個人情報の保護に関する法律(以下、個人情報保護法)が本日、4月1日に施行される。そこで本稿では、新たに施行される改正個人情報保護法(以下、改正法)は、これまでの個人情報保護法(以下、旧法)と何が変わるのか、そして、企業が個人情報を利活用するうえでどのような点に注意すべきかをお伝えしたい。

LegalForceの法務開発部門統括で法務開発セクションマネージャーを務める奥村友宏氏と、同じく法務開発セクションの今野悠樹氏の2人の弁護士に話を聞いた。

  • 奥村友宏氏(左)、今野悠樹氏(右)

個人情報保護法改正の背景

平成15年(2003年)に成立した個人情報保護法は平成27年(2015年)に改正を迎えたのだが、この時に、各時代の情報通信技術の発展や新産業の創出などを想定して、3年ごとに法令を見直す規定が盛り込まれた。令和2年(2020年)に、この3年ごとの見直し規定に基づく初めての法改正が行われ、同改正は令和4年(2022年)4月1日より施行となる。

ビッグデータの利活用やAI(Artificial Intelligence:人工知能)の社会進出が目覚ましい一方で、個人情報を取り扱う際の是非が問われるような場面も増えてきた。そのような社会背景も鑑みて、企業が事業を運営する際に個人情報がもたらす利益と、個人の守られるべき権利の線引きが今回の法改正で変更される。

多くの企業にとっては、対応が必要な事項や報告義務などが追加されているため注意が必要だ。

具体的な法改正の内容

個人情報保護委員会が改正法の概要を掲出している。今回はこれに従って、特に多くの事業者に影響がありそうな事項に焦点を当てて改正のポイントを見ていこう。

  • 改正法の概要 資料:個人情報保護委員会

「個人の権利の在り方」

旧法において、事業者に対して個人保有データの利用停止や消去を請求できるのは、事業者が法令に違反した場合や目的外利用が発覚した場合などに限定されていた。改正法においてはこれが緩和され、個人の権利が害される「おそれ」がある場合にも利用停止や消去を請求できるようになった。

「おそれ」には、個人情報取り扱い業者が安全管理措置を十分にとっていない場合や、送付の停止を再三請求したにもかかわらずダイレクトメール送付のために利用された場合など、今後個人情報の目的外利用が危惧されるような場合も該当する。個人情報保護委員会がガイドラインを掲出しているので、当面はこれに従うのが良いだろう。奥村氏は「新しくできたルールなので、今後事例が集まることで精緻化されていくはず」としている。

個人情報を取得した事業者が第三者に個人情報を受け渡す際は、誰に、いつ、どのような情報を渡したのかを記録しておく必要がある。これは旧法でも定められているのだが、本人への開示義務がなかった。個人情報の漏えいなどが起こった際に、どのように情報が管理されていたのかを確認する目的で定められた規定だったからだ。

しかし改正法では、この情報を開示するよう個人が請求できるようになる。以前から情報を管理していたのであれば特別な対応は不要なのだが、もともと情報漏えいが発生した場面を想定した資料であるため、正確に情報を記録している企業は多くないかもしれない。実は、建前以上に業務の負担となり得る。また、実際に情報の開示を求められた際に必要となる社内プロセスや承認フローなども事前に定めておく必要があるだろう。

また、短期保存を前提とした保有個人データの取り扱いについても規定が改められる。旧法では6カ月以内に削除される保有個人データについては情報開示請求や利用停止請求ができなかったのだが、改正法では対応が必要となる。個人にとってはいつでも個人データの訂正や消去を請求できるようになるため不安軽減につながるのだが、企業はこれまで対応が不要だった保有個人データについても個人の請求に対応する必要が生じるため、業務の見直しも必要となる。

  • 奥村友宏氏

「事業者の守るべき責務の在り方」

「2.事業者の守るべき責務の在り方」の大きな変更点として、個人情報の漏えいが発生した場合に個人情報保護委員会への報告と本人への通知が義務化される。旧法では努力義務とされていたが、改正法では明確に義務付けられることとなった。

報告の義務が発生するのは「1000人を超える情報が漏えいした場合」「病歴や思想信条などの要配慮個人情報が1件以上漏えいした場合」「クレジットカード情報など財産的被害の恐れがある情報が1件以上漏えいした場合」「サイバー攻撃など不正な目的によって情報が1件以上漏えいした場合」だ。

事業者としては「個人情報の漏えいは起こり得るもの」と認識したうえで、万が一発生した場合の社内対応フローや報告プロセスを整理するべきだ。対応フローは事業者が保有する個人情報の種類によっても変わるため、個人情報保護委員会のガイドラインなどを参照しながら企業ごとに仕組みを作る必要があるという。

なお、個人情報は企業間での受け渡しが発生する場合もある。こうした場合には、委託先企業と委託元企業の双方が報告するのか、あるいは委託元企業が報告するのかなどを事前に契約書や覚書などで定めておくことで、迅速な対応の一助となるはずだ。

