会社法,商取引法,M&A・事業承継,倒産・再生,IT・知財,労働法,公益通報・コンプライアンス等について,企業法務を取り扱う弁護士が豊富な実務経験に基づき解説しています。
> 2015/09/14 知的財産
ビッグデータの利活用を視野に入れた個人情報保護法改正
Q ビッグデータの利活用の観点から,個人情報保護法が改正されると聞きました。改正の概要を教えて下さい。
A 個人情報の定義の明確化,要配慮個人情報のに関する規制,匿名加工情報に関する取扱いの定め,トレーサビリティの確保,個人情報保護委員会の新設,国境を超えた適用等が挙げられます。
1 ビッグデータの利活用の必要性と個人情報保護のあり方
ビッグデータの利活用が企業活動における重要な課題とされる今日,プライバシーに関わる個人の権利利益が不当に侵害されないよう,ビッグデータの利活用を推進するためのルール作りが各国における重要課題となっています。この点,我が国においても,法制度上個人情報として取り扱うべき範囲が曖昧なことから,JR 東日本のSUICAに関するデータ提供事案を初めとして,企業側でもビッグデータの商業利用の推進に躊躇しており,一方,自らの個人データを匿名化して提供される国民の側でも,情報の匿名化の程度,復元可能性等について不安感を募らせるところとなっていました。そこで,この点を明確にしたのが,今回の個人情報保護法改正案です。現在,衆議院での審議中であり,間もなく成立見込です。以下にその重要なポイントを指摘します。
2 個人情報の定義の明確化
(1) 個人情報の定義の明確化
改正法においては,個人情報は,生存する個人に関する情報であって,次の各号のいずれかに該当するものをいうものとされます(改正法2条1項)。すなわち,
① 生存する個人に関する情報であって,当該情報に含まれる氏名,生年月日その他の記述等(文書,図面若しくは電磁的記録に記載され,若しくは記録され,又は音声,動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ,それにより特定の個人を識別することができることとなるものを含む。)
② 個人識別符号が含まれるもの
ここで,個人識別符号とは,次の各号のいずれかに該当する文字,番号,記号その他の符号のうち,政令で定めるものをいうものとされます(同条2項)。
① 特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字,番号,記号その他の符号であって,当該特定の個人を識別することができるもの
② 個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ,又は個人に発行されるカードその他の書類に記載され,若しくは電磁的方式により記録された文字,番号,記号その他の符号であって,その利用者若しくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ,又は記載され,若しくは記録されることにより,特定の利用者若しくは購入者又は発行を受ける者を識別することができるもの
(2) 要配慮個人情報の定義と新たな規制
改正法2条3項は,「本人の人種,信条,社会的身分,病歴,犯罪の経歴,犯罪により害を被った事実その他本人に対する不当な差別,偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報」をもって要配慮個人情報と定義しています。
その上で,法令に基づく場合,又は人の生命,身体,財産の保護に必要な場合,公衆衛生の向上等のため特に必要な場合,若しくは国の機関等の事務に協力すべき場合で本人の同意が得られない場合の他,本人,国の機関,地方公共団体等,その他個人情報保護委員会規則で定める者により公開されている場合等の例外を除いては,あらかじめ本人の同意を得ないで,要配慮個人情報を取得してはならないものとされます(同法17条2項)。
また,オプトインが原則である第三者提供の例外として,オプトアウトを認める法23条2項により提供可能な個人データからは,定義上要配慮個人情報が除外されており,オプトアウトに依拠する名簿屋での第三者提供は一切許されません。
3 適切な規律の下での個人情報等の有用性確保
(1) 匿名加工情報に関する加工方法,取扱い等の規定の整備
改正法では個人情報を匿名化して利活用を進めるため,その加工方法や取扱いが整備されました。
すなわち,まず匿名化された情報の定義として,「匿名加工情報」とは,次の各号に掲げる個人情報の区分に応じて,当該各号に定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって,当該個人情報を復元することができないようにしたものをいうものとされます(改正法2条9項)。
