企業法務のご相談も受付中。お気軽にお問合わせください。
個人情報保護法2020年改正における実務上留意すべき重要点を解説
1.はじめに
2020年3月10日に第201回通常国会に提出された「個人情報の保護に関する法律等の一部を改正する法律案」は、同年6月5日の国会において可決、成立し、6月12日、公布されました。
個人情報の保護に関する法律等の一部を改正する法律(以下、同法により改正された個人情報の保護に関する法律を「改正法」という。)の施行は、一部を除き公布後2年以内です。
以下、改正法の概要及び実務上留意すべき重要点を説明します。
なお、改正法と現行法との条文の比較については、個人情報保護委員会のWebサイト[1]をご覧ください。
2.改正法の概要
改正法の骨子は以下のとおりです。
(1)個人の権利の在り方
① 利用停止、消去、第三者提供の停止請求要件の緩和
② 保有個人データ開示のデジタル化推進
③ 保有個人データの範囲拡大:6か月以内に消去する短期保存データが「保有個人データ」に該当』
④ 第三者提供記録の開示の義務化
⑤ オプトアウト規制の強化
(2)事業者の守るべき責務の在り方
① 漏えい等報告及び本人通知の義務化
② 不適正な利用の禁止
(3)事業者における自主的な取組の推進
① 認定個人情報保護団体制度の多様化:企業の特定分野(部門)を対象とする団体の認定
② 保有個人データ及び共同利用に関する公表事項の充実
(4)データ利活用に関する施策の在り方
① 「仮名加工情報」の創設
② 個人データの提供先基準の明確化
(5)ペナルティの在り方
① 法定刑の引き上げ、法人処罰への重科
(6)法の域外適用の在り方及び越境移転の在り方
① 外国事業者に対する域外適用の範囲の拡大
② 外国企業等への個人データ提供制限の強化
3.実務上留意すべき重要点
以下、改正法の上記項目に沿って、事業者が実務上留意すべき重要な点について説明します。
(1)個人の権利の在り方
① 利用停止、消去、第三者提供の停止請求要件の緩和
現行個人情報の保護に関する法律(以下、「法」という。)30条は、下記のとおり、事業者が個人データを目的外に取り扱う場合や、不正に取得した場合等に限り、本人が、事業者に対して、保有固有データの利用の停止若しくは消去(以下、「利用停止等」という。)、又は第三者提供の停止を請求できる旨規定しています。
■利用停止、消去の請求ができる場合(法30条1項)
・目的外取扱い(法16条違反)
法15条1項に基づき特定した利用目的の達成に必要な範囲を超えた個人情報の取扱いは、法16条3項に規定された公益上の理由等以外は、違法です。
・不適正取得(法17条違反)
■第三者への提供の停止を請求できる場合(法30条3項)
・第三者提供制限違反(法23条1項違反)
・外国にある第三者への提供制限違反(法24条違反)
「利用停止」とは、保有個人データの内容を用いないことをいい、「消去」とは、保有個人データとして使えなくすることであり、削除のほか、特定個人を識別できないようにすることも含みます。
「第三者提供の停止」とは、以後の提供の停止をいい、過去の違法な第三者提供により提供した個人データを回収することは含まれません。
改正法は、以下のように、保有個人データに関する本人の関与を強化する観点から、保有個人データの利用停止等の請求、第三者提供の停止の請求に係る要件を緩和しましたので、個人の権利の範囲が広がります。
ⅰ 不適正な利用をした場合(改正法16条の2)、利用停止等の請求ができるよう になります(改正法30条1項)。また、ⅱ 当該本人が識別される保有個人データを当該個人情報取扱業者が利用する必要がなくなった場合、当該本人が識別される保有個人データに係る改正法22条の2第1項本文に規定する事態が生じた場合及び本人が識別される保有個人データの取扱いにより当該本人の権利又は正当な利益が害されるおそれがある場合も、利用停止等や第三者提供停止の請求ができるようになります(改正法30条5項)。
中でも、当該本人が識別される保有個人データに係る改正法22条の2第1項本文に規定する事態が生じた場合(個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護員会規則で定めるものが生じたとき)が対象になることによって、権利行使が増えることが予想されるので、事業者は、個人データの管理には一層の注意を払う必要があります。
事業者は、改正法30条5項の規定による請求を受けた場合、その請求に理由があることが判明したときは、本人の権利利益の侵害を防止するために必要な限度で、遅滞なく、当該保有個人データの利用停止等や第三者への提供の停止を行わなければなりません(改正法30条6項)。
