【法改正】個人情報保護法改正のおさらい（2022.4～施行）

個人情報保護法は、2003（平成15）年に制定され、その後10年余りが経過する中で生じた個人情報保護を巡る環境変化に対応するため、2015（平成27）年に改正が行われました。

その際に、情報通信技術の進展が著しいこと等を踏まえ、政府としてそうした環境変化に機動的に対応することが要請された結果、いわゆる「3年ごと見直し」に関する規定が設けられ、2020（令和2）年に、1回目となる3年ごとの見直しに基づく改正が行われました。

見直しに当たっての共通の視点として、
①「個人の権利利益を保護」するために必要十分な措置を整備すること
②個人情報や個人に関連する情報を巡る技術革新の成果が、経済成長等と個人の権利利益の保護との両面で行き渡ること
③国際的な制度調和や連携に配意すること
④海外事業者によるサービスの利用や、個人情報を扱うビジネスの国境を越えたサプライチェーンの複雑化等、越境データの流通増大に伴う新たなリスクへ対応すること
⑤AI・ビッグデータ時代へ対応すること
といった５つの視点が示されました。

個人の権利利益の保護
事業者の守るべき責務の在り方
1. 不適正な方法による利用の禁止
2. 漏えい等報告等の義務化
事業者による自主的な取り組みを促す仕組みの在り方
1. 公表事項等の充実
2. 認定個人情報保護団体制度の充実
データ活用の在り方
ペナルティの在り方
1. 法定刑の引き上げ等
法の域外適用・越境移転の在り方
1. 越境移転に係る情報提供の充実
2. 域外適用の強化

個人の権利利益の保護

短期保存データの開示等対象化

これまでは6ヵ月以内に消去するデータについては、開示、利用停止等の対象外でしたが改正後は開示等の対象となります。わずか1日で消去されるものであっても、検索できるように体系的に構成されている「個人情報データベース等」を構成する「保有個人データ」に該当する場合は、開示請求の対象となり得ます。なお、同一の本人からの複雑な対応を要する同一内容についての繰り返し行われる開示請求のように、「業務の適正な実施に著しい支障を及ぼす恐れがある場合」に該当する場合については、開示請求に応じる必要はありません。

保有個人データの開示方法

これまでは書面の交付による方法が原則でしたが、改正後は、電磁的記録の提供を含め、本人が指示できるようになります。本人が請求することができる方法は、①電磁的記録の提供、②書面の交付、③その他事業者の定める方法としています。

このうち、「①電磁的記録の提供」については、CD-ROM等の媒体を郵送する方法、電子メールを送信する方法、ウェブサイト上でダウンロードしてもらう方法など、事業者がファイル形式や記録媒体などの具体的方法を定めることができ、本人がファイル形式等を指定した場合であっても、これに応じる必要はありません。もっとも、できる限り本人の要望に沿って対応することが望ましいと考えられます。

なお、個人情報取扱事業者が当該開示請求に応じるために、大規模なシステム改修を行わなければならず、多額の費用を要する場合など、電磁的記録による開示が困難な場合には、書面の交付による開示が例外的に認められることもあります。

第三者提供記録の開示

2015年改正法により、個人データの流通に係るトレーサビリティ（追跡可能性）の確保を図る観点から、第三者提供記録の作成・保存が義務付けられましたが、第三者提供記録そのものについての開示請求に関する規程は設けられていませんでした。改正後は、個人データの授受に関する第三者提供記録について、本人が開示請求を行えるようになります。

利用停止・消去等の個人の請求権

これまで利用停止や消去等の請求ができるのは、個人情報の不正取得があった場合等一定の個人情報保護法違反の場合に限定されていましたが、改正後は本人の関与を強化する観点からその要件が緩和され利用停止等を請求することができるようになる要件が追加されました。