① 法2条1項1号に該当する個人情報
当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含みます。)
② 法2条1項2号に該当する個人情報(個人識別符号)
当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含みます。)
そして,個人情報取扱事業者が匿名加工情報データベース等を構成する匿名加工情報を作成するときは,特定の個人を識別すること及びその作成に用いる個人情報を復元することができないようにするために必要なものとして個人情報保護委員会規則で定める基準に従い,当該個人情報を加工しなければならないものとして(改正法36条1項),匿名加工の際の個人識別性及び復元性排除の基準を定めています。
さらに,匿名加工情報を作成した個人情報取扱事業者は,その作成に用いた個人情報から削除した記述等及び個人識別符号並びに前号の規定により行った加工の方法に関する情報の漏えいを防止するために必要なものとして個人情報保護委員会規則で定める基準に従い,これらの情報の安全管理のための措置を講じなければならないものとされます(同条2項)。
この他,当該個人情報取扱事業者は,個人情報保護委員会規則で定める公表義務等が課せられる他(同条3項,4項),当該個人情報取扱事業者が個人を識別するために,当該匿名加工情報を他の情報と照合してはならないものとされます(同条5項)。
(2) 個人情報保護指針の作成,届出,公表等の規定の整備
従前より対象事業者の個人情報の適正な取扱いのために認定個人情報保護団体による個人情報保護指針の作成,公表の努力義務が定められていましたが,改正法ではその対象を事業者の個人情報及び匿名加工情報に拡大すると共に,対象事業者に対する一定の措置を同団体の義務としました(改正法53条1項ないし4項)。
4 個人情報保護の強化
(1) トレーサビリティの確保
オプトアウトの機会を実効化するためには,自らの個人データの第三者提供のルートを事後的に辿るためのトレーサビリティの保障が必要となります。このことは,個人情報の不正取得,漏えいの状況を明らかにするためにも必要であり,同時にこれらに対する抑止力としても機能することが期待されます。
そこで,個人情報取扱事業者は,個人データを第三者(法2条5項各号に掲げる者(行政機関等)を除くものとされ,これらに提供した場合は作成義務は課されません。)に提供したときは,個人情報保護委員会規則で定めるところにより,当該個人データを提供した年月日,当該第三者の氏名又は名称その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければならないものとされます(改正法25条1項)。
ここで,法23条1項各号又は5項各号の場合は除外されていますが,外国にある第三者への提供の場合は同1項各号のみが除外されていることから,同等性認定を受けていない外国にあるクラウド事業者に個人データを提供して管理させる行為が同法上の委託と見られる場合,事業者には上記記録作成義務が課せられることになります。
また,個人情報取扱事業者が,第三者から個人データの提供を受けるに際しては,個人情報保護委員会規則の定めるところにより,
① 当該第三者の氏名又は名称及び住所,並びに法人の場合は代表者の氏名
② 当該第三者による当該個人データの取得経緯
を確認した上,当該データ提供の年月日,確認にかかる事項等に関する記録を作成し,同規則で定める期間保存しなければなりません(改正法26条1項,3項,4項)。当該第三者は上記確認に対する虚偽告知が禁止されています(同条2項)。
(2) データベース提供罪の新設
個人情報の漏えい行為を直接処罰の対象として個人情報保護を強化し,不正行為への抑止力を高める趣旨で,法83条が新設されました。ここでは,個人情報データベース等を取り扱う事務に従事する者又は従事していた者が,不正な利益を図る目的でそれを提供又は盗用する行為が処罰されます。罰則としては,1年以下の懲役又は50万円以下の罰金に処せられます。
5 個人情報保護委員会の新設及びその権限
本法制定時点で既に,個人情報取扱事業者に対する監督を適正かつ実効的な規制の実現という観点から,特定の省庁から独立した統一的な第三者機関の権限に委ねるべきとの意見がありました。この点,いわゆるマイナンバー法制定に当たり,特定個人情報の機微性,不正なデータマッチングによる重大なプライバシー侵害の危険等に照らして,独立した第三者機関として特定個人情報保護委員会が設立され,運用が開始されています。
