加藤&パートナーズ法律事務所

加藤&パートナーズ法律事務所

法律情報・コラム

法律情報・コラム

個人情報保護法改正

 企業などの個人情報の取扱いについて規定した個人情報保護法の改正案が、本年6月5日、参議院本会議で可決、成立しました。

 平成27年改正個人情報保護法では、附則第12条において、個人情報保護法の見直しを行う旨定められていたところ、今回の改正は、かかる見直しに関する規定を踏まえて行われたものです。

 以下では、改正個人情報保護法における主な改正点についてご説明します。

 なお、以下では、特に現行の個人情報保護法を指すときは、「現行個人情報保護法」を用い、改正後の個人情報保護法を指すときは、「改正個人情報保護法」の用語を用い、現行個人情報保護法と改正個人情報保護法と共通する場合には、単に「個人情報保護法」の用語を使用することとします。

1 保有個人データの保護対象の拡大

 個人情報保護法では、本人(※1)は、個人情報取扱事業者に対し、当該本人が識別される「保有個人データ」の開示や訂正等を求めることができる旨定められています(個人情報保護法第28条、第29条、第30条)。

 現行法では、「保有個人データ」とは、個人情報取扱業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかとなることにより公益その他の利益が害されるものとして政令で定めるもの又は1年以内の政令で定める期間以内に消去することとなるもの以外のものをいうと定義されているところ(現行個人情報保護法第2条第7項)、「1年以内の政令で定める期間」とは、6月とされていました(現行個人情報保護法施行令第5条)。すなわち、6か月以内に消去される短期保存データについては、開示や訂正等の対象としないとされていたのです。

 改正個人情報保護法では、保有期間の規定が削除されることとなったため、このような短期保存データについても保護の対象とされることになりました(改正個人情報保護法第2条第7項)。

※1 「本人」とは、個人情報によって識別される特定の個人をいいます(個人情報保護法第2条第8項)。

2 訂正等の請求権の要件の緩和

 現行個人情報保護法では、本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データがその利用目的の達成に必要な範囲を超えて取り扱われている場合や偽りその他不正の手段により取得されたものである場合には、当該保有個人データの利用の停止又は削除(以下「停止等」といいます。)を請求することができる旨定められています(現行個人情報保護法30条)。

 改正個人情報保護法では、以上の場合に限らず、個人情報取扱業者が違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用している場合にも、停止等の請求を行うことができるよう改正されており、停止等の請求権の要件が緩和されています(改正個人情報保護法第30条)。

3 オプトアウト手続の厳格化

 個人情報取扱事業者が個人データの第三者提供をするためには、予め本人の同意を得るのが原則です(個人情報保護法第23条第1項本文)。このように、予め本人の同意を得たうえで個人情報の第三者提供を行うことを一般的に「オプトイン」といいます。

 他方、予め本人に対して個人データを第三者提供することについて通知又は認識しうる状態にしておき、本人がこれに反対しない限り、同意したものとみなし、個人データの第三者提供を行うことを一般的に「オプトアウト」といいます。

 現行個人情報保護法では、次の要件を満たす場合には、要配慮情報を除く個人データについて、個々の同意を得ることなく、第三者提供を行うことができるとしています(現行個人情報保護法第23条第2項)。

① 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であること

② 次に掲げる事項について、予め本人に通知し、又は本人が容易に知りうる状態に置くこと

ア 第三者への提供を利用目的とすること。

イ 第三者に提供される個人データの項目

ウ 第三者への提供の方法

エ 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。

オ 本人の求めを受け付ける方法

③ 個人情報保護委員会に届け出ること

 以上の要件については、改正個人情報保護法でも概ね同様です。ただし、不正取得された個人データ、オプトアウト規定により提供された個人データについては対象外とされることになりました(改正個人情報保護法第23条第2項但し書)。

4 保有個人データの開示方法の拡大

 現行個人情報保護法では、本人に対する個人情報の開示方法について、書面の方法によることが原則とされていました(現行個人情報保護法第28条、同施行令第9条)。

 これに対し、改正個人情報保護法では、「電磁的記録の提供による方法その他個人情報保護委員会規則で定める方法による開示を請求することができる」よう改正されており、書面による開示のみならず、電磁的記録の提供を受けることも可能となっています(改正個人情報保護法28条)。