ただし、当該保有個人データの利用停止等又は第三者への提供の停止に多額の費用を要する場合や利用停止等又は第三者への提供の停止を行うことが困難な場合で、本人の権利利益を保護するため必要な代替措置をとる場合は、上記義務が免除されます(改正法30条6項ただし書)。
② 保有個人データ開示のデジタル化推進
これまで、保有個人データの開示請求に対する対応は、原則として書面による交付
となっていたところ(法28条2項柱書、個人情報の保護に関する法律施行令(以下、「施行令」という。)9条)、改正により、本人が、電磁的記録の提供を含め、開示方法を指示できるようになります(改正法28条1項)。
事業者は、改正法28条1項の請求を受けたときは、当該本人が請求した方法により、遅滞なく、当該保有個人データを開示しなければなりません(同条2項)。事業者は、本人が電磁的記録の提供による方法で請求する場合に備え、日頃からデータを厳重に保管しておかなければなりません。
ただし、開示することにより、事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合等は開示義務が免除されます(改正法28条2項ただし書)。
また、事業者は、本人が請求した方法による開示が困難であるときには、本人に対し、遅滞なくその旨の通知をしなければなりません(改正法28条3項)。
③ 保有個人データの範囲拡大
現行法では、取得時から6か月以内に消去することとなる個人データは、保有個人データに該当しないとされてきました(法2条7項、施行令5条)。
しかし、短期で消去するデータであっても、個人の権利利益を侵害する可能性はあります。今回、保有個人データの定義が変更になり、6か月以内に消去されるデータも保有個人データに該当することとなりますから、注意が必要です。
④ 第三者提供記録の開示の義務化
個人データの授受に関する第三者提供記録について、本人が開示を請求することができるようになります(改正法28条5項)。
a 個人データを第三者に提供したときに事業者が作成する記録(法25条1項)
b 個人データの第三者提供を受けたときに事業者が作成する確認記録(法26条3項)
が、これに当たります。
現行法では、事業者は、問題が生じたときに、監督機関からの要請に応じて開示することを想定して第三者提供記録を作成しておけばよかったのですが、今後は、問題が生じなくとも、随時開示請求される可能性があるため、それを想定して第三者提供記録を作成しておかなければなりません。
⑤ オプトアウト規制の強化
2019年4月に、個人情報保護委員会がオプトアウト届出事業者に対して、実態調査を行ったところ、本人が提供した覚えのない形で名簿が商品として流通していること等が判明しました。
この結果等を踏まえ、オプトアウト規定(※本人の求めがあれば事後的に停止することを前提に、提供する個人データの項目等を公表等した上で、本人の同意なく第三者に個人データを提供できる制度)により第三者に提供できる個人データの範囲を限定することとしました。
現行法の下では、オプトアウト規定により第三者に提供できる個人データから要配慮個人情報が除外されています(法23条2項括弧書き)。
今回の改正で、不正な手段により取得された個人情報(法17条1項)や他の事業者がオプトアウト規定に基づき提供した個人データについても、除外の対象となります(改正法23条2項ただし書)。
また、オプトアウトによる個人データを第三者に提供する場合、従来の届出事項として、法23条2項は以下の届出事項を規定していました。
a 第三者への提供を利用目的とすること(同項1号)
b 第三者に提供される個人データの項目(同項2号)
c 第三者への提供の方法(同項3号)
d 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること(同項4号)
e 本人の求めを受け付ける方法(同項5号)
今回の改正で、以下のとおり、届出事項が追加されます(改正法23条2項各号[2])。
f 第三者提供を行う事業者の氏名又は名称(同項1号)
g 第三者提供を行う事業者の住所(同項1号)
h 法人である場合、事業者の代表者の氏名(同項1号)
i 第三者提供される個人データの取得方法(同項4号)
j その他個人の権利利益を保護するために必要なものとして個人情報保護委員会規則で定める事項(同項8号)
オプトアウト制度を採用している事業者は、提供対象の個人データを見直すとともに、届出事項に漏れがないように努めなければなりません。改正法の施行日前においても、改正法23条2項1号、4号及び8号の事項について、個人情報保護委員会に届け出ることができます(個人情報の保護に関する法律等の一部を改正する法律附則2条)。
(2)事業者の守るべき責務の在り方
① 漏えい等報告及び本人通知の義務化
