個人情報保護法改正~新たな規制、ビッグデータビジネスの適正な推進等~
2015年12月1日
1 はじめに
「個人情報の保護に関する法律」(以下「個人情報保護法」といいます。)の改正法律案が平成27年9月3日に成立、同年9月9日に公布されました。
施行時期は、主に、後記2の個人情報保護委員会の設置に関連する改正部分のみが先行して平成28年1月1日から、事業者に直接影響があると思われる規定を含むそれ以外の改正部分は遅くても平成29年9月頃(※)とされています。
- ※ 具体的には、公布の日(上記平成27年9月9日)から起算して2年を超えない範囲内において政令で定める日とされています。
したがって、事業者としては、基本的に、平成29年9月頃(今後施行時期が具体的に決まった場合はその時期)までに、必要に応じ上記改正への対応を迫られることになります。
改正の内容については、既にウェブサイトや書籍等で取り上げられているところではありますが、整理・確認の目的でご覧いただければと思い、改めて、重要と思われる部分を俯瞰的にとりあげさせていただきます。
- ※ 以下、現行の個人情報保護法を「現行法」といい、改正後のものを「改正法」といいます。
なお、上記のとおり、改正法は、改正部分に応じ、2回に分けて施行される予定ですが、以下の記載における改正法の条文数は、全面施行(上記のとおり遅くとも平成29年9月頃予定)後のものを基準としています。
2 個人情報保護委員会の設置
改正法により、「個人情報保護委員会」が新設されます。
従来、各主務大臣が個人情報取扱事業者の監督等を行ってきましたが、権限の分散や事務処理の煩雑さ等の問題が指摘されていました。
そのため、個人情報保護を統一的に所管する機関として、この「個人情報保護委員会」が設置されるに至りました。
3 「個人情報」の定義の詳細化
改正法は、「個人情報」の定義につき、現行法の定義と同様の定義規定を置きつつ(改正法第2条第1項第1号)、これに加え、
「生存する個人に関する情報であって」「個人識別符号が含まれるもの」
も「個人情報」に該当する旨定義しています(改正法第2条第1項柱書、同条同項第2号)。
上記「個人情報」の定義の追加により、一見「個人情報」の範囲が実質的に拡大するようにも思われるところです。
しかし、上記「個人識別符号」の定義(改正法第2条第2項)においては、末尾に「……当該特定の個人を識別することができるもの」「……特定の利用者若しくは購入者又は発行を受ける者を識別することができるもの」と記載されているため、従前どおり「個人情報」に該当するためには「特定の個人を識別できること」が要件とされています。
そのため、一般的には、上記改正により、現行法において「個人情報」に該当しなかった情報が改正法においては「個人情報」に該当するといった事態は生じないと考えられています。
したがって、上記改正は、標題のとおり、個人情報の定義を「詳細化」するものに過ぎず、「広範化」するものではないと考えることができます。
4 「要配慮個人情報」概念の創設及び加重規制
従前、少なくとも法律レベルでは、「個人情報」に該当する情報について、そのプライバシー性や機微性の高低等によって規制内容が分けられていませんでした。
しかし、改正法は、「個人情報」のうち、特にその取扱いに配慮を要するものとして「要配慮個人情報」という概念を創設するとともに、通常の「個人情報」に対する規制のほか、さらなる加重規制を設けています。
「要配慮個人情報」は、「本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報」と定義されています(改正法第2条第3項)。
そして、上記「要配慮個人情報」に対する加重規制としては主に以下のとおりです。
① その取得について原則として事前の本人の同意が必要(改正法第17条第2項柱書)
- ※ 現行法には、「個人情報」の取得について本人の事前同意を明示的に求める規定は存在しませんでした。
② いわゆるオプトアウト方式(現行法第23条第2項。※)による第三者提供の禁止(改正法第23条第2項柱書内括弧書)
- ※ 概ね、本人が積極的に拒否しない限り、提供に承諾しているとみなす方式のことをいいます。
なお、①につき、例外的に、事前同意が不要とされる場合については、改正法第17条第2項各号をご参照ください(※)