次の3つの場合についても利用停止等の請求ができることとしています。

利用する必要がなくなった場合

利用目的が達成され、当該目的との関係では当該個人データを保有する合理的な理由が存在しなくなった場合や、利用目的が達成されなかったものの、当該目的の前提となる事業自体が中止となった場合等をいいます。

重大な漏えい等が発生した場合

重大な漏えい等とは、個人情報保護委員会への報告対象となる漏えい等事案が生じた場合であり、財産的被害の恐れがある漏えい等や不正アクセスによる漏えい等が生じた場合などが該当します。

本人の権利又は正当な利益が害されるおそれがある場合

法目的に照らして保護に値する正当な利益が存在し、それが侵害されるおそれがある場合をいいます。

オプトアウト規定により第三者に提供できる個人データの限定

オプトアウト規定とは一定の手続をとることで、本人の同意を得ることなく第三者に提供することを例外的に認める規定いいます。これまでは、オプトアウト規定により要配慮個人情報を提供することが禁止されていましたが、改正後は不正取得された個人データやオプトアウト規定によって取得されたデータをオプトアウト規定によって提供することも禁止されることとなりました。

事業者の守るべき責務の在り方

不適正な方法による利用の禁止

これまで、個人情報保護法の規定に違反しているとまでは言えなくとも、同法の目的である個人の権利利益の保護の観点から、看過できない方法で個人情報が利用されるケースがみられたことから、改正法には、個人情報取扱事業者が違法又は不当な行為を助長し又は誘発するおそれがある方法により個人情報を利用してはならない旨の規定が追加されることとなりました。

「不適正利用」に該当する事例としては、例えば違法な行為を助長するおそれが想定されるにもかかわらず、違法な行為を営むことが疑われる事業者に対して、個人情報を提供することや裁判所による公告等により散在的に公開されている個人情報について、違法な差別が誘発されるおそれがあることが予見できるにもかかわらずそれを集約してデータベース化しインターネット上で公開すること等があります。

漏えい等報告等の義務化

これまで、漏えい等が発生した際の報告については義務付けられておらず、告示による努力義務でしたが、改正後は漏えい等が発生し個人の権利利益を害するおそれが大きい場合に、個人情報保護委員会への報告及び本人への通知が義務化されることとなりました。

漏えい等報告の義務化の対象となる事案については、
①要配慮個人情報の漏えい等
②財産的被害のおそれがある漏えい等
③不正の目的によるおそれがある漏えい等
④1,000件を超える漏えい等

の４つの事案が該当し、漏えい等の「おそれ」がある事案も報告の対象となります。

漏えい等報告については、「速報」と「確報」の２段階でそれまでに調査、判明した内容を個人情報保護委員会に報告する必要があります。

「速報」については、事業者が当該事態を知った時点から概ね3日～5日以内に、「確報」については30日以内に提出しなければなりません。義務化の対象となる事案の中で、不正アクセスによる漏えい等不正の目的によるおそれがある漏えい等の場合には60日以内に「確報」を提出する必要があります。なお、速報の時点で全ての事項を報告できる場合には、１回の報告で速報と確報を兼ねることが可能です。また、漏えい等報告が義務化されている事案については本人への通知を行わなければなりません。

事業者による自主的な取り組みを促す仕組みの在り方

公表事項等の充実

これまで、個人情報取扱事業者は事業者の名称や利用目的等の一定の事項を公表することとされていましたが、どのような安全管理措置が講じられているかについて本人が把握できるようにする観点から、法定公表事項として安全管理のために講じた措置が追加されました。また、事業者は本人が合理的に予測できる程度に利用目的を特定しなければならない旨を明確化する必要があります。

例えば、いわゆる「プロファイリング」といった、本人から得た情報から本人に関する行動・関心等の情報を分析する場合、事業者はどのような取扱いが行われているかを本人が予測・想定できる程度に利用目的を特定しなければなりません。