これまで、海外では多くの国で漏洩等の報告は義務でしたが、わが国では事業者の個人情報の漏えい等の報告や本人への通知は努力義務となっていました(法20条、平成29年個人情報保護委員会告示1号、「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A参照)[3]。
しかし、今回、改正法22条の2が新設され、事業者は、その扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは、速やかに個人情報保護委員会への報告(第1項)と本人への通知(第2項)を行うことが義務付けられることになります。
② 不適正な利用の禁止
現行法では、事業者は、偽りその他の不正な手段による個人情報を取得してはならないと規定しているにとどまり(法17条)、利用については明記していませんでした。
今回、改正法16条の2が新設され、個人情報取扱事業者は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならないことが明文化されました。
(3)事業者における自主的な取組の推進
① 認定個人情報保護団体制度の多様化
認定個人情報保護団体(以下、「認定団体」という。)とは、個人情報保護委員会の認定を受けた、個人情報保護の推進を図るために自主的な取り組みを行う民間団体です。
現行の認定団体は、対象事業者のすべての分野を対象とするものでしたが、今回の改正で認定団体制度も拡張され、企業の特定分野(部門)を対象とする団体を認定できるようになります(改正法47条2項)。
② 保有個人データ及び共同利用に関する公表事項の充実
今回の改正で、新たな公表事項が以下のとおり、追加されます。
a 追加された保有個人データに関する公表事項
・事業者の住所、事業者である法人の代表者の氏名(改正法27条1項1号)
・個人データの第三者提供時の記録の閲覧手続(同法28条5項)
・利用停止等の手続(同法30条5項)
b 追加された共同利用における公表事項
・管理責任者の住所、管理責任者である法人の代表者の氏名(同法23条5項)
(4)データ利活用に関する施策の在り方
① 「仮名加工情報」の創設
a 仮名加工情報の定義
今回の改正で、「仮名加工情報」が創設されました(改正法2条9項、同法35条の2、同法35条の3)。
「仮名加工情報」は、以下のとおり定義されています。
「次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報をいう。」(改正法2条9項)
この点、「仮名加工情報」のことを理解するため、平成27年改正により、事業者間の円滑なデータ連携のために創設された「匿名加工情報」を見てみましょう。
「匿名加工情報」は、以下のとおり定義されています。
「次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人を復元することができないようにしたものをいう。」(法2条9項[4])。
個人データに一定の基準を満たす加工を施し「匿名加工情報」に変えることで、本人の同意等の手続を経ることなく、第三者に提供することが可能となりました。
しかし、情報技術の発展を背景に、データとしての有用性を加工前の個人情報と同等程度に保つことで、より詳細な分析を行おうとするニーズがあり、実際、事業者の中には、自らの組織内部で安全に個人情報を取り扱えるように特定の個人を直接識別できる記述を削除又は他の記述に置き換え、加工後の情報のみからは特定の個人を識別できないようにする実務上の利用が広がっていることから、匿名加工情報と個人情報の中間に位置する「仮名化」という仕組みを、我が国にも取り入れることになりました。
「仮名化」とは、データの一部を置き換える等により、元のデータ等追加情報を利用しない限りそのデータの主体を特定できないようにすることをいいます。
例えば、氏名・性別・年齢からなるデータがあった場合、氏名を記号等に置き換えることで性別・年齢だけでは個人を特定できず、元の氏名というデータを利用しない限り、個人を特定できなくなります。仮名化により、誰の情報かわからなくすることでより安全な管理ができるようになり、内部での使用が容易になります。
匿名加工情報と仮名加工情報との違いですが、仮名加工情報は、匿名加工情報と異なり、他の情報と照合することで、特定の個人を識別できます。
また、匿名加工情報が「当該個人情報を復元することができないようにしたもの」(法2条9項)という要件が課されているのに対し、仮名加工情報では、このような要件はありません(改正法2条9項)。復元可能性がある場合、仮名加工情報になります。
なお、仮名加工情報は、個人情報である仮名加工情報と、個人情報でない仮名加工情報とに分かれます(改正法35条の2第3項以下及び同35条の3参照)。他の情報と容易に照合でき特定の個人を識別できる仮名加工情報は、個人情報である仮名加工情報です。
