はじめに
2020年6月5日の参議院本会議で、個人情報保護法一部改正法案が可決成立しました。
本記事では、改正法案の概要についてまとめていきます。
背景
2015年に改正個人情報保護法が成立してから5年が経ち、個人情報を扱う環境も大きく変化してきました。
このような環境変化に対応していくことを含め、提出された法律案によると、改正法案は以下の理由により作成されたと記されています。
- 個人情報の保護及び有用性の確保
- 個人情報の漏えい等が生じた場合における報告及び本人への通知を義務付け
- 個人情報などの外国における取り扱いに対する個人情報の保護に関する法律の適用範囲を拡大
- 個人情報に含まれる記述などの削除等により他なお情報と照合しない限り特定の個人を識別することができないように加工した仮名加工情報の取扱いの規定を定める
改正項目の概要
- 不適切な利用の禁止
- 漏洩の報告
- 第三者提供制限
- 利用及び提供停止請求
- 仮名加工情報
- 提供先で個人データとなる情報
- 域外適用
- 罰則強化
不適切な利用の禁止
現行法では、取得段階での不正に着目した規制はありますが、利用についての条文はありません。
現行法上も、不適切な個人情報の利用が合った場合には、安全管理措置義務違反などに問われる可能性がありますが、改正で利用目的に着目した明文が入ることにより、より直接的な法令違反を問われやすくなると考えられます。
漏えいの報告義務
現行法では、個人データの漏えいにおける報告義務は努力義務です。ただし改正後は、個人の権利利益を大きく害するおそれが大きいものとして、個人情報保護委員会で定めるものについては、異委員会への報告と本人への通知が義務とされます。
第三者提供制限
オプトアウトにより第三者提供できる個人データから現行法では要配慮個人情報のみが除外されていました。改正法案では、要配慮個人情報に加えて、以下の個人データについて、オプトアウトによる第三者提供ができなくなります。
- 要配慮個人情報
- 不正な手段により取得された個人情報
- 他の事業者がオプトアウトの規定に基づき取得した個人データ
利用及び提供停止請求
2015年の改正により規定されていた、保有個人データの利用停止及び消去、第三者提供の停止請求の要件が緩和されます。
現行法において、利用停止などの請求ができるのは、
- 目的外利用
- 偽りその他不正の手段により個人情報が取得され又は本人の同意なく要配慮個人情報が取得された場合
でしたが、改正により
- 不適切な利用
の場合に、利用停止などの請求ができるようになります。
また、現行法で第三者提供の停止の請求ができる場合は、
- 保有個人データが、現行法23条1第項又は現行法24条の規定に違反して本人の同意なく第三者に提供されているとき
でしたが、改正により
- 保有個人データを事業者が利用する必要がなくなった場合
- 個人データ漏洩にかかる報告義務が生じる場合
- その他、本人の権利又は不正な利益が害されるおそれがある場合
に利用停止など及び第三者提供の停止を請求できるようになります。
これまで漏えい事故などの不祥事発生時には、任意に応じていた例もありました。上記のように、個人データ漏えいにかかる報告義務が生じる場合は、権利行使ができると明記されたことによって、個人データ漏えい時の権利行使の請求は増加することが予想されます。さらに、企業への漏えいにより発生する損失は増すと考えられます。
仮名加工情報
新たに、仮名加工情報という概念が導入されます。仮名加工情報には、個人情報保護の規則の一部が適用されないこととされます。個人情報である仮名加工情報は、個人情報として元々定めていた利用目的の範囲外でも利用することができるとされ、この点は規制緩和がされます。
仮名加工情報については、【法律】仮名加工情報とはで解説していますので、詳細が気になる方は、一読をおすすめします。
提供先で個人データとなる情報
個人関連情報のデータベースを取り扱う事業者は、第三者が個人データとして個人関連情報を取得することが想定される場合、事前に下記事項を確認する義務が発生します。
- 本人の同意を得られていること
- 外国にある第三者への提供にあっては、本人の同意を得ようとする場合において、事前に当該外国における個人情報の保護に関する制度など本人に参考となるべき情報が当該本人に提供されていること
「第三者が個人データとして個人関連情報を取得することが想定されるとき」の要件は、抽象的で不明確であり、ガイドラインなどにより明確化されることが予想されます。また、この規制はクッキー規制と紹介されることもあります。
域外適用
現行法では、罰則による強制力を伴う規定が、海外の事業者には適用されませんでした。そのため、個人情報保護委員会が域外適用の対象となる外国事業者に講師できる権限は、強制力を伴わない範囲にとどまっていました。
改正後は、個人情報保護委員会は、外国の事業者にも罰則による強制力を伴う、報告徴収及び検査並びに命令を行うことができるようになります。
罰則強化
法人重科規定が導入されるため、個人情報保護委員会による命令に違反した場合の法人対する罰金の最高額は1億円となります。
まとめ
- 不適切利用の禁止
- 不祥事の対応の義務化
- 第三者提供の規制強化
- 利用および提供停止請求の条件緩和
- 仮名加工情報によって内部における個人情報の活用についての規制緩和
- 提供先個人情報の規制(クッキー規制)
- 域外における強制力の伴う命令が可能になる
- 罰則が強化される
今後ガイドラインにより具体的な基準が明確化していくと思いますので、個人情報を扱う企業は注目していく必要があるかと思われます。
特に、仮名加工情報による規制緩和は業務に大きな影響を及ぼすのではないかと予想されます。