令和4年(2022年)改正個人情報保護法「仮名加工情報」新設等でデータの利活用を促進
個人情報の取り扱いに関する法律はたびたび改正され、その時代に合わせて変化していきます。個人情報取扱事業者は、迅速にこれらの改正ポイントをキャッチアップし、社内の体制を整備する必要があります。
個人の権利の強化や海外含む第三者提供にまつわる変更、「仮名加工情報」や「個人関連情報」の新設など、2022年の個人情報保護法の改正で変更されるポイントは多岐にわたります。事業者は、どのような改正があり、取るべき対応は何かを正しく理解しなければなりません。
そこで、2022(令和4)年4月1日に新設改正された「個人情報保護法」と、個人情報取扱事業者の実務対応へのチェックポイントを解説します。
この記事の目次
個人情報保護法とは
「個人情報保護法」とは、正式名称は「個人情報の保護に関する法律」と言います。「個人情報保護法」は、個人情報の有用性と個人の権利利益保護のバランスを図ることを目的とした、個人情報の適正な取り扱い(取得・利用・保管・管理・提供・開示・停止・消去方法の規制)を定める法律です。
「個人情報保護委員会」を管轄として、個人情報データベース等を取り扱う全ての行政機関や民間事業者に対する遵守すべき義務や違反した場合の罰則規定が定められています。
個人情報保護法改正の経緯
個人情報保護法は、平成15年(2003年)5月23日に成立し(法令平成15年5月30日法律第57号)、一般企業に直接関わり罰則を含む第4章〜第6章以外の規定は即日施行され、平成17年(2005年)4月1日に全面施行されました。
平成27年(2015年)の改正では、社会全体のデジタル化に対応した「個人情報の保護」と「個人データ利活用」の両立、「国際的制度との調和」が要請される情勢の中、3年ごとに見直すという規定も盛り込まれました。
平成29年(2017年)5月に施行された改正法では、個人データに「個人識別符号」「要配慮個人情報」「匿名加工情報」が新設されたほか、トレーサビリティ(追跡可能性の確保)制度の新設・個人データ消去努力義務の新設・外国にある第三者提供の制限の新設・個人情報保護委員会の新設がされ、主務大臣による監督から個人情報保護委員会による一元的な監督体制に変更となりました。
そして、令和4年(2022年)4月1日、改正個人情報保護法が施行されました。
これは令和2年(2020年)6月12日に公布されたもので、従前における個人情報保護関連3法(個人情報保護法・行政機関個人情報保護法・独立行政法人等個人情報保護法)を統合・一本化するという観点から、「個人情報保護法制」の最も大きな改正となっています。
個人情報の定義等における官民の統一はもとより、グローバルなAI・ビッグデータ時代への対応と個人の権利利益の保護強化の必要性の背景から、さまざまな変更が盛り込まれた新設改正法となりました。
具体的な改正点としては、個人データに「仮名加工情報」と「個人関連情報」が新設、海外を含む保有個人データの取扱に関する規制が強化され厳罰化されました。また漏洩等(漏洩・滅失・毀損)があった場合には、個人情報保護委員会への報告と本人への通知が義務付けられました。
つまり、日本国内にある者に係る個人情報等を取り扱う外国事業者も行政上の報告徴収・命令の対象とし、罰則も適用されることとなりました。罰則については、こちらの記事にて詳しく解説しています。
関連記事:令和4年(2022年)改正個人情報保護法「ペナルティ」について解説
また2023(令和5)年4月1日には、「地方公共団体ごとの個人情報保護条例の規定や運用」「医療分野における法律上のルール」「学術分野における例外規定」の相違による保護レベルの不均衡・不整合を是正するため、規制の統一を図る目的として「個人情報保護委員会」が一元的に制度を所管する官民一元化された改正法が全面施行されます。
個人情報保護法において保護対象となる6つの「個人に関する情報」とは
「個人情報保護法」では、保護対象となる「個人に関する情報(パーソナルデータ)」を6種類の語で使い分けており、個人情報取扱事業者に課される義務はそれぞれ異なるので注意が必要です。
総務省の「情報通信白書」によると、「パーソナルデータ」とは、個人の属性情報・移動・行動・購買履歴・ウェアラブル機器から収集された個人情報を含みます。
個人情報保護法第2条では以下の6種類の個人情報について定義されています。
- 個人情報
- 個人識別符号
- 要配慮個人情報
- 仮名加工情報
- 匿名加工情報
- 個人関連情報
それぞれの定義を以下にまとめました。
| 名称 | 定義 |
|---|---|
個人情報 (第2条1項) | 生存する個人に関する情報 たとえ死者の情報であっても生存する個人と関連がある場合には、その生存する個人の情報になる場合があるといわれています。例えば被相続人の財産に関する情報は、その生存している相続人に相続されることになる財産の情報という側面があるので、生存者の個人情報になり得るということです。 |
