福岡県弁護士会コラム(会内広報誌「月報」より)
2020年11月号 月報
改正個人情報保護法における実務上留意すべき事項について
月報記事
情報問題対策委員会 委員 古賀 健矢(70期)
1 はじめに
令和2年6月5日、個人情報の保護に関する法律等の一部を改正する法律が国会において可決され、同月12日に公布されました。
今回の個人情報保護法改正において、実務上留意すべき事項について取り上げたいと思います。
2 保有個人データの利用停止、消去、第三者提供の停止の要件緩和
まず、個人情報によって識別される本人が、個人情報を事業の用に供する個人情報取扱事業者に対し、保有個人データ(個人情報取扱事業者が開示、内容の訂正、追加又は削除、利用の停止、 消去及び第三者への提供の停止を行うことのできる権限を有している個人データ)の利用停止、消去及び第三者への提供の停止を請求できる場合が拡大されました。
現行法上は、保有個人データの利用停止・消去を請求できるのは保有個人データの目的外利用、不正の手段による取得がなされた場合、また第三者提供の停止を請求できるのは保有個人データの違法な第三者提供がなされた場合に限定されています(法第30条第1項、第3項)。
改正法では、以上に加え、保有個人データを利用する必要がなくなった場合、保有個人データの漏えい等が生じた場合、その他保有個人データの取扱いにより本人の権利又は正当な利益が害されるおそれがある場合にも、利用停止、消去及び第三者への提供の停止を請求することができるようになりました(新法第30条第5項)。
現行法上は、保有個人データの漏えい等の本人の利益侵害が生じた場合でも利用停止等の請求に応じるかは個人情報取扱事業者側の任意の判断に委ねられていましたが、改正法は本人の権利又は正当な利益が害されるおそれがある場合という広範な要件を採用したことにより、利用停止等の請求は増加されることが予想されます。
3 仮名加工情報の新設
今回の改正で、ビッグデータの利活用のための制度として「仮名加工情報」が創設されました。
仮名加工情報とは、個人情報を他の情報と照合しない限り特定の個人を識別できないように加工した情報をいいます(新法2条第9項)。
前回の平成29年の法改正において「匿名加工情報」(個人情報を特定の個人を識別できないよう加工して復元できないようにしたもの)が創設され(現法第2条第9項)、事業者による情報の利活用が期待されましたが、復元できないようにするという加工要件の厳格性から利用が進んでいませんでした。そこで、匿名加工情報よりも情報利用の自由度は落ちるものの、加工要件を緩和した仮名加工情報が新設されることになりました。
前回の平成29年の法改正において「匿名加工情報」(個人情報を特定の個人を識別できないよう加工して復元できないようにしたもの)が創設され(現法第条2第9項)、事業者による情報の利活用が期待されましたが、復元できないようにするという加工要件の厳格性から利用が進んでいませんでした。そこで、匿名加工情報よりも情報利用の自由度は落ちるものの、加工要件を緩和した仮名加工情報が新設されることになりました。
個人情報でない仮名加工情報には、個人情報に対する規制の多くは及ばないことになります。また、個人情報である仮名加工情報については基本的に個人情報に対する規制が及ぶことになりますが、本人からの開示・訂正・利用停止の請求の対象からは外れる等(新法第35条の2第9項)、個人情報取扱事業者にとって通常の個人情報よりも利用が容易となっています。
また、個人情報の場合、個人情報取扱事業者が個人情報の利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて変更することはできませんが、仮名加工情報は、個人情報に当たる場合でも、利用目的の変更に制限はありません(新法第35条の2第9項は第15条2項を準用していない)。すなわち、仮名加工情報に加工すれば、当初定められていた個人情報の利用目的とは合理的に関連性のない利用目的にも自由に利用することができるようになります。
ただ、仮名加工情報は、個人情報であると否とを問わず、原則として第三者に対する提供が禁止されており(同条第6項、第35条の3第1項)、内部における分析・利活用の促進が主眼に置かれています。この点で第三者提供が可能な匿名加工情報よりも利用できる場合が限定されていると言えます。
例えば、自動車販売店がマーケティングに使用するため、自動車整備工場から顧客データや車両データを買取る場合、自動車整備工場としては第三者提供規制を受けることなくデータを販売するには、データ内の顧客の氏名、性別、年齢、車両の色等の情報を、匿名加工情報に加工する必要があります。この際、氏名は削除、年齢は「20代」とするといった方法により、個人が特定できる状態に復元できないように加工することが必要になってきます。