- ※ 概ね、現行法第16条第3項各号等において規定される場合と同様の場合に加え、一定の者(本人・国の機関・地方公共団体・現行法50条1項各号に掲げる者・その他個人情報保護委員会規則で定める者)により公開されている場合や政令で定める場合とされています。
5 「匿名加工情報」概念の創設及び規制 … ビッグデータビジネスの適正な推進等
(1)「匿名加工情報」について
主に、いわゆるビッグデータの有用性やこれに対する適正な規律の必要性の観点等から、改正法にて「匿名加工情報」という概念が創設されました。
「匿名加工情報」とは、「一定の匿名化措置(※)を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたもの」をいいます(改正法第2条第9項参照)。
- ※ 匿名化措置の具体的内容としては、概ね、当該個人情報に含まれる記述等の一部(個人識別符号が含まれる場合は、個人識別符号の全部)につき、削除するか、復元可能な規則性を有しない方法により他の記述等に置き換えることとされています(改正法第2条第9項各号参照)
そして、匿名加工情報については、「個人情報」に該当しないと考えられているため、これを踏まえると、いわゆる目的外利用や第三者提供の制限等の規制が及ばないことになります。
ただ、匿名加工情報に関して何らの規制も存在しないというわけではなく、改正法においては、その有用性に配慮しつつも、一定の規制を設けているところです。
以下、匿名加工情報に関する規制のうち、重要なものを俯瞰したいと思います。
(2)匿名加工情報を作成する「個人情報取扱事業者」の義務
匿名加工情報を作成する「個人情報取扱事業者」に課せられる義務(努力義務を除きます。)は、以下のとおりです(改正法第36条)。なお、①~④の義務の具体的な内容は、今後策定される個人情報保護委員会規則で明らかにされる予定です。
- ① 作成方法に従った作成を行う義務(第1項)
- ② 作成過程で削除した記述等及び個人識別符号並びに加工方法に関する情報の漏洩防止のために必要な安全管理措置を講じる義務(第2項)
- ③ 当該匿名加工情報を作成したときの当該匿名加工情報に含まれる個人に関する情報の項目の公表義務(第3項)
- ④ 当該匿名加工情報の第三者提供の際、予め、提供される匿名加工情報に含まれる個人に関する情報の項目及びその提供の方法を公表し、当該第三者に匿名加工情報であることを明示する義務(第4項)
- ⑤ 当該匿名加工情報を自ら取り扱う場合、本人識別のために、他の情報と照合してはならない義務(第5項)
(3)「匿名加工情報取扱事業者」(※)の義務
- ※ 改正法で新設された概念です。現行法の「個人情報データベース等」(現行法第2条第2項)と概ねパラレルの内容(「個人情報」を「匿名加工情報」に置き換えた内容)の「匿名加工情報データベース等」を「事業の用に供している者」と定義されています(改正法第2条10項)。
「匿名加工情報取扱事業者」に課せられる義務(努力義務を除きます。)は以下のとおりです。なお、①の具体的な内容は今後策定される個人情報保護委員会規則で明らかにされる予定です。
- ① 匿名加工情報(自ら個人情報を加工して作成したものを除きます。以下②においても同様です。)の第三者提供の際、予め、提供される匿名加工情報に含まれる個人に関する情報の項目及びその提供の方法を公表し、当該第三者に匿名加工情報であることを明示する義務(改正法第37条)
- ② 匿名加工情報を取り扱う場合、本人識別のために、その作成過程で削除された記述等若しくは個人識別符号若しくは加工方法に関する情報を取得し、又は他の情報と照合してはならない義務(改正法第38条)
6 利用目的の変更可能範囲の拡大
個人情報を取り扱うにあたっては、利用目的をできる限り特定しなければならないところ(現行法第15条第1項)、現行法においては、一旦特定した利用目的の(本人の同意なき)変更は、「変更前の利用目的と相当の関連性を有すると合理的に認められる範囲」でのみ認められるとされていました(現行法第15条第2項)。
しかし、改正法では、「相当の」という文言が削除され、「変更前の利用目的と関連性を有すると合理的に認められる範囲」であれば利用目的を変更可能とされています(改正法第15条第2項)。
この改正により、法文上は、利用目的を変更可能な範囲が拡大されているところですが、具体的にどの程度拡大されるのかについては、上記改正法の抽象的な文言からは直ちには明らかとはいえません。
