個人情報保護法令和２年改正のポイント②

　令和２年６月１２日に公布された「個人情報の保護に関する法律等の一部を改正する法律等の一部を改正する法律」（以下「令和２年改正法」といいます。）の施行が、令和４年４月１日からと迫ってきています。
　本稿では、令和２年改正法のうち、事業者の守るべき責務の在り方について解説していきます。

１．不適正な利用の禁止（法第１９条）

　現行法では、個人情報の利用方法を制限する規定が存在しなかったため、事業者は、特定された利用目的の達成に必要な範囲内であれば、利用方法に関する制限を受けずに個人情報を取り扱うことができました。しかし、令和２年改正法では、違法又は不当な行為を助長し、又は誘発するおそれがある方法による個人情報の利用を禁止する規定が新設されたため、利用目的の範囲内であったとしても、違法又は不当との評価を受ける利用は禁止されることになります。
　令和4年4月1日施行予定の改訂版個人情報保護法ガイドライン（通則編）では、不適正な利用の禁止に該当する具体例として、相当程度悪質なケースのみが列挙されていますが、「違法又は不当な行為」については、「個人情報保護法その他の法令に違反する行為、及び直ちに違法とはいえないものの、個人情報保護法その他の法令の制度趣旨又は公序良俗に反する等、社会通念上適正とは認められない行為」と定義付けられており、文言上は様々なケースがこれに該当する可能性があります。令和2年改正法施行後は、不適正な利用との評価を受けることがないよう、個人情報の利用方法について慎重な検討が求められます。

２．漏えい等の報告等（法第２６条）

⑴　概要
　現行法では、個人データ等の漏えい、毀損若しくは滅失（以下「漏えい等」といいます。）の事案が発生した場合の規定はなく、告示で規定されていました（平成２９年個人情報保護委員会告示第１号）。そして、同告示では、漏えい等が発覚した場合、影響を受ける可能性のある本人への連絡等や事実関係及び再発防止策等の公表などについて必要な措置を講ずること、及び個人情報保護委員会等への報告が努力義務となっていました。
　令和２年改正法では、取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるもの（２．⑵参照）が生じたときは、当該事態が生じた旨を個人情報保護委員会に報告することが義務付けられました。また、本人への通知が困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときを除き、本人に対し、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を通知することが義務付けられました。
　なお、当該個人情報取扱事業者が他の個人情報取扱事業者から当該個人データの取扱いの全部又は一部の委託を受けた場合は、当該事態が生じた旨を当該他の個人情報取扱事業者に速やかに通知することで足ります。

⑵　個人の権利利益を害するおそれが大きいもの
　個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものとは、①～④のいずれかに該当するものをいいます。
①要配慮個人情報が含まれる個人データ（高度な暗号化その他の個人の権利利益を保護するために必要な措置を講じたものを除く。）の漏えい等が発生し、又は発生したおそれがある事態
②不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態
③不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態
④個人データに係る本人の数が千人を超える漏えい等が発生し、又は発生したおそれがある事態

⑶　個人情報保護委員会に対する報告
　個人情報取扱事業者は、個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定める事態（２．⑵参照）を知った後、速やかに、①～⑨の事項を個人情報保護委員会に報告しなければなりません。この報告は、報告をしようとする時点において把握している事項を報告することで足ります。
　そして、当該事態を知った日から３０日（不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態である場合は６０日）以内に、原則として①～⑨の事項全てを報告しなければなりません。
　①概要
　②漏えい等が発生し、又は発生したおそれがある個人データの項目
　③漏えい等が発生し、又は発生したおそれがある個人データに係る本人の数
　④原因
　⑤二次被害又はそのおそれの有無及びその内容
　⑥本人への対応の実施状況
　⑦公表の実施状況
　⑧再発防止のための措置
　⑨その他参考となる事項

⑷　他の個人情報取扱事業者に対する報告
　個人情報取扱事業者は、個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定める事態（２．⑵参照）を知った後、速やかに、報告をしようとする時点において把握している①～⑨の事項（２．⑶参照）を他の個人情報取扱事業者に報告しなければなりません。

⑸　本人に対する通知
　個人情報取扱事業者は、個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定める事態（２．⑵参照）を知った後、当該事態の状況に応じて速やかに、当該本人の権利利益を保護するために必要な範囲において、①～⑤の事項を本人に通知しなければなりません。
　①概要
　②漏えい等が発生し、又は発生したおそれがある個人データの項目
　③原因
　④二次被害又はそのおそれの有無及びその内容
　⑤その他参考となる事項

３．さいごに
　令和２年改正では、個人情報の利用方法や個人データの漏えい時の対応について、個人情報取扱事業者に課される義務が加重されます。不適正な利用や個人データの漏洩を防ぐことの重要性は言うまでもありませんが、これらの事態が生じたときに適切に対応できるよう準備をしておくことも重要になります。

　　　　　　　　　　　　　　　　　鳥飼総合法律事務所　弁護士　小杉太一