そこで,この度本法改正に当たり,内閣府設置法49条3項により内閣府の外局として,特定個人情報保護委員会を改組して個人情報保護委員会を設立し(改正法59条),現行の主務大臣の有する権限を集約すると共に,立入検査の権限等を追加して(同法40条1項),個人情報取扱事業者等に対する,より適正かつ実効的な規制が図られることになりました。
6 個人情報の取扱いのグローバル化
(1) 国境を越えた適用と外国執行当局への情報提供
個人情報を利用するビジネスのグローバル化に対応して,個人の権利利益の適正な保護と利活用の調和を実現するために,改正法は,日本国内の個人情報を事業上取得した外国の個人情報取扱事業者に対しても個人情報保護法を原則適用することとしました。すなわち,この場合,改正法15条,16条,18条(2項を除く),19条から25条まで,27条から36条まで,41条,42条1項,43条及び76条の規定が適用されます(同法75条)。
(2) 外国にある第三者への個人データの提供に関する規定の整備
提供先第三者が外国の事業者の場合にも従前より法23条が適用されていますが,国内事業者の場合に比して自己情報のコントロールがより難しいことが想定されるため,改正法は企業活動のグローバル化を踏まえつつも本人の権利利益保護の観点に照らして,同条にはよらずに,原則として本人の同意を要求することとしました(改正法24条)。
ただし,次の場合には法24条は適用されないものとされています(同条)。
① 提供先の外国が,個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるものである場合。
② 提供先の第三者が,個人データの取扱いについてこの節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者である場合。
7 その他の改正事項
(1) 個人情報取扱事業者の除外規定の削除
6月以内に取り扱う個人情報の件数が5000件を超えない事業者は,法2条5項によって個人情報取扱事業者から除外されていますが,これでは個人情報保護が十分ではなく,EUからの十分性認定を受けられない一因ともなっているとの指摘もあることから,改正法では同項が削除されました。
(2) 利用目的を変更可能とする規定の整備
事業者側において機動的な目的変更を可能にするために「相当の」という限定文言を削除することとなりました(改正法15条2項)。変更可能な範囲は,本人が通常予期し得る限度内と立法者に解されています。
(3) 利用の必要性がなくなった場合の個人データ消去義務
従前より,個人情報取扱事業者が利用する必要性のなくなった個人データを取り扱うことは,利用目的達成に必要な範囲を超えており目的外利用であるとの指摘がありましたが,改正法では,係る場合には事業者は,当該個人データを遅滞なく消去するよう努めなければならないものとされ,消去の方向性が示されました(改正法19条)。
(4) オプトアウト規定の厳格化
不正取得した大量の個人データが名簿屋を通じて広範に提供される事案が生じていることから,改正法ではオプトアウトのための要件を厳格化しました(改正法23条2項)。
(5) 保有個人データの開示請求権等と事前請求
改正法は,保有個人データの開示請求等の上記各請求が裁判上請求可能な本人の請求権であることを明示すると共に(改正法28条1項,29条1項,30条1項),訴え提起に当たっては,被告となるべき事業者に対し,あらかじめ裁判外で当該請求を行い,その到達から2週間を経過した後でなければ,訴えを提起できないものとしました(改正法34条1項)。
(6) 苦情処理及びあっせん
改正法においては,個人情報保護委員会の任務として,個人情報及び匿名加工情報の取扱いに関する監督並びに苦情の申出についての必要なあっせん及びその処理を行う事業者への協力に関することが挙げられており(改正法61条2号),同委員会が国民生活センター等と並行して苦情処理等に当たることになります。
弁護士 田島 正広
このコラム執筆者へのご相談をご希望の方は,こちらまでご連絡ください。
※ご連絡の際には,コラムをご覧になられた旨,及び,執筆弁護士名の記載がある場合には弁護士名をお伝えください。
直通電話 03-5215-7354
『企業法務診断室』では、田島・寺西法律事務所所属弁護士が、豊富な実務経験に基づきよくある相談への一般的な回答例を紹介しています。
事案に応じたピンポイントなご回答をご希望の方は、面談での法律相談をご利用ください。
遠隔地の方でもZOOMにて対応しています。