
・令和3年8月2日 個人情報の保護に関する法律についてのガイドライン(通則編)
・個人情報保護に関する法律についてのガイドライン(認定個人情報保護団体編)
・個人情報の保護に関する法律についてのガイドライン新旧対照表
・「令和2年 個人情報の保護に関する法律等の一部を改正する法律」(以下、「改正法」)によるオプトアウト届出制度の改正について Q&A(令和3年6月)
後編はこちら!
【この記事を書いた方】
戸田 勝之(トダ カツユキ) さん
NTTデータ先端技術株式会社 セキュリティコンサルティング事業部 担当課長
大手信用調査会社でシステム管理、セキュリティ管理に従事した後、マーケティング会社を経てNTTデータセキュリティ株式会社(のちにNTTデータ先端技術に統合)に入社。
セキュリティコンサルタントとしてリスクアセスメント、セキュリティ監査、ISMS構築、個人情報保護を中心に実施。他にもインシデント対応、脅威インテリジェンスなど多様な案件に従事しており、技術とマネジメントの両面の視点で企業のセキュリティ課題解決の支援を行っている。最近の趣味は登山とお城めぐり。
CISSP、CEH、CISA、情報セキュリティスペシャリスト
JNSA(日本ネットワークセキュリティ協会)インシデント被害調査WGメンバー
(NTTデータ先端技術株式会社)https://www.intellilink.co.jp/home.aspx
戸田 勝之(トダ カツユキ) さん
NTTデータ先端技術株式会社 セキュリティコンサルティング事業部 担当課長
大手信用調査会社でシステム管理、セキュリティ管理に従事した後、マーケティング会社を経てNTTデータセキュリティ株式会社(のちにNTTデータ先端技術に統合)に入社。
セキュリティコンサルタントとしてリスクアセスメント、セキュリティ監査、ISMS構築、個人情報保護を中心に実施。他にもインシデント対応、脅威インテリジェンスなど多様な案件に従事しており、技術とマネジメントの両面の視点で企業のセキュリティ課題解決の支援を行っている。最近の趣味は登山とお城めぐり。
CISSP、CEH、CISA、情報セキュリティスペシャリスト
JNSA(日本ネットワークセキュリティ協会)インシデント被害調査WGメンバー
(NTTデータ先端技術株式会社)https://www.intellilink.co.jp/home.aspx
※本記事の内容は、執筆者および協力いただいた方が所属する会社・団体の意見を代表するものではありません。
※記事中の所属・役職名は取材当時のものです。
※記事中の所属・役職名は取材当時のものです。