| 個人情報 (第2条1項1号) | 特定の個人を識別することができるもの(単体) 例)氏名・生年月日・住所・電話番号・メールアドレスは単体で、個人が特定できる場合は顔写真・防犯カメラなどの映像・音声なども該当。 |
| 個人情報 (第2条1項1号) | 他の情報と容易に照合して、特定の個人を識別することができるもの 例)血液型・性別 ・家族構成・本籍地・銀行口座番号・クレジットカード・診察券・勤務先・社員番号・契約者番号・登記識別情報 ・会員IDなど ※事業者の実態に即し個別の事例ごとに判断されるべきですが、通常の業務の一般的な方法で、他の情報と容易に照合することができる状態をいい、例えば他の事業者への照会を要する場合等であって照合が困難な状態は、一般に、容易に照合することができない状態であると解されます。 |
| 個人情報 (第2条1項2 号) | 個人識別符号が含まれるもの |
| 個人識別符号 (第2条2項) | 文字・番号・記号その他の符号のうち、政令で定めるもの ①生体認証(DNA(ゲノムデータ・塩基配列情報のみ)・顔・指紋・静脈・虹彩・声紋・耳介・歩容など) ②役務利用・商品購入に関し割り当てられた符号マイナンバー・住民票コード・印鑑登録証番号・運転免許証番号・パスポート・保険証番号・基礎年金番号・国家資格登録番号・特別永住者証明書番号など |
| 要配慮個人情報(センシティヴデータ) (第2条3項) | 差別・偏見その他の不利益が生じないよう取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報 例)人種・信条・社会的身分・病歴・障害・犯罪歴・犯罪被害など ※ゲノム情報(ゲノムデータに医学的なアノテーションを付与した場合)は病歴となります。 |
仮名加工情報(新設) (第2条5項) | 他の情報と照合しない限り、特定の個人を識別することができないように、個人情報を加工して得られる個人に関する情報 ①特定の個人を識別することができる記述等の全部又は一部を削除 ②個人識別符号の全部を削除 ③不正に利用されることにより財産的被害が生じるおそれがある記述等の全部を削除 |
匿名加工情報 (第2条6項) | 特定の個人を識別することができないように、個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたもの ① 特定の個人を識別することができる記述等の全部又は一部を削除 ② 個人識別符号の全部を削除 ③ 個人情報と他の情報とを連結する符号を削除 ④ 特異な記述を削除すること ⑤ 上記のほか、個人情報とデータベース内の他の個人情報の記述との差異・当該データベースの性質を勘案し、適切な措置を講じる ※マスキングのみで法令に定める適切な加工を行っていない場合は、匿名加工情報ではなく個人データになります。 |
| 個人関連情報(新設) (第2条7項) | 個人情報・仮名加工情報・匿名加工情報のいずれにも該当しないもの 例)位置情報(GPS捜査含む)・交通系ICカードや渡航歴などの移動履歴・IPアドレス・ログ情報・Cookie情報・端末固有IDや広告IDなどの識別子 ・インターネットの閲覧歴・利用履歴・購入履歴などのインフォマティブデータ |
令和4年改正個人情報保護法の6つのポイント
令和2年(2020年)に新設改正された個人情報保護法は、社会・経済情勢の変化を踏まえ次の5つの視点から、「個人情報や個人に関連する情報を巡る技術革新の成果が経済成長等と個人の権利利益の保護との両面で行き渡る制度」を目指して改正されたとしています。
- 個人の権利利益の保護
- 技術革新の成果による保護と活用の強化
- 国際的な制度調和・連携
- 越境データの流通増大に伴うリスクへの対応
- AI・ビッグデータ時代への対応
出典:個人情報保護委員会「個人情報保護法令和2年改正についてきく|利活用の促進と個人情報の適切な取扱いのために」
令和4年の個人情報保護法改正におけるポイントは以下の6つが挙げられます。
- 本人の請求権の拡大
- 事業者の責務の追加
- 事業者の自主的な取組の推進
- データ利活用の促進
- ペナルティの強化
- 域外適用等の拡充
2022(令和4)年4月1日に施行された「改正個人情報保護法」に適応するため、個人情報取扱事業者は、個人情報保護に関するマネジメントシステムやプライバシーポリシー・社内規定・契約内容(利用規約など)などの見直しや改定を行う必要があります。個人情報保護委員会(PPC)の随時更新される「個人情報保護法ガイドライン」や研修資料などを参考に、自社の個人情報管理体制を見直しましょう。
なお、今回の改正点のうち、追加された事業者の責務については、下記記事にて詳しく解説していますので、あわせてご覧ください。
関連記事:令和4年(2022年)改正個人情報保護法「事業者の責務」について注意点を解説
個人データに関する個人の権利のあり方