そのため、実務上は、今後の解釈論の展開やガイドライン等の内容を踏まえた、慎重な対応が必要になるものと思われます。
7 第三者提供に関する規制の追加
(1)第三者提供にあたっての記録の作成・保存等の義務
- ※ 本人の同意を得て行う第三者提供の場合にも適用があるとされていますので、ご注意ください。
ア 第三者提供を行う際の記録の作成・保存義務
改正法では、第三者提供を行う際の義務として、以下のような義務が加えられています(改正法第25条)。なお、①の義務の具体的な内容は、今後策定される個人情報保護委員会規則で明らかにされる予定です。
① 以下の各事項に関する記録を作成する義務(第1項)
- ⅰ.提供した年月日
- ⅱ.提供相手の氏名・名称
- ⅲ.個人情報保護委員会規則で定める事項
- ② 上記①の記録につき、作成日から個人情報保護委員会規則で定める期間保存する義務(第2項)
イ 第三者提供を受ける際の確認、記録の作成・保存義務等
改正法では、第三者提供を受ける際の義務として、以下のような義務が加えられています(改正法第26条)。なお、①②の義務の具体的な内容は、今後策定される個人情報保護委員会規則で明らかにされる予定です。
① 以下の各事項の確認を行う義務(第1項)
- ⅰ.当該第三者(提供者)の氏名・名称、住所、法人の場合その代表者氏名、法人でない団体で代表者又は管理人の定めがある場合はその代表者又は管理人の氏名
- ⅱ.当該提供者による当該個人データの取得の経緯
- ※ この確認の前提として、提供者側には、上記確認に係る事項を偽ってはならない義務が課されています(第2項)。
② 以下の各事項に関する記録を作成する義務(第3項)
- ⅰ.提供を受けた年月日
- ⅱ.上記①の確認に係る事項
- ⅲ.個人情報保護委員会規則で定める事項
③ 上記②の記録につき、作成日から個人情報保護委員会規則で定める期間保存する義務(第4項)
ウ 上記アイの義務が課されない場合
主に、現行法において、本人の同意得ずに第三者提供が可能とされる場合(現行法第23条第1項各号→改正法第23条第1項各号)や、第三者提供規制に係る「第三者」に該当しないとされる委託・事業承継・共同利用の場合(現行法第23条第4項各号→改正法第23条第5項各号※)、上記アイの義務は課されないものとされています(改正法第25条第1項但書、第26条第1項但書)。
- ※ 改正法では、法文の一部の記載が変更されましたが、実質的な内容に大きな変更はないと考えられています。
また、国の機関、地方公共団体、独立行政法人等若しくは地方独立行政法人に提供し、又はこれらから提供を受ける場合には、上記アイの義務は課されません(改正法第25条第1項本文括弧書)。
(2)「要配慮個人情報」についてのオプトアウト方式の禁止
上記4で記載しましたとおり、要配慮個人情報については、オプトアウト方式による第三者提供が禁じられることになりました。
(3)オプトアウト方式をとる場合に必要となる手続内容の加重
改正法においては、オプトアウト方式による第三者提供を行うにあたって必要となる手続内容が、主に、以下のとおり、加重されています。
① 現行法においては、予め、本人に対する通知又は本人が容易に知り得る状態に置く必要がある情報として、
- ⅰ.第三者への提供を利用目的とすること
- ⅱ.第三者に提供される個人データの項目
- ⅲ.第三者への提供の手段又は方法
- ⅳ.本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること
が挙げられていましたが(現行法第23条第2項各号)、改正法では、以上に加えて、 - ⅴ.本人の求めを受け付ける方法
が追加されることになりました(改正法第23条第2項第5号)。
② 改正法では、上記①のⅰ~ⅴにつき、予め、本人に対する通知又は本人が容易に知り得る状態に置くことが必要とされるだけでなく、個人情報保護委員会へ届け出ることも必要になりました。
なお、届け出た情報は、個人情報保護委員会により公表されます(改正法第23条第4項)。これにより、個人情報保護委員会の公表情報(※)を確認することで、オプトアウト方式で第三者提供を行っている事業者に関する情報を一覧的に把握できることになる見通しです。