しかし、そうでないものは個人情報でない仮名加工情報であり、個人情報に該当しないことになります。
b 仮名加工情報の作成等に対する規制(改正法35条の2)
事業者は、仮名加工情報を作成するときは、他の情報と照合しない限り、特定の個人を識別することができないようにするために必要なものとして、個人情報保護委員会規則で定める基準に従い、個人情報を加工しなければなりません(同条1項)。
また、事業者は、仮名加工情報を作成したときには、「削除情報等」の漏えいを防止するために必要なものとして、個人情報保護委員会規則で定める基準に従い、削除等の安全管理のための措置を講じなければならなりません(同条2項)。
ここで、「削除情報等」とは、仮名加工情報の作成に用いられた個人情報から削除された記述等及び個人識別符号並びに仮名加工情報を作成するために行われた加工の方法に関する情報のことをいいます(同項括弧書き参照)。
d 個人情報である仮名加工情報に対する規制(改正法35条の2)
■目的外利用の禁止
個人情報である仮名加工情報は、個人情報としての規制を受けますが、さらに、仮名加工情報取扱事業者は、法令に基づく場合を除き、利用目的の達成に必要な範囲を超えて仮名加工情報を取り扱ってはならず、また、仮名加工情報以外の個人情報に適用される法16条は適用されません。
すなわち、法16条1項で認められている本人の事前同意を得ての目的外利用や、同条3項2号から4号に規定される公益的理由による目的外利用が認められません(改正法35条の2第3項)。
■第三者提供の禁止
仮名加工情報取扱事業者は、仮名加工情報である個人データ[5]を第三者に提供してはなりません。
また、法23条1項及び2項並びに24条1項が適用されません。
そのため、仮名加工情報以外の個人情報に対しては認められている本人の事前同意を得て行う第三者提供や公益的理由による第三者提供、そして外国にある第三者への提供を認める旨の同意を得て行う外国にある第三者に対する提供が、仮名加工情報には認められていません(改正法35条の2第6項)。
ただ、仮名加工情報の作成に用いられた原データは、個人データとして法23条1項及び2項並びに24条1項の適用がある限り、同条項で認められる方法をもって第三者提供することは可能です。
■ 他の情報との照合禁止
仮名加工情報取扱事業者[6](個人情報取扱事業者である者に限ります。以下同様です。)は、個人情報である仮名加工情報を取り扱うに当たっては、当該仮名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該仮名加工情報を他の情報と照合してはなりません(改正法35条の2第7項)。
■ 個人情報である仮名加工情報に含まれる連絡情報の利用禁止
仮名加工情報取扱事業者は、個人情報である仮名加工情報を取り扱うに当たっては、電話、郵便、一般信書便事業者・特定信書便事業者による信書便、電報、ファックス、メール等の送信又は住居訪問のために、仮名加工情報に含まれる連絡先その他の情報を利用してはなりません(改正法35条の2第8項)。
■ 消去の努力義務
事業者は、仮名加工情報である個人データ及び削除情報等を利用する必要がなくなったときは、当該個人データ及び削除情報等を遅滞なく消去するよう努めなければなりません(改正法35条の2第5項)。
■ 適用のない規制
一方、個人情報である仮名加工情報、個人情報である仮名加工情報である個人データ・保有個人データについては、利用目的の変更の範囲(法15条2項)、漏えい等の報告等(改正法22条の2)、保有個人データに関する事項の公表等(法27条)、保有個人データに関する開示・訂正・利用停止等請求に関する規定(法28条から34条)が適用されないこととされています(改正法35条の2第9項)。
e 個人情報ではない仮名加工情報に対する規制(改正法35条の3)
個人情報ではない仮名加工情報は、個人情報ではないものの、法令に基づく場合を除き、第三者提供が禁止されています(同条1項)。
さらに、安全管理措置(法20条)、従業員の監督(法21条)、委託先の監督(法22条)、苦情の処理(法35条)の個人情報に関する規定、さらに個人情報である仮名加工情報に対する規制のうち他の情報との照合禁止及び仮名加工情報に含まれる連絡情報の利用禁止の規定(改正法35条の2第7項及び第8項)が準用されます(改正法35条の3第3項)。
ただ、個人情報ではない仮名加工情報の作成に用いられた原データは、個人データとして法23条1項及び2項並びに24条1項の適用がある限り、同条項で認められる方法をもって第三者提供することは可能です。