ここでは、今回の改正で拡大された個人データに関する権利についてと、実務上どのような対応が必要になるのかについて解説します。
利用停止、消去、第三者提供停止の請求の要件緩和
個人情報の利用停止や消去・第三者提供停止の請求は、改正前は目的外利用・不正取得等の場合のみ可能でしたが、改正法では個人の権利または正当な利益が害されるおそれがある場合にも請求が可能となりました。また、個人情報を利用する必要がなくなった場合等にもこれらの請求が可能になりました。
したがって、改正後は、個人情報取扱事業者へのこれらの請求件数が増加することが予想されます。事業者側では、これらの請求に対応するためのリソースの確保とマニュアル等の再整備が必要となります。
また、「利用する必要がなくなったか否か」を判断するために、各保有個人データについて、利用目的を確認できる体制が必要となるでしょう。
本人からの開示請求の拡充
本人からの「保有個人データの開示請求」の範囲が拡充され、個人情報取扱事業者の個人データの授受に関する第三者提供記録についても、開示請求できるようになりました。
また、これまで開示請求は書面による交付のみでしたが、本人の指定する方法による開示(電磁的記録の提供による開示)が選択可能となりました。これにより、個人情報取扱事業者に対するオンライン開示請求件数の増加が予想されます。事業者側では、電磁的記録の提供による方法が実現できるよう、技術的・組織的な取り組みが必要となります。
個人情報取扱事業者は、本人が保有個人データの提供方法を指定して開示を請求した場合には、指定した方法による開示が困難である場合を除き、本人が請求した方法で開示する必要があります。
個人情報取扱事業者は、電磁的記録のファイル形式(PDF形式・Word形式等)や電磁的記録の提供方法(電磁的記録を記録媒体に保存して郵送する・電磁的記録を電子メールに添付して送信する・ウェブサイト上で電磁的記録をダウンロードさせる等の方法)を定めることができ、本人が指定した開示方法が困難な場合には対応可能な方法で開示すれば足ります。もっとも、本人の利便性向上の観点から、可能な限り本人の要望に沿った形で対応することが望ましいと考えられます。
出典:個人情報保護委員会「個人情報の保護に関する法律についてのガイドラインに関するQ&A|A9-10」
開示等の対象となる保有個人データの範囲の拡大
改正前は、6か月以内に消去する短期保存の個人データは「保有個人データ」には含まれないとされていましたが、改正法では保存期間とは無関係に「保有個人データ」の対象となりました。
したがって、改正前に短期保存を理由に請求対象外と整理していた個人情報取扱事業者は、取扱いの改訂が必要となります。
オプトアウト規制の強化:通知・公表・届出事項の追加
本人への通知・公表や個人情報保護委員会へ届出を行うべき事項に、下記の事項が追加されました。
- 第三者提供を行う個人情報取扱事業者の名称等
- 第三者提供される個人データの取得方法
「オプトアウト方式」を利用すれば、あらかじめ本人に対して「個人情報を第三者提供する」という利用目的を明示し、本人からの希望があれば「第三者提供を停止する」ということを事前公表しておけば問題がありませんでした。
今回の法改正により、「オプトアウト方式」で個人データを第三者へ提供しようとする場合には、事前に個人情報保護委員会に届出をしなければならなくなりました。またオプトアウト提供を止めた場合にも、その旨の変更届出をすることが義務付けられました。
したがって「オプトアウト方式」での第三者提供を行う事業者は、そのための通知・公表を行っているプライバシーポリシーについて、修正等が必要となります。
オプトアウト規制の強化:二重オプトアウトの禁止
「オプトアウト方式」の対象とならない個人データは、「要配慮個人情報」に加え「不正取得した個人データ」も規制の範囲となり、「オプトアウト方式」で取得した個人データは再度「オプトアウト方式」で提供してはならない二重オプトアウトの禁止規定も新設されました。
したがって、個人情報取扱事業者は、「オプトアウト方式」での第三者提供を行う個人データに関して、どのような手段で取得・入手されているかを検証し、改正法への対応を行う必要があります。
改正個人情報保護法によりデータの利活用が拡大
仮名加工情報の新設
例えば、統計利用等のために、個人情報を「匿名加工情報」や「仮名加工情報」に加工するというケースが考えられます。
既述したとおり「匿名加工情報」とは、他の情報との照合によっても特定の個人を識別できないように加工された個人データですが、匿名加工情報には以下のルールがありました。
- 第三者提供に本人同意が不要
- 識別行為の禁止
- 匿名加工情報を作成したときは、当該匿名加工情報に含まれる個人データの項目を公表
一方、今回の改正で新設された「仮名加工情報」とは、他の情報との照合で個人識別可能な加工された個人データです。仮名加工情報に対しては、以下のルールが定められました。