認定個人情報保護団体制度の充実

これまで、認定個人情報保護団体は業務の対象とする対象事業者の全ての分野（部門）を対象としていました。しかしながら、業務実態の多様化やデジタル技術の進展に伴い、民間団体が特定分野における個人データの取扱いに関するルールを策定して運用していくこと等の重要性が増してきていたため、改正後は、個人情報取扱事業者等の特定の分野（部門）を対象とした民間団体も認定できることとされました。このことにより、様々な分野の団体が認定個人情報保護団体となり民間部門による自主的な取組が推進されることが期待されます。

データ活用の在り方

個人関連情報の第三者提供規制

「個人関連情報の第三者提供規制」とは、提供元では個人データに該当しないが提供先において個人データとなることが想定される情報の第三者提供について、本人同意が得られていること等の確認を義務付けることをいいます。近年、個人情報ではないユーザーの属性情報や閲覧履歴等を提供先において他の情報と照合することにより個人情報とされることをあらかじめ知りながら、他の事業者に提供する事業形態が出現しており、今回の改正により本人関与のない個人情報の収集方法が広まることを防止するため、個人データに該当しないものを第三者に提供する場合であっても、提供先で個人データとなることが想定されるときは個人データの第三者提供に準じる規制を課すこととなりました。なお「個人関連情報」とは、「生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないもの」とされており、具体的にはCookie等の端末識別子を通じて収集されたウェブサイトの閲覧履歴や、商品購買履歴・サービス利用履歴、位置情報等が該当します。

提供先における同意取得

本人に対する説明を行い同意を取得する主体は、本人と接点を持ち情報を利用する主体となる提供先の第三者となります。提供先による同意取得に関しては、「誰が」「何を」「どのように」利用するか認識できる状況を確保する必要があります。利用の主体となる提供先が自ら同意を取得する場合、本人は利用の主体を認識することができますが、提供を受ける個人関連情報について、本人が個人関連情報の取扱状況を認識できるようその対象を特定できるようにする必要があります。個人関連情報を個人データとして取得した後の利用目的については、通知又は公表を行う必要がありますが、提供先において同意を取得する際には、同時に当該利用目的についても本人に示すことが望ましいこととされています。同意の取得方法としては様々な方法が考えられますが、例えば本人から同意する旨を示した書面や電子メールを受領する方法、確認欄へのチェックを求める方法等があります。また、ウェブサイト上で同意を取得する場合については、単にウェブサイトに記載するのみでは足りずウェブサイト上のボタンのクリックを求める方法等が考えられます。

提供元における同意取得の代行

提供元が提供先の同意取得を代行する場合、提供元で適切に同意を取得させた上で、かつ「誰が」「何を」「どのように」利用するか本人が認識できる状況を確保する必要があります。提供元が同意取得を代行する場合であっても、提供先が同意取得の主体であることに変わりはなく提供先は提供元で適切に同意を取得させなければなりません。提供元が同意取得を代行する場合、本人は利用の主体を認識することができないことから、提供先を個別に明示する必要があり提供する個人関連情報について、本人が個人関連情報の取扱状況を認識できるようその対象を特定できるようにする必要があります。また、個人関連情報を個人データとして取得した後の利用目的については、提供先において通知又は公表を行う必要があります。

仮名加工情報の創設

イノベーションを促進する観点から、氏名等を削除した「仮名加工情報」を創設し、内部分析に限定すること等を条件に、開示・利用停止請求への対応、漏えい等の発生時の報告等の義務が緩和されることとなりました。ここでいう「仮名加工情報」とは、「他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報」をいいます。

仮名加工情報の加工基準

仮名加工情報の作成方法に関して、最低限の規律として次の措置を講ずることを求めています。

①特定の個人を識別することができる記述等の全部又は一部を削除することで、例えば、氏名等を削除することが挙げられます。
②個人識別符号の全部を削除することで、例えば、パスポート番号やマイナンバー等を削除することが挙げられます。
③不正に利用されることにより、財産的被害が生じるおそれのある記述等を削除することで、例えば、クレジットカード番号等を削除することが挙げられます。

