Footprints

弁護士・伊藤雅浩による仕事・趣味・その他雑多なことを綴るブログ(2005年3月開設)

個人情報・パーソナルデータに関すること(33)個⼈情報保護法制度改正大綱の公表

12月13日に個人情報保護法改正の大綱が公表されるとともにパブコメに付された。

www.ppc.go.jp

 はじめに 

 個人情報保護法が平成27年に改正された際,附則12条3項で

政府は、前項に定める事項のほか、この法律の施行後三年ごとに、個人情報の保護に関する国際的動向、情報通信技術の進展、それに伴う個人情報を活用した新たな産業の創出及び発展の状況等を勘案し、新個人情報保護法の施行の状況について検討を加え、必要があると認めるときは、その結果に基づいて所要の措置を講ずるものとする。

と,いわゆる「三年ごと」に見直しを行うことを定めており(現行法は平成29年施行),これを受けて,今回の改正大綱が出された。意見募集期間は来年1月14日までである。

すでに,11月29日に「骨子」が公表されていたが*1,今回の大綱はこれが詳細化されている。

この大綱に対して出された意見を踏まえ,法改正すべき事項については,

その御意見等も踏まえ、法律による対応を行う事項については、制度設計の細部等について法案化の作業を進め、来年の通常国会への個人情報保護法改正案の提出を目指すこととする。

と(大綱6頁),来年で改正案が提出される見込みである。

以下では,改正項目のうち,ウェブ関連サービスに影響があると思われるポイントを挙げてみたい。

改正の方向になっている事項

利用停止・開示等請求関連

本人からの利用停止,消去,第三者提供の停止の請求要件が緩和されることになる(大綱8頁)。現行法30条では,目的外利用や同意なき第三者提供などの違反があるときなど,違法状態があると認められること及び個人情報取扱事業者がその請求に理由があると判明した場合に限っている。改正後,具体的にどのように緩和されるかについては明記されていない。

開示のデジタル化が充実することになる(大綱9頁)。現行法施行令9条では,書面が原則となっていたところ,本人が開示方法を指示できるようにする。

保有個人データの除外期間が廃止される(大綱10頁)。現行法2条7項,施行令5条では,6カ月以内に消去されるものは保有個人データから除外されているが,そのような短期保存データを除外する必要がないこととされた。

また,平成27年改正で導入されたトレーサビリティ確保のための記録(法25条,26条)に関し,本人からの開示請求の対象にされることとなった(大綱13頁)。これらの記録は,解釈上,保有個人データに含められるかどうかについて解釈の余地があったが,そこが明らかになったことは大きい。

これらの改正により,今まであまり機能していなかった開示・訂正・利用停止請求権が強化されることになる。

漏えい等事故発生時の届出義務

現状は,漏えい等の事故が起きた場合については,安全管理措置義務(法20条)の一環として,届出または公表する場合について,ガイドライン*2にて定められている。これを一定の条件の場合には届出と本人への通知(代替措置あり)を法令上の義務にすることが明記される(大綱14頁)。

適正利用義務

現行法では,利用目的の明示は義務付けられているが,利用方法の中身についての具体的な規制はない。今後は,潜在的に個人の権利利益の侵害につながるような不適正な利用を行ってはならないことが明示される(大綱16頁)。これは,昨今起きている破産者マップなどの問題事例を念頭に置いたものと思われるが,ワーディング次第では新サービスへの委縮効果が大きいと考えられるため,注目だ。

仮名化情報(仮称)の創設

加工後のデータ単体からは特定個人を識別できないようなデータを作成して利用している事例が多いことを受けて,こうした情報について「仮名化情報」という新しいカテゴリを設け,これらのデータの取扱いについては各種義務(開示請求への対応義務等)を緩和することになる(大綱22頁)。これは平成27年改正で導入された匿名加工情報よりは,要件を一段緩くして,より使いやすくしようというものである。

仮名化情報についてどのような規制が導入されるのかは不明だが,本人を識別するような利用や,第三者提供は原則として禁止される。主に自社内でのデータ分析などにおいて,どこまでやってよいかわからず不安だったというケースを一定程度救えるのではないかと思われる。

提供先において個人データとなる情報の取扱い

現行法のもとでの実務では,自社内で特定の個人を識別できない情報は,個人データではないから,第三者に提供する際に本人の同意は不要だと考えられていた。しかし,クッキーや端末IDなど,それ自体から個人を特定できない情報に紐づけたウェブ閲覧履歴等を第三者に提供し,その提供先が保有する情報と突合することによって特定個人が識別できるという事例があることを踏まえ,

いわゆる提供元基準を基本としつつ、提供元では個人データに該当しないものの、提供先において個人データになることが明らかな情報について、個人データの第三者提供を制限する規律を適用する

とすることとされた(大綱25頁)。「提供先において個人データになることが明らかな情報」というものが,そのままの形で条文化されるのかはわからないが,誰にとって「明らか」なのかは問題になり得る。「まさか個人データになるとは思いませんでした」などと簡単に言い逃れできるのではザルだからである。

見送られる事項(課徴金)

GDPRに導入されたことで注目された課徴金制度は,わが国でも,景表法で導入されて注目されているが,個人情報保護法への導入は経済界からの反対意見が強く,継続検討課題とされている。

 

なお,さっそく本日,ALIS(情報法制学会)研究大会にて,この改正大綱について議論がなされるはずなのだが,都合が合わず出席できず残念。

alis.or.jp

 

*1:https://www.ppc.go.jp/news/press/2019/20191129/

*2:個人データの漏えい等の事案が発生した場合等の対応について https://www.ppc.go.jp/files/pdf/iinkaikokuzi01.pdf