- 利用目的の変更の制限はないが、変更時には変更後の利用目的を公表
- 識別行為・本人への連絡等の禁止
- 本人からの開示・利用停止等の請求への対応義務はない
- 漏洩時の報告・通知義務はない
- 第三者提供の禁止
ただし、提供先が、委託・事業承継・共同利用(グループ会社・共同研究など)の場合には、「仮名加工情報」を提供することは可能です。
個人情報取扱事業者には「仮名加工情報」を用いた加工などを行う場合、利用目的の特定・公表や第三者提供との関係で、プライバシーポリシーの改定が必要になります。
提供先で個人データとなる個人関連情報の規制
提供元では「個人関連情報」ではあるが、提供先で「個人データ」として取得することが「想定される」場合、提供先はその旨の本人の同意が得られているかを提供元に確認する必要があります。
いわゆるDMP(Data Management Platform)または類似サービスの提供者には、「個人データ」の第三者提供に準じた規制が課せられています。
例)匿名の投稿者を名誉毀損罪で訴える場合に、発信者情報開示請求により、IPアドレスを保有するサイト管理者がインターネット通信業者(NTT・携帯会社など)に情報提供する場合
越境の規制強化・域外適用に関する規定
外国にある第三者へ個人データを提供する場合、改正前は「本人の同意」と提供先が「基準に適合する体制を整備した事業者」であること、そしてEUや英国などの「日本と同等の水準国」であることが要件でした。
改正法では、前者2つにおいて要件が追加されることになりました。具体的には「本人からの同意」を取得する際において、以下の情報開示が義務付けられました。
- 移転先の所在国の名称
- 当該外国における個人情報の保護に関する制度
- 移転先が講ずる個人情報保護のための措置
- その他当該本人に参考となるべき情報
また「基準に適合する体制を整備した事業者」であることの確認については、データ移転元が「必要な個人情報保護のための措置」を講ずること、本人の請求に応じてこれらの情報を提供することが義務化されました。
移転元が講ずる必要な措置とは、具体的には「移転先における適正な取扱状況などの管理体制」と「移転先における適正取扱にリスクが生じた場合の対応」が挙げられます。
有名なEUの個人情報保護制度であるGDPR(一般データ保護規則)や英国・APECのCBPR システムの加盟国のほか、諸外国には独自の個人情報保護制度が存在しているため、ビジネスの状況によっては事前に把握し対処しておく必要があります。
「個人情報保護制度」についての指標となり得る情報としては、「OECD(経済協力開発機構)プライバシーガイドライン8原則」に適合する事業者の義務または本人の権利が存在しない場合には、その内容を本人に情報提供しなければなりません。日本の「個人情報保護法」との本質的な差異を示すものであるためです。
外国には、日本以上に厳しい個人情報保護制度もあると考えられるため、その調査把握は重要となります。詳しくは、個人情報保護委員会の国際関係の情報提供をご覧ください。
改正法では、個人情報保護委員会が外国事業者に対しても罰則によって担保された報告徴収・命令・立入検査ができるようになり、国内事業者とのイコール・フッティング(条件の同一化)が図られました。
国内外の事業者に対して実効的に権限を行使しかつ適正手続を担保するため、送達に関する手続(領事送達・公示送達等)を具体化しています。外国主権との関係から、他国の同意がない限り他国領域内における公権力の行使はできないため、必要に応じて外国当局との執行協力を行っていく方針となっています(GDPRのような代理人の設置義務は求められていません)。
まとめ:個人情報保護法改正への対策は、弁護士にご相談を
以上、令和4年(2022年)改正個人情報保護法のポイントと、事業者に必要となる実務での対応について解説しました。ここで取り上げた改正点の他にも、個人情報取扱事業者が対応すべきことは数多くあります。
世界的にも、パーソナルデータ活用に対する法規制が進んでいます。特にインターネット上でのサービスを提供している事業者は、世界中から自社のWebサイトにアクセスが可能であることを踏まえて、これらの規制に応じた対応を行う必要があります。
事業者は、日本の個人情報保護法の改正点のみならず、世界の動向にも注視しつつ、自社の個人情報管理体制を見直す必要があります。個人情報保護法改正への対応にお困りの場合は、弁護士に相談することをおすすめします。
当事務所による対策のご案内
モノリス法律事務所は、IT、特にインターネットと法律の両面に高い専門性を有する法律事務所です。昨今、個人情報の漏洩は大きな問題になっています。万が一個人情報が漏洩してしまった場合、企業活動に致命的な影響を及ぼす場合もあります。当社は情報漏洩防止や対応策について専門的な知見を有しています。下記記事にて詳細を記載しております。
モノリス法律事務所の取扱分野:個人情報保護法関連法務
カテゴリー: IT・ベンチャーの企業法務