※ 個人情報保護委員会のウェブサイト上等で公表されることが予想されます。
8 「個人情報取扱事業者」の範囲
現行法では、規制を受ける「個人情報取扱事業者」の要件として、いわゆる5,000件要件(現行法第2条第3項第5号、現行法施行令第2条柱書。※)が存在し、小規模事業者等は「個人情報取扱事業者」としての規制を受けないものとされていました。
- ※ 具体的には、概ね「その事業の用に供する個人情報データベース等を構成する個人情報によって識別される特定の個人の数の合計が過去6月以内のいずれの日においても5,000件を超えない者」は「個人情報取扱事業者」に該当しないとするものです。
しかし、改正法では上記5,000件要件が削除され、5,000件要件を充足しない事業者でも「個人情報取扱事業者」として規制を受け得ることとなります(改正法第2条第5項参照)。
9 開示請求権の裁判請求権化
現行法では、個人情報取扱事業者は、本人からの求めがあった場合、原則として、本人に対し、当該本人に係る保有個人データを開示しなければならないとされていました(現行法第25条第1項柱書本文)。
もっとも、従前、裁判例においては、上記規定に基づいて、裁判によって保有個人データの開示を求めることはできないとするものがありました。
しかし、今回の改正においては、現行法の「求め」という文言が「請求」という文言に改められ(改正法第28条第1項等)、裁判によって開示を求めることができることが明示されるに至りました。
そのため、個人情報取扱事業者としては、開示請求訴訟という新たな訴訟リスクを意識した対応を行っていく必要があります。
ただし、開示請求訴訟を提起するには、以下の①及び②の要件を充たさなければならないとされていますので、個人情報取扱事業者が不意打ち的に訴訟提起されるリスクは一定程度低減されているといえます(改正法第34条第1項)。
- ① 被告となるべき者に対して予め開示請求
- ② 以下のⅰ又はⅱの要件の充足
- ⅰ.上記①の請求が到達した日から2週間が経過
- ※上記①の請求は、「通常到達すべきであった時」に到達したものとみなされますので、ご注意ください(改正法第34条第2項)。
- ⅱ.上記①の請求を被告となるべき者が拒否
- ⅰ.上記①の請求が到達した日から2週間が経過
10 個人情報データベース等提供罪の創設
昨今の個人情報漏洩問題を受け、改正法では、個人情報データベース等提供罪が新設されました(改正法第83条)。処罰対象となる行為内容(構成要件)は、概ね、以下のⅰ~ⅲのとおりです。
- ⅰ. 個人情報取扱事業者(法人等の場合は、その役員、代表者又は管理人)若しくはその従業者又はこれらであった者が
- ⅱ. その業務に関して取り扱った個人情報データベース等(その全部又は一部を複製し、又は加工したものを含みます。)を
- ⅲ. 自己若しくは第三者の不正な利益を図る目的で提供し、又は盗用する行為
なお、この個人情報データベース等提供罪の法定刑は、1年以下の懲役又は50万円以下の罰金とされています。
11 外国にある第三者への提供
改正法では、個人情報取扱事業者が外国にある第三者に個人データを提供する場合、原則として、予め、外国にある第三者への提供を認める旨の本人の同意を得なければならないこととなりました(改正法第24条)。
なお、ここでの「外国」や「第三者」には、一定の国や一定の基準に適合する体制を整備している者は含まれないとされています。具体的には、今後策定される個人情報保護委員会規則で明らかにされる予定です(改正法第24条括弧書)。
12 最後に
上記のとおり、本改正は多岐にわたるものであり、個人情報保護法が業種等を問わず広く適用されるものであることを踏まえれば、本改正の社会的影響は大きいものと思われます。
とりわけ、今回の改正は、上記のとおり、ビッグデータビジネスの発展等を受け、個人情報のビジネス等における有用性を一定程度尊重する側面を有する一方、昨今の個人情報漏洩問題等を受け、規制を加重する側面も有しています。そのため、事業者としては、今後のビジネス展開・リスク管理の両局面において意識せざるを得ない内容であると思われます。
改正法は、法文のみでは抽象的な部分も多く、対応にあたっては、規定の趣旨等を踏まえた慎重な判断を要します。
改正法への対応を含め、個人情報に関する法務につき、お悩み等ございましたら、是非お気軽にご相談ください。
以上