個人情報保護法の改正(令和2年、3年)のポイント

目次

当局と本人への通知が義務付け

令和2年と3年、個人情報保護法が相次いで改正されました。このうち令和2年改正(今年4月施行)は、民間への影響が小さくありません。規制強化と規制緩和の両面があります。規制強化の面では、個人情報の漏洩、滅失等が発生し、個人の権利利益を害するおそれが大きいときは、事業者は、当局への報告と本人への通知をすることが義務付けられました。漏洩等が起きた場合、対応が後手に回らないためには、あらかじめ規程類の整備や、従業員の教育などを入念に行う必要があります。

オプトアウトの規制強化

オプトアウト(本人の求めに応じて個人データの第三者提供を停止することとしている場合、本人の同意を得ることなく個人データを第三者に提供できる制度)も規制が強化されました。例えば、要配慮個人情報(信条、病歴など)や、不正な手段で取得された個人情報は、オプトアウトによる提供対象から除外されました。こうした個人データがオプトアウトによって、転々流通して、本人の権利利益が侵害される事態を防ぐことを目的としています。背景には、名簿屋の暗躍があります。

保有個人データの規制の強化

本人からの開示請求の対象となる個人データ(保有個人データ)の規律が厳しくなりました。すなわち、事業者が取得してから6か月以内に消去される短期保存データが保有個人データに追加されるとともに、本人の知うる状態に置く必要のある事項(公表事項)に事業者の住所、代表者氏名や、保有個人情報の第三者提供の開示手続きなどが追加されました(ただし、利用する必要がなくなった個人データは消去して構いません)。いずれも、個人データに対する本人の関与を強めるものです。

外国にある第三者への、個人データの提供の規制強化

事業者が、個人データを外国にある第三者へ提供するには、原則として、本人の同意を得なければならないうえ、同意が得られても、オプトアウト手続きによる第三者提供や共同利用のための個人データ移転を行うことはできません。法令改正により規制は、さらに厳しくなりました。例えば、同意を得る場合、あらかじめ、本人に対し外国の国名、外国の個人情報保護制度、提供先の個人情報保護措置に関する情報を提供しなければならない等の義務が事業者に課されるようになりました。

個人情報の利用の規制緩和

個人情報の保護拡充(規制強化)の一方、個人情報の利用の拡充(規制緩和)も進められました。 平成二七年改正により、安全性を確保しつつパーソナルデータの積極的な利活用を推進するために、「匿名加工情報」という制度が創設されました。これは、特定の個人を識別することができないように個人情報を加工し、法規制を緩和ものですが、相当高度な技術が必要なことなどが壁となって利用は低調でした。こうした事態を踏まえ、新たに創設されたのが「仮名加工情報」です。

「仮名加工情報」の新設

個人情報の利用の拡充(規制緩和)の目玉の一つが、仮名加工情報の新設です。仮名加工情報とは、個人情報に含まれる記述から、氏名等の記述を削除する等の加工を行い、それ単体では特定の個人を識別することができないように、「仮名化」したものです。これを作成した事業者は、これと元データや削除した情報とを照合することにより、特定の個人を識別することが可能なことが多いと思われます。この場合、当該事業者にとって、仮名加工情報は、個人情報に該当することになります。

個人情報を目的外利用するためには、本人の同意が欠かせません。この点、仮名加工情報は、それが個人情報であっても、利用目的を変更することによって、本人の同意がなくても目的外利用を行えます(ただし、利用目的を変更した場合、それをできる限り特定して公表する必要があります)。また、漏洩等の報告義務なども、適用を免れます。これら一連の規制緩和は、仮名化することによって、本人の権利利益が侵害されるリスクが低減することが背景にあります。

個人情報保護に関してお困りのかたは、かたの県庁前法律事務所へご相談ください。

目次