個人情報保護法令和2年改正のポイント①~個人の権利の在り方~
タイトル:個人情報保護法令和2年改正のポイント①~個人の権利の在り方~
令和2年6月12日に公布された「個人情報の保護に関する法律等の一部を改正する法律等の一部を改正する法律」(以下「令和2年改正法」といいます。)の施行が、令和4年4月1日からと迫ってきています。
本稿では、令和2年改正法のうち、本人の権利(個人情報をコントロールする権利)の強化部分(「個人の権利の在り方」)について解説していきます。
1.保有個人データの範囲拡大(法第2条第7項)
現行法では、6か月以内に消去する個人データ(短期保存データ)は「保有個人データ」に含まれないとされていましたが、令和2年改正法では、個人情報取扱事業者が保有する全ての個人データが個人情報保護法上の「保有個人データ」に該当することになります(法第2条第7項)。
これにより、個人情報取扱事業者においては、個人データの保存期間にかかわらず、「保有個人データ」について必要とされる法定事項の公表(法第27条第1項)を行うとともに、利用目的通知、開示、訂正・追加・削除、利用停止・消去、第三者提供の停止の各請求に対応する義務が生じます(法第27条第2項、法第28条~第30条)。
2.利用停止、消去、第三者提供の停止請求要件の緩和(法第30条第1項、第5項)
⑴ 利用停止、消去の請求(法第30条第1項、第5項)
現行法においては、個人情報取扱事業者が保有個人データの利用停止、消去を請求されるのは、
①目的外利用されている場合(法第16条第1項参照)
②偽りその他不正の手段により取得された個人情報が利用されている場合(法第17条第1項参照)
に限定されていました。
しかし、令和2年改正法では、新たに、
①不適正利用の場合(法第16条の2参照)
②事業者が個人データを利用する必要がなくなった場合
③重大な漏えい等が発生した場合(法第22条の2参照)
④本人の権利又は正当な利益が害されるおそれがある場合
にも、利用停止、消去を請求できるようになります(法第30条第1項、第5項)。
⑵ 第三者提供の停止の請求(法第30条第5項)
現行法においては、個人情報取扱事業者が保有個人データの第三者提供の停止を請求されるのは、
①第三者提供制限違反の場合(法第23条第1項参照)
②外国提供違反の場合(法第24条第1項参照)
に限定されていました。
しかし、令和2年改正法では、新たに、
①事業者が個人データを利用する必要がなくなった場合
②重大な漏えい等が発生した場合(法第22条の2参照)
③本人の権利又は正当な利益が害されるおそれがある場合
にも、利用停止、消去を請求できるようになります(法第30条第5項)。
⑶ 上記請求に対する対応(法第31条)
個人情報事業者が、利用停止、消去、第三者提供の停止の請求をされた場合には、当該請求に理由があるかを判断した上で、当該請求に応じるかを検討することになります。
当該請求に理由があると判断した場合でも、当該請求に応じることが多額の費用を要する場合など当該請求に応じることが困難な場合には、本人の権利利益を保護するために必要な代替措置を採ることも選択できます(法第30条第2項、第4項)が、その場合には、その代替措置を採った理由を説明する努力義務が課せられます(法第31条)。
当該請求に理由がないと判断した場合にも、その判断の理由を説明する努力義務が課せられています(法第31条)。
3.保有個人データ開示のデジタル化(法第28条第1項、規則第18条の6)
現行法においては、本人から保有個人データの開示請求を受けた場合、原則、書面交付の方法により開示する(本人が同意した方法がある時はその方法)とされていましたが、令和2年改正法では、本人が、電磁的記録の提供による方法を望んだ場合、個人情報取扱事業者はこれに応じることが義務付けられます。
『ガイドライン(通則編)』[i](P124)では、電磁的記録の提供による開示の例としては、CD-ROMの交付、電子メールに添付、ウェブサイト上での電磁的録のダウンロードを挙げています。
4.第三者提供記録の開示の義務化(法第28条第5項)
現行法においては、個人データの第三者提供記録は、作成・保存が義務付けられているだけでしたが(法第25条第1項、第26条第3項)、令和2年改正法では、本人からの開示請求の対象になります(法第28条第5項)。
なお、個人関連情報(提供元では個人データに該当しないものの、提供先において個人データとなることが想定される情報)の第三者提供記録については、開示請求の対象ではありません(法28条第5項、ガイドラインに関するQ&A(Q9-14)[ii])。
5.オプトアウト規制の強化(法第23条第2項)
⑴ 対象となる個人データの限定(法第23条第2項)
現行法では、オプトアウト規定(本人の求めがあれば事後的に停止することを前提に、提供する個人データの項目等を公表した上で、本人の同意なく第三者に個人データを提供できる制度)の対象となる個人データについては、要配慮個人情報だけが除外されていました。
しかし、令和2年改正法では、不正取得個人データ(法第17条第1項参照)とオプトアウト規定により取得された個人データもオプトアウト規定の対象から除外されます。
⑵ オプトアウト届出等事項の追加(法第23条第2項第1号、第8号、規則第7条第4項各号)
オプトアウトのために、公表し、個人情報保護委員会に届出なければならない項目として、
①個人情報取扱事業者の名称、住所及び代表者の氏名
②第三者に提供される個人データの取得方法
③第三者に提供される個人データの更新の方法
④当該届出に係る個人データの第三者への提供を開始する予定日
が追加されたため(法第23条第2項第1号、第8号、規則第7条第4項各号)、オプトアウトに係る 個人情報保護委員会への届出を改めて行う必要があります。
6.さいごに
令和2年改正により、個人情報保護規程やプライバシーポリシー等の変更が必要になる場合もあります。対応が未了の場合には、早急に現在の個人情報の取扱いを確認した上で、改訂の必要性を検討し、令和4年4月1日の施行までに対応するようにしましょう。
[i] 個人情報の保護に関する法律についてのガイドライン(通則編)https://www.ppc.go.jp/files/pdf/210101_guidlines01.pdf
[ii] 「個人情報の保護に関する法律についてのガイドライン」に関するQ&A https://www.ppc.go.jp/files/pdf/2109_APPI_QA_4ejj3t.pdf
鳥飼総合法律事務所 弁護士 横田未生
関連するコラム
-
2024.12.20
奈良 正哉
ホンダ日産経営統合
ホンダと日産は経営統合する方向だ。事実上ホンダによる日産の救済だろう。 日産は、スカイラインやフ…
-
2024.12.19
奈良 正哉
政策株売却金で投資
東京海上は政策保有株式の売却金を戦略的な投資に当てている。あらたに建設コンサルティング会社を買収し…
-
2024.12.16
奈良 正哉
アクティビストの保有期間
日経に主要アクティビストの平均投資期間が掲載されている(12月5日)。2~3年が多いようだ。そんな…
-
2024.12.04
奈良 正哉
野村証券社員強盗殺人未遂・放火
野村証券の元社員が、顧客への強盗殺人未遂・放火で起訴された。これを受けて野村の社長以下幹部役員が自…