報告の義務化に加えて、改正法では不当な行為を助長するような不適正な方法で個人情報を利用してはならない旨が明確化された。旧法では、法律上ただちに違法性が認められるものではない場合については規定されていなかったとのことだ。また、差別を助長するような個人情報の利用も明確に禁じられた。個人情報保護委員会のガイドラインでは事例を交えながら禁止事項を紹介しているので参照してほしい。自社のサービスが不当な行為や差別を助長する内容ではないかをいま一度確認するのがよいだろう。

  • 今野悠樹氏

「データ利活用に関する施策の在り方」

次は「4.データ利活用に関する施策の在り方」に関する解説だ。改正法においてはイノベーションを促進する観点から、氏名など個人を特定できる項目を削除した「仮名加工情報」に関する規定が創設された。

仮名加工情報は、医療機関において診察情報をAI開発に利用する場合や、企業の顧客情報をマーケティングに利用する場合など、社内でのデータ分析に限定するような一定条件のもとにおいて利用目的の変更が可能だ。さらに、仮名加工情報として扱っている場合には、情報開示請求を受けた場合の対応や情報漏えい時の報告義務などが一定程度免除される。

しかし、自社内では仮名加工情報と思って利用していても、第三者から見た際に個人情報と指摘されないよう、個人情報保護委員会のガイドラインにのっとってデータ加工する必要がある。旧法ではデータを加工してその情報のみでは個人を特定できなくした状態であっても、当初の利用目的と関連性のない利用目的への変更が禁じられていた。近年のAI技術の進歩などを踏まえた改正点と言えそうだ。

また、提供元の企業では個人データに該当しないものの、第三者である提供先では個人データとして利用できるような情報を企業間で受け渡す場合に、本人同意を得ているか否かを確認する義務が生じるようになった。

こうした「保有している企業においては個人情報ではないが、データ提供先の企業では個人情報になるような情報」は、「個人関連情報」と呼ばれる新たな類型として規制の対象に加わった。CookieやWebサイトの閲覧履歴、IPアドレス、位置情報などが個人関連情報に該当する。

2019年に発生した、新卒採用における候補者のスコアリングサービスは大きな社会問題となった。提供元の企業では個人のIDと内定辞退率をひもづけていなかったため、個人情報には該当しなかったが、データ提供先の企業ではIDなどを候補者情報と突合することで個人を特定できる仕組みのサービスだ。旧法では明確な違法性が認められるわけではなかったものの、個人情報の扱い方を揺るがす事例として、今回の法改正にも影響を与えている。

「法の域外適用・越境移転の在り方」

「法の域外適用」とは、日本の法律を他国の企業に対しても適用する規制を指す。例えば、アメリカのECサイトが日本でサービスを展開するために日本居住者の個人情報を取得する場合にも、日本の個人情報保護法を順守する必要があるということだ。

EUのGDPR(General Data Protection Regulation:EU一般データ保護規則)は、EU居住者の個人情報を取得する場合について、EU域外に拠点を置く事業者に対しても同法の適用対象としている。このように、Web技術をはじめとするデジタルテクノロジーの発展によって、国や地域にとらわれないサービス展開が可能となっている現代において、グローバル規模で生活者の権利を保護する動きが見られる。

もう一方の「越境移転」は、日本の事業者が海外の第三者へ個人情報を提供する際の規制だ。社員の給与計算を海外企業に委託する場合や、個人情報を扱うオフショア開発などが該当する。個人情報を海外へ移転する際には原則として本人の同意が必要である点は旧法から変わらないのだが、同意を取得する際の要件が厳しくなる。

旧法では情報を提供する第三者への提供を求める旨の本人の同意が要求されていた。しかし改正法では、これに加えて、情報移転先の企業が置かれる国の法制度を明示しなければならず、アメリカの企業へ個人情報を移転したい場合には、アメリカの法令を調べて提示できるようにしておく必要がある。

個人情報保護委員会が順次各国の法制度の概要を掲出しているので、当面はこれを利用するのが良さそうだ。しかし、同委員会が掲出していない国や比較的マイナーな国へ個人情報を移転する際には、独自に各国の法制度を調査して提示しなければいけない。

本稿で紹介した改正のポイントは、企業の法務部門だけでなく、情報システム部やマーケティング部門など多くの部署に影響がありそうだ。メールマガジンの配信リストや顧客情報など、自部署で取り扱っている個人情報について改めて振り返ってみてほしい。

今回お話を伺ったのは
奥村友宏氏 LegalForce 法務開発部門統括 法務開発セクションマネージャー/弁護士
慶應義塾大学法学部法律学科在学中に旧司法試験に合格し、2011年弁護士登録。同年長島・大野・常松法律事務所入所。2017年 Duke University School of Law(LL.M.)修了、2018年ニューヨーク州弁護士登録。Kramer Levin Naftalis & Frankel LLP(New York)、長島・大野・常松法律事務所バンコク・オフィス勤務を経て2020年4月LegalForce参画。法務開発部門を統括
今野悠樹氏 LegalForce 法務開発セクション/弁護士
早稲田大学法学部、東北大学法科大学院卒業。2014年司法修習修了。ヤフーにてビジネス法務・政策渉外などに従事した後、国会議員政策担当秘書を経て、2021年から現職。社内では法務開発、法律コンテンツ制作等を担当