4月7日(火)に個人情報保護法の改正案が閣議決定されました。今国会で成立し、公布の日から起算して2年を超えない範囲内で施行される見通しです。附則第10条の「いわゆる3年ごと見直し」に基づくものです。
新旧対象条文を眺めてみると、やたらと新しい用語が目につきます。そのため(新設)の条文だけを拾い読みすればいいかというと、現行法を知っていないと理解できないものが多く、しかも過去の改正で新設された条文に、さらに新設規定というものもあります。
したがって、本コラムでは改正案の内容を解説するだけではなく、現行法や過去の改正との関係にも触れつつ、法律を立体的に理解できるように解説していきます。
より詳しくは、法律案が国会で成立しましたら、解説セミナーを開催する予定です。
改正内容は、大きく四つの柱からなります。
① 適正なデータ利活用の推進
② リスクに適切に対応した規律
③ 不適正利用等の禁止
④ 規律遵守の実効性確保のための規律
上記のキーワードから「データ利活用」については、平成27年改正で新設された匿名加工情報が想起されます。法律施行から10年近くたった当時、いわゆる「ビッグデータ」の活用をするうえで、大量の個人データを第三者提供するには事前に本人同意が必要という義務が足かせとなり、「利活用が進まない」という批判を受けてのものでした。
もっとも大量の個人データの分析を委託すれば本人同意は不要ですが、匿名加工情報の新設にはいわゆる「Suica事件」など個人情報と非個人情報のグレーゾーン問題とも相俟って、「個人情報の定義の明確化」の改正も行われました。また平成27年改正では、「個人識別符号」という定義が明確化され、個人番号(マイナンバー)それ自体も個人情報にあたるとされました。
「リスクに適切に対応した規律」は、
の新設です。
16歳未満の個人情報の取扱いについて法定代理人へ読み替えて対応することは、該当する事業者にとっては対応に悩む規定となるかもしれません。また、個人識別符号に「特定生体個人情報」という類型が追加されています。
こうした個人情報の取扱いリスクをどのように捉え、どのように適切に対応していくのか、該当する事業者においては、リスクアセスメントの実施が重要です。
「不適正利用等の禁止」は、令和2年改正で新設された第19条の「不適正な利用の禁止」を思い起こされたなら、個人情報保護法に詳しい方といえます。従来から「個人情報の不正取得」の規定はありましたが、取得後の「不適正な利用」が明文化されました。
今回の改正では、第31条の2「連絡可能個人関連情報の不適正な取扱いの禁止」が新設されました。
「個人関連情報」も令和2年改正で、「生存する個人に関する情報で、個人情報・仮名加工情報・匿名加工情報のいずれにも該当しないもの」(第2条第7項)として新設されています。
二つの新設規定が合体する形で「連絡可能個人関連情報」という「個人関連情報」の一類型についての規制が新設されるという、やや複雑ではありますが、時代の流れや変化を感じさせる改正といえます。
「規律遵守の実効性確保のための規律」は、罰則規定の強化といえます。特に「課徴金納付命令」が新設されたことが気になるところでしょう。
第148条の3では、第1項で第1号~第5号まで違反行為を定め、第2項と区別しています。
第148条の3第1項では、個人情報取扱事業者が特定の「違反行為」を行い、かつその行為又は行為をやめる対価として金銭等の財産上の利益を得た場合に、課徴金納付命令が発動される旨が規定されています(ただし、違反行為を防ぐための相当の注意を怠っていなかった場合や、対象となる本人の数が1,000人を超えないなど個人の権利利益を害する程度が大きくない場合は除かれます)。
特に第4号と第5号において、新設された「統計情報等」に関連して取得した要配慮個人情報や第三者に提供した個人情報の目的外利用を牽制しています。不同意取得・利用・提供を特例で認めている以上、しかも利用目的を統計作成等の作成関係条文で利用目的や提供を制限しているにもかかわらず目的外利用や第三者提供を行うことは、許容されない行為であるといえるでしょう。
ざっと改正案を見てきましたが、大前提として「個人情報の定義」をしっかりと理解しておかないと、条文を読みこなせません。特に利活用の促進における「統計作成等」により、安全管理措置が杜撰になってはいけません。不同意で公開されている要配慮個人情報を取得した場合、従来どおり適切な安全管理措置により取り扱うのはもちろん、他の個人情報等と一緒に第三者に提供する場合は、相互に公表事項を確認し、継続的に公表し続けないといけません。元データを特定の個人を識別できない程度まで加工したとしても、その元データの管理が杜撰だと大量の漏えいリスクにつながります。また、いまだに「氏名を削除したら個人情報ではなくなる?」といった誤解も依然として見受けられ、「仮名化した個人情報」と「仮名加工情報」、「個人に関する情報」と「個人関連情報」とを区別せず、それぞれ前者のように認識している人も多いようです(そもそも仮名加工情報や個人関連情報を知らないだけかもしれません)。
個人識別符号という用語も一般にはなじみがなく、「特定生体個人情報」と聞いてもピンとこない人も多いと思います。加えて「連絡可能個人関連情報」とか「統計作成等用要配慮個人情報」とか、新しい用語が新設されています。これらを理解するには、四つの同意規定も理解しておく必要があります。
個人情報保護法には、四つの同意取得の規定があります。
① 第18条第2項 目的外利用
② 第20条第2項 要配慮個人情報の取得
③ 第27条第1項 第三者提供
④ 第28条第1項 外国にある第三者への提供の制限
個人情報保護法においては、第17条第1項で、「個人情報を取り扱うに当たっては、その利用目的をできる限り特定しなければならない」と定めています。つまり、「取得する前に利用目的を特定」し、さらに第21条第1項で「個人情報を取得した」場合には、「速やかに利用目的を通知するか公表しなければならない」(あらかじめ公表している場合を除く)とし、同条第2項で「契約書面などで個人情報を取得する」場合には、「あらかじめ利用目的を明示せよ」と定めています。したがって、取得後に利用目的を勝手に変更することは許されず、事前に本人の同意を必要としています。
また平成27年改正で新設された「要配慮個人情報」は、第20条第2項で「あらかじめ本人の同意を得ないで要配慮個人情報を取得してはならない」と定めています。要配慮個人情報は社会的差別等を受けかねないセンシティブな個人情報なので、必要もないのに取得できないように制限をかけているのです。
さらに第27条第1項で「あらかじめ本人の同意を得ないで個人データを第三者に提供してはならない」(当然のことながら、オプトアウトで要配慮個人情報を提供してはいけません)、第28条第1項で「外国にある第三者に個人データを提供する場合は、あらかじめ本人の同意を得なければならない」と定めています。
このようにあらかじめ本人から同意を得なければならないのは、本人の権利利益が侵害されるおそれが高いと想定されるからです。不同意で利用されたり見知らぬ第三者に提供されたりしたら、それだけでも不安や不快感を生じさせるおそれがあります。
ちなみに目的外利用の典型は「第三者提供」です。
次回以降、こうした基本事項を理解したうえで、改正内容を一つずつ紐解いていきます。