5 個人情報保護委員会に対する報告及び本人への通知義務

 改正個人情報保護法では、個人情報取扱事業者に対し、新たに漏洩等の報告義務が課せられることになりました(改正個人情報保護法第22条の2)。

 すなわち、個人情報取扱事業者は、①その取り扱う個人データの漏洩、滅失、毀損その他の個人データの安全の確保に係る事態であって②個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を個人情報保護委員会に報告しなければなりません(同条第1項本文)。

 併せて、個人情報取扱事業者は、原則として、本人に対し、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を通知しなければなりません(同条第2項本文)。

 ただし、本人への通地が困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときには、例外的に本人への通知をすることを要しないとしています(同項但し書)。

 なお、個人情報保護委員会規則については、今回の改正個人情報保護法成立を受けて、今後改正される予定です。

6 仮名加工情報の創設

 「仮名加工情報」とは、個人情報に対し一定の措置を講じることにより他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報をいいます(改正個人情報第2条第9項)。

 以下、「仮名加工情報」について、現行法における「匿名加工情報」と対比させて簡単に説明します。

 現行個人情報保護法では、「匿名加工情報」という概念が存在するところ、匿名加工情報とは、個人情報について特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいいます(現行個人情報保護法第9条)。

 例えば、ある特定の個人について、①氏名、②年齢、③性別、④購買履歴のデータがあるとします。このようなデータは、個人データに該当するため、第三者提供を行うためには原則として当該個人の同意が必要です。

 これに対し、例えば①氏名を削除し仮IDに書き換え、②年齢について10歳区分の年齢層に書き換え、④購買履歴について、購入日を月単位の平日・休日に、購入時間を3時間単位に、購入区域を都道府県単位に、購入店を削除し、購入商品を商品のカテゴリに書き換える等の措置を、不可逆的に講じた場合には、加工後のデータを取得した第三者が特定の個人を特定することはできません。

 このような加工がされた情報を、「匿名加工情報」といいます。

 匿名加工情報は、個人データとは異なり、本人の同意不要で第三者へのデータの提供を行うことが可能です。

 これに対し、仮名加工情報は、他の情報と照合しない限り特定の個人を識別することができないようにした情報をいいます。

 匿名加工情報と比較すると、仮名加工情報は、他の情報と照合した場合には特定の個人を識別することができる点に違いがあります。

 仮名加工情報は、個人データの場合と異なり、開示・利用停止請求への対応等に対応する義務が緩和されます(改正個人情報保護法第35条の2第9項により、同法第15条第2項、第22条の2及び第27から第34条までの規定について、適用除外。)。

7 法定刑の引き上げ

 現行個人情報保護法では、個人情報保護委員会による命令に違反した事業者については、6月以下の懲役又は30万円以下の罰金が定められていたところ(現行個人情報保護法第84条)、改正個人情報保護法では、1年以下の懲役又は100万円以下の罰金の法定刑が定められており(改正個人情報保護法83条)、法定刑が引き上げられています。

 また、現行個人情報保護法では、個人情報保護委員会に対する虚偽報告を行った者について、30万円以下の罰金が定められていたところ(現行個人情報保護法第85条)、改正個人情報保護法では、これが50万円以下の罰金とされており(改正個人情報保護法第85条)、法定刑が引き上げられています。

 さらに、改正個人情報保護法では、上記その他改正個人情報保護法各本条に定める行為に係る行為者が法人の業務に関して行った者である場合について、法人には、1億円以下の罰金を定める規定が創設されており(改正個人情報保護法第87条)、法人と個人の資力の差を勘案して、法人に対しては行為者よりも罰金刑の最高額が引き上げられています。

8 さいごに

 今回の個人情報保護法の改正は、個人の開示請求の範囲の拡大や法定刑の引き上げ等、個人情報保護の意識が更に高まったことが反映された内容となっております。

 他方で、ビックデータの活用等イノベーションを促進するという観点から、新たに仮名加工情報という概念が創設されており、個人情報の保護という観点だけでなく、情報データの活用という観点を意識した内容が改正案に盛り込まれており、改正法下においては、データの利活用という観点からも法の適用や運用を注視していくことが肝要であると思料されます。

弁護士浅井佑太

トップへ戻る