他方、仮名加工情報に加工する場合、データを第三者に販売することは原則としてできませんが、復元不可能性は要求されませんので氏名を完全に削除するまでの抽象化までは必要なく、特定の個人IDに置き換える方法(IDと氏名が紐付いていれば復元可能)による加工でも要件を満たすのではないかと予想されます(後述のとおり詳細な加工基準は現時点で明らかでない)。加工後のデータは、当初の利用目的に定めていなくとも、分析・研究等に利用することができることになります。
なお、仮名加工情報とするための具体的な加工方法や加工基準については、今後、個人情報保護委員会のガイドライン等で明示されるものと考えられ、実際に利活用が進むかはガイドライン次第となると考えられます。
4 個人関連情報の新設
個人関連情報とは、生存する個人に関する情報であって、個人情報、仮名加工情報、匿名加工情報のいずれにも該当しないものをいい、今回の改正で新設された概念になります。
現行法上は、情報を提供する側の事業者において、生存する個人に関する情報であっても、情報を他の情報と照合しても容易に特定の個人が識別できない場合は、その情報は個人情報には当たらないことになり、第三者提供の規制(原則として本人の同意を要する・法第23条1項)を受けないことになります。
しかし、その情報の提供を受ける側の第三者において他の情報と照合すれば容易に特定の個人が識別できる場合は、その情報は当該第三者にとっては個人情報に当たるにもかかわらず、本人の同意がなくとも情報提供が可能であるというのは、法の趣旨を潜脱するものであり問題とされていました。
実際に、令和元年には、この問題が顕在化した事例が発生しており、個人情報保護員会の勧告も出されています。事例の内容としては、就職情報サイトの運営会社が、サイト利用者(就活生)について、個人情報である氏名の代わりにCookie(ウェブサイトにアクセスしたユーザーの情報)で突合し、特定の個人を識別しないとする方式で内定辞退率を算出して、サイト利用者本人の同意を得ずに、顧客企業に販売したというものです。この事例においては、顧客企業側は、提供されたデータを、保有する他の情報と照合することにより、特定の個人を識別することができる状態にあり、このことを就職情報サイト運営会社も認識しながら提供していたことが問題となり、個人情報保護委員会は、このサービスについて、個人データの第三者提供の同意取得を回避しており、法の趣旨を潜脱した極めて不適切なサービスと評価し、就職情報サイト運営会社に対する勧告を行っています。
このように、インターネット上のユーザーデータの収集・蓄積・統合・分析を行うDMP(Data Management Platform)が利用される場面においては、CookieやIPアドレス(インターネットに接続された機器に割り当てられた番号)等の識別子情報の提供が、識別子情報の主体となる本人の同意を得ることなく行われることが多いのが現状です。DMPは、ターゲティング広告の実施に際するインターネットユーザーの行動分析においても利用されており、現在普及が進んでいるサービスでもあります。
以上のような社会的背景を踏まえ、改正法においては、事業者が個人関連情報を第三者提供する場合には、提供先の第三者が個人関連情報を個人データとして取得することが想定されるときは、当該第三者が個人関連情報を本人が識別される個人データとして取得することを認める旨の本人の同意を得る必要があるとされました(新法第26条の2第1項第1号)。
改正によりCookieやIPアドレス等の識別子情報をはじめとする、他の情報と照合しても特定の個人が識別できない情報についても規制が及ぶようになったことにより、特にDMPが利用される場面での実務への影響は大きいと予想されます。
5 その他の改正点
以上の他、実務上注意すべき改正点としては、これまで努力義務とされていた個人データの漏えい等が生じた場合の個人情報保護委員会への報告、本人への通知が義務化された点(新法第22条の2)が挙げられます。具体的にどのような事案が報告、通知義務の対象となるかについては、個人情報保護委員会規則の制定を待つことになりますが、制度改正大綱では、一定数以上の個人データ漏えい、要配慮個人情報の漏えい等、一定の類型に該当する場合とされています。
その他の改正点としては、6か月以内に消去する個人情報についても開示・利用停止等の請求の対象となった点(新法第2条第7項)、不適正な方法による個人情報の利用禁止の明文化(新法第16条の2)、不正な手段で取得した個人データ及び他の事業者から提供を受けた個人データについて本人の同意ない第三者提供を原則禁止とした点(新法第23条第2項)、外国の第三者への情報提供時の本人への情報提供の充実等(新法24条2項、3項)、電磁的記録の提供による保有個人データの開示請求が可能になった点(新法第28条第1項)、個人データの授受に関する第三者提供記録の開示義務化(新法第28条5項)、認定団体制度の多様化(新法第47条2項)、日本国内の外国事業者に対する規制の無限定化(新法第75条)、罰則の強化(新法第83条から第87条)があります。
運用については今後、個人情報保護委員会のガイドラインにおいて示される部分もあり、注意が必要となります。