一方、個人情報ではない仮名加工情報には、目的外利用の禁止の定めがなく、取得に際しての利用目的の公表等の定めもありません。
同様に、保有個人データに関する事項の公表等(法27条)、保有個人データに関する開示・訂正・利用停止等請求に関する規定(法28条から34条)の適用もありません。
② 個人関連情報の第三者提供の制限等
a 「個人関連情報」導入の背景
今回の改正では、「個人関連情報」という概念が導入されました。
「個人関連情報」とは、生存する個人に関する情報であって個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいいます(改正法26条の2第1項)。
ここ数年、インターネット上のユーザーデータの収集・蓄積・分析等を行う「DMP(Data Management Platform)」が普及しています。
その中で、DMPを行う事業者が、個人情報には該当しないクッキー等の識別子情報が、提供先の他の事業者では他の情報と照合することにより個人情報となることをあらかじめ知りながら、当該事業者にそれを提供する事案がありました。
特に、就職情報サイト「リクナビ」を運営するリクルートキャリアが、就職活動中の学生が知らぬ間に、学生のWeb閲覧履歴等を内定辞退率の算出に使用し、顧客企業に販売した事件が話題となりました。
現行法上では、このような場合、DMPを行う事業者は、本人の同意を得ることなく、識別子情報を第三者に提供することが可能です。
しかし、これでは、個人データの第三者提供において本人の同意の取得を義務付けている法の趣旨を潜脱することとなり、問題視されていました。
本条は、このような状況を背景に創設されたものであり、クッキー等の端末識別子だけでなく、広く、提供先で個人情報になり得る個人関連情報を規制の対象としています。
b 個人関連情報の提供を受けた第三者の義務
■ 同意取得義務
個人関連情報取扱事業者[7]から個人関連情報(個人関連情報データベース等を構成するものに限る。)を個人データとして取得することが想定されるときは、一定の場合[8]を除いて、個人関連情報取扱事業者から、個人関連情報の提供を受けて本人が識別される個人データとして取得することを認める旨の本人の同意の取得が必要です(改正法26条の2第1項1号)。
■ 確認に際しての偽りの禁止
下記c記載のとおり、個人関連情報取扱事業者から本人の同意を取得したことの確認が行われる場合に、確認に係る事項を偽ってはならないと規定されています(改正法26条の2第3項、法26条2項)。
■ 外国にある第三者の義務
事前に、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報を当該本人に提供しなければなりません(改正法26条の2第1項2号)。
また、外国にいる第三者(法24条1項に規定する体制を整備している者に限る。)は、個人関連情報を受領する場合は、個人情報保護委員会規則で定めるところにより、相当措置の継続的な実施をしなければなりません(改正法26条の2第2項、同24条3項)。
c 個人関連情報取扱事業者の義務
■ 確認義務
個人関連情報取扱事業者は、第三者が個人データとして個人関連情報(個人関連情報データベース等を構成するものに限る。)を取得することが想定されるときは、事前に以下の事項を確認する義務を負います(改正法26条の2第1項)。
- 本人の同意を得られていること(同項1号)
- 外国にある第三者への提供にあたっては、本人の同意を得ようとする場合において、事前に当該外国における個人情報の保護に関する制度など本人に参考となるべき情報が当該本人に提供されていること(同項2号)
■ 記録の作成・保存義務
以上の確認を行った場合、個人関連情報取扱事業者は、個人情報保護委員会規則で定めるところにより、当該個人関連情報を提供した年月日、当該確認に係る事項、その他個人情報保護委員会規則で定める事項に関する記録を作成し、作成日から個人情報保護委員会規則で定める期間保存しなければなりません(改正法26条の2第3項、法26条3項・4項)。
■ 外国にある第三者に提供する場合の相当措置の継続的実施義務
個人関連情報取扱事業者は、個人関連情報(個人関連情報データベース等を構成するものに限る。)を外国にある第三者(法24条1項に規定する体制を整備している者に限る。)に提供した場合には、個人情報保護委員会規則で定めるところにより、当該第三者による相当措置の継続的な実施を確保するために必要な措置を講じなければなりません(改正法26条の2第2項、法24条3項)。
d 経過措置
施行日前に、改正法26条の2第1項の規定による個人関連情報の第三者への提供を認める旨の同意に相当する本人の同意がある場合は、同項の同意があったものとみなされます(個人情報の保護に関する法律等の一部を改正する法律附則5条1項)。