匿名加工情報と仮名加工情報の加工基準の違い

2015年改正法により創設された匿名加工情報は、「特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたもの」をいい、そのため個人情報に含まれる特異な値や詳細な記述については、削除することや数値を丸めること等の特殊な加工が求められます。結果として、匿名加工情報については、データとしての有用性が一定程度減じられることとなりますが、本人の同意なく、第三者に提供することが可能です。

それに対して仮名加工情報は、他の情報と照合しない限り特定の個人を識別することができない程度に加工された情報であり、原則として、個人情報に含まれる特異な値を削除することや数値を丸めることまでを求めるものではありません。

したがって、仮名加工情報については、比較的簡便な方法での加工により、データとしての有用性を相当程度保ちつつ、事業者内部での分析等に利用することができます。

匿名加工情報と仮名加工情報の定義・義務の違い

仮名加工情報の取扱いに係る義務については、次のとおりです。

①仮名加工情報を作成するときには、規則で定める基準に沿って加工しなければならなりません。
②仮名加工情報を作成したとき又は仮名加工情報及び当該仮名加工情報に係る削除情報等を取得したときは、規則で定める基準に従い、削除情報等の安全管理のための措置を講じなければならなりません。③仮名加工情報を元の個人情報の利用目的と異なる新たな目的で利用するときには、変更後の利用目的をできる限り特定した上で、公表しなければならず、また、その利用目的の範囲で仮名加工情報を取り扱わなければならなりません。
④仮名加工情報は、原則として、第三者に提供してはいけません。ただし、委託や共同利用等の場合には、第三者への提供に該当しません。
⑤本人を識別するために、仮名加工情報を他の情報と照合してはいけません。
⑥本人に連絡等を行うために、仮名加工情報に含まれる連絡先その他の情報を利用してはいけません。

仮名加工情報のメリット・利活用の例

仮名加工情報については、開示・利用停止等の請求の対象となりません。仮名加工情報とすることで、当初の利用目的としては特定されていなかった新たな目的での分析が可能となります。例えば、医療・製薬分野等における研究等での利用が期待されています。

ペナルティの在り方

法定刑の引き上げ等

法改正により、委員会による命令違反や委員会に対する虚偽報告等の法定刑が引き上げられます。命令違反等の罰金について、法人と個人の資力格差等を勘案して、法人に対しては行為者よりも罰金刑の最高額が引き上げられました。

法の域外適用・越境移転の在り方

越境移転に係る情報提供の充実

個人データの越境移転に係るリスクの変化に対応するため、改正法では個人情報取扱事業者が外国にある第三者に個人データを提供する際に本人の同意を得ようとするときには、当該第三者が所在する外国の個人情報の保護に関する制度や当該第三者が講ずる個人情報の保護に関する措置等について、本人に対して情報提供をする必要があることとしています。

域外適用の強化

これまでは、日本国内にある者に係る個人情報等を取り扱う外国事業者に対し、指導・勧告といった強制力のない権限に限定されていましたが、法改正により罰則によって担保された報告徴収・命令の対象となりました。外国にある事業者が国内にある者に対する物品又は役務の提供に関連して、国内にある者を本人とする個人情報等を、外国において取り扱う場合には、域外適用の対象となります。なお、域外適用の対象となる場合は外国にある事業者が個人情報等を本人から直接取得して取り扱う場合に限られず、本人以外の第三者から提供を受けて取り扱う場合も含まれます。

域外適用の対象となる場合の具体例としては、外国のインターネット通信販売事業者が日本の消費者に対する商品の販売・配送に関連して日本の消費者の個人情報を取り扱う場合や、外国のホテル事業者が日本の消費者に対する現地の観光地やイベント等に関する情報の配信等のサービスの提供に関連して、日本にある旅行会社等から提供を受けた日本の消費者の個人情報を取り扱う場合等があります。