個人情報保護法令和２年改正のポイント①～個人の権利の在り方～

タイトル：個人情報保護法令和２年改正のポイント①～個人の権利の在り方～

　令和２年６月１２日に公布された「個人情報の保護に関する法律等の一部を改正する法律等の一部を改正する法律」（以下「令和２年改正法」といいます。）の施行が、令和４年４月１日からと迫ってきています。
　本稿では、令和２年改正法のうち、本人の権利（個人情報をコントロールする権利）の強化部分（「個人の権利の在り方」）について解説していきます。

１．保有個人データの範囲拡大（法第２条第７項）

　現行法では、６か月以内に消去する個人データ（短期保存データ）は「保有個人データ」に含まれないとされていましたが、令和２年改正法では、個人情報取扱事業者が保有する全ての個人データが個人情報保護法上の「保有個人データ」に該当することになります（法第２条第７項）。
　これにより、個人情報取扱事業者においては、個人データの保存期間にかかわらず、「保有個人データ」について必要とされる法定事項の公表（法第２７条第１項）を行うとともに、利用目的通知、開示、訂正・追加・削除、利用停止・消去、第三者提供の停止の各請求に対応する義務が生じます（法第２７条第２項、法第２８条～第３０条）。

２．利用停止、消去、第三者提供の停止請求要件の緩和（法第３０条第１項、第５項）

　⑴　利用停止、消去の請求（法第３０条第１項、第５項）
　現行法においては、個人情報取扱事業者が保有個人データの利用停止、消去を請求されるのは、
　①目的外利用されている場合（法第１６条第１項参照）
　②偽りその他不正の手段により取得された個人情報が利用されている場合（法第１７条第１項参照）
に限定されていました。
　しかし、令和２年改正法では、新たに、
　①不適正利用の場合（法第１６条の２参照）
　②事業者が個人データを利用する必要がなくなった場合
　③重大な漏えい等が発生した場合（法第２２条の２参照）
　④本人の権利又は正当な利益が害されるおそれがある場合
にも、利用停止、消去を請求できるようになります（法第３０条第１項、第５項）。

　⑵　第三者提供の停止の請求（法第３０条第５項）
　現行法においては、個人情報取扱事業者が保有個人データの第三者提供の停止を請求されるのは、
　①第三者提供制限違反の場合（法第２３条第１項参照）
　②外国提供違反の場合（法第２４条第１項参照）
に限定されていました。
　しかし、令和２年改正法では、新たに、
　①事業者が個人データを利用する必要がなくなった場合
　②重大な漏えい等が発生した場合（法第２２条の２参照）
　③本人の権利又は正当な利益が害されるおそれがある場合
にも、利用停止、消去を請求できるようになります（法第３０条第５項）。

　⑶　上記請求に対する対応（法第３１条）
　個人情報事業者が、利用停止、消去、第三者提供の停止の請求をされた場合には、当該請求に理由があるかを判断した上で、当該請求に応じるかを検討することになります。
　当該請求に理由があると判断した場合でも、当該請求に応じることが多額の費用を要する場合など当該請求に応じることが困難な場合には、本人の権利利益を保護するために必要な代替措置を採ることも選択できます（法第３０条第２項、第４項）が、その場合には、その代替措置を採った理由を説明する努力義務が課せられます（法第３１条）。
　当該請求に理由がないと判断した場合にも、その判断の理由を説明する努力義務が課せられています（法第３１条）。 

３．保有個人データ開示のデジタル化（法第２８条第１項、規則第１８条の６）

　現行法においては、本人から保有個人データの開示請求を受けた場合、原則、書面交付の方法により開示する（本人が同意した方法がある時はその方法）とされていましたが、令和２年改正法では、本人が、電磁的記録の提供による方法を望んだ場合、個人情報取扱事業者はこれに応じることが義務付けられます。
　『ガイドライン（通則編）』[i]（P１２４）では、電磁的記録の提供による開示の例としては、CD-ROMの交付、電子メールに添付、ウェブサイト上での電磁的録のダウンロードを挙げています。 

４．第三者提供記録の開示の義務化（法第２８条第５項）

　現行法においては、個人データの第三者提供記録は、作成・保存が義務付けられているだけでしたが（法第２５条第１項、第２６条第３項）、令和２年改正法では、本人からの開示請求の対象になります（法第２８条第５項）。
　なお、個人関連情報（提供元では個人データに該当しないものの、提供先において個人データとなることが想定される情報）の第三者提供記録については、開示請求の対象ではありません（法２８条第５項、ガイドラインに関するＱ＆Ａ（Ｑ９－１４）[ii]）。 

５．オプトアウト規制の強化（法第２３条第２項）

　⑴　対象となる個人データの限定（法第２３条第２項）
　現行法では、オプトアウト規定（本人の求めがあれば事後的に停止することを前提に、提供する個人データの項目等を公表した上で、本人の同意なく第三者に個人データを提供できる制度）の対象となる個人データについては、要配慮個人情報だけが除外されていました。
　しかし、令和２年改正法では、不正取得個人データ（法第１７条第１項参照）とオプトアウト規定により取得された個人データもオプトアウト規定の対象から除外されます。

　⑵　オプトアウト届出等事項の追加（法第２３条第２項第１号、第８号、規則第７条第４項各号）
　オプトアウトのために、公表し、個人情報保護委員会に届出なければならない項目として、
　①個人情報取扱事業者の名称、住所及び代表者の氏名
　②第三者に提供される個人データの取得方法
　③第三者に提供される個人データの更新の方法
　④当該届出に係る個人データの第三者への提供を開始する予定日
が追加されたため（法第２３条第２項第１号、第８号、規則第７条第４項各号）、オプトアウトに係る　個人情報保護委員会への届出を改めて行う必要があります。 

６．さいごに

　令和２年改正により、個人情報保護規程やプライバシーポリシー等の変更が必要になる場合もあります。対応が未了の場合には、早急に現在の個人情報の取扱いを確認した上で、改訂の必要性を検討し、令和４年４月１日の施行までに対応するようにしましょう。

[i] 個人情報の保護に関する法律についてのガイドライン（通則編）https://www.ppc.go.jp/files/pdf/210101_guidlines01.pdf

[ii] 「個人情報の保護に関する法律についてのガイドライン」に関するQ&A　https://www.ppc.go.jp/files/pdf/2109_APPI_QA_4ejj3t.pdf

　　　　　　　　　　　　　　　　　　　　　鳥飼総合法律事務所　弁護士　横田未生