また、改正法26条の2第2項において読み替えて準用する改正法24条3項の規定は、個人関連情報取扱事業者が施行日以後に個人関連情報を同項に規定する外国にある第三者に提供した場合について適用するとされています(個人情報の保護に関する法律等の一部を改正する法律附則5条2項)。
(5)ペナルティの在り方
① 法人処罰規定に係る重科の導入
これまで、個人情報保護委員会による命令に違反した行為者に対しては、6か月以下の懲役又は30万円以下の罰金が科されていました(法84条)。
しかし、改正法83条により、法定刑1年以下の懲役又は100万円以下の罰金に引き上げられます。
また、法人が個人情報保護委員会の命令に違反した場合、さらに重科され、罰金は1億円以下に引き上げられます(改正法87条)。
さらに、改正法42条4項により、個人情報保護委員会により命令を受けた事業者が当該命令に違反した場合、個人情報保護委員会は、命令違反の事実を公表することができるようになります。
(6)法の域外適用の在り方及び越境移転の在り方
① 域外適用の範囲拡大
これまでは、外国事業者のうち日本居住者等に対し物品又は役務の提供に関連してその者を本人とする個人情報を取得した外国事業者に対して適用されるのは、法75条に列挙された条文に係るものに限定されていました。
今回の改正で、外国人事業者も、改正法の全ての規制の対象となります。
個人情報保護委員会は、上記外国人事業者に対しても、罰則によって担保された報告徴収及び立ち入り検査並びに命令を行うことができるようになります(改正法75条、40条1項[9])。
② 公示送達等
また、今回の改正で、国内、国外ともに個人情報取扱事業者等に対し実効的に権限を行使し、かつ、適正手続を担保するため、領事送達・公示送達等の送達に関する手続が定められました(改正法58条の4)。
③外国企業等への個人データの提供制限強化
事業者は、外国にある第三者に個人データを提供する場合には、原則として、あらかじめ本人の同意を得る必要があり(改正法24条1項)、その同意を得るにあたり、個人情報保護委員会規則で定めるところにより、事前に、当該外国における個人情報の保護に関する制度や当該第三者が講ずる個人情報の保護のための措置など当該本人に参考となるべき情報を当該本人に対して提供する義務を負うことになります(改正法24条2項)。
また、事業者は、個人情報保護委員会規則で定めるところにより、当該第三者による相当措置の継続的な実施を確保するために必要な措置を講ずるとともに、本人の求めに応じて、当該必要な措置に関する情報を本人に提供しなければなりません(改正法24条3項)。
4.まとめ
今回の法改正により、個人情報の一層の保護が図られる一方で、事業者が保有個人データを利活用しやすくなる仕組みが構築されます。改正法の運用にあたっての詳細は規則の定めに委ねられていることから、事業者は、今後、規則の改正にも留意し、改正法に対応した社内体制を見直す必要が出てくるでしょう。
[1] https://www.ppc.go.jp/news/press/2020/200612/
[2] 法23条2項1号から5号は、それぞれ改正法23条2項2号、3号、5号から7号となりました。
[3] https://www.ppc.go.jp/personalinfo/legal/leakAction/
[4] 法2条9項は、改正法2条11項となりました。
[5] 法2条6項参照。
[6] 仮名加工情報を含む情報の集合物であって、特定の仮名加工情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の仮名加工情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの(仮名加工情報データベース等)を事業の用に供している者(ただし、国の機関、地方公共団体、独立行政法人等、地方独立行政法人を除く。)。改正法2条10項参照。
[7] 個人関連情報を含む情報の集合物であって、特定の個人関連情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の個人関連情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの(個人関連情報データベース等)を事業の用に供している者(ただし、国の機関、地方公共団体等、独立行政法人等、地方独立行政法人を除く。)。改正法26条の2第1項参照。
[8] 法23条1項各号に該当する場合(法令に基づく場合や公益的理由に基づく場合が挙げられています。)。
[9] 改正前の法75条には、域外適用の認められる項目として法40条1項は含まれていませんでした。
※この記事は公開日時点の法律をもとに執筆しています