個人情報保護法の令和2年及び令和3年の改正内容を教えてください。
令和2年改正では、いわゆる3年ごと見直しに基づき、個人の権利利益の保護が強化される一方、イノベーションを促進する観点からデータ利活用の強化も行われます。
令和3年改正では、「デジタル社会の形成を図るための関係法律の整備に関する法律」により、民間、国・独立行政法人・地方公共団体の個人データの取扱いが個人情報保護法に一元化されます。
【解説】
第1 令和2年改正について
1 施行日等
個人情報保護委員会では、個人情報保護法の2015年改正法附則12条に基づいて、いわゆる3年ごと見直しについて検討を進め、それを踏まえ改正法が令和2年6月5日に成立、同月12日に公布されました。
改正法の施行日は、原則として令和4年4月1日です(ただし、オプトアウトにより個人データを第三者に提供しようとする際の経過措置は令和3年10月1日、法定刑の引上げは令和2年12月12日に施行されています)。
2 改正の目的
令和2年改正の目的は、①自身の個人情報に対する意識の高まりを踏まえ、個人の権利利益を保護するために必要十分な措置を整備すること、②技術革新の成果が、経済成長等と個人の権利利益の保護との両面で行き渡るような制度とすること、③個人情報を用いる多様なサービスがグローバルに展開されており、個人が直面するリスクの多様化、国際的な制度調和や連携に配意した制度とすること、④技術革新に伴い個人情報の活用が一層多岐にわたる中、事業者が本人の権利利益との関係で説明責任を果たしつつ、本人の予測可能な範囲内で適正な利用を行う環境を整備すること等にあります(佐脇紀代志編著「一問一答令和2年改正個人情報保護法」商事法務)。
3 改正のポイント
令和2年改正のポイントは以下のとおりです(以下、令和3年5月7日個人情報委員会「個人情報保護法令和2年改正及び令和3年改正案について」、前掲「一問一答令和2年改正個人情報保護法」参照)。
(1)個人の権利の在り方に関して
① 利用停止・消去等の個人の請求権について、一部の法違反の場合に加えて、(ア)利用する必要がなくなった場合、(イ)重大な漏えい等が発生した場合、(ウ)本人の権利又は正当な利益が害されるおそれがある場合にも拡充されました。
これまで消費者から、本人が望まない形で自身の個人情報が利用され、事業者が利用停止等に応じないこと等に対して、個人情報保護委員会に多くの意見や不満が寄せられていたことから、これに対応し本人の関与を強化しようとするものです。
② 保有個人データの開示方法(現行は、原則として書面の交付)について、電磁的記録の提供を含め、本人が指示できるようになりました。
情報技術の進展により、開示請求の対象となる保有個人データが膨大な情報を含んでいる場合や、当該保有個人データが音声や動画である場合など、書面の交付による方法での開示では当該保有個人データの取扱い状況を十分に明らかにすることができない場合も生じていたことに対応するものです。
③ 個人データの授受に関する第三者提供記録を、本人が開示請求できるようになりました。
本人が事業者間での個人データの流通を把握し、事業者に対する権利行使を容易にするためです。
④ 6か月以内に消去する短期保存データについて、保有個人データに含めることとされ、開示、利用停止等の対象となりました。
情報化社会の進展により、短期間で消去される個人データであっても、漏えい等の事案によって、個人データが瞬時に拡散し、個人の権利利益を侵害する危険性が高まっていることによるものです。
⑤ オプトアウト規定(本人の求めがあれば事後的に停止することを前提に、提供する個人データの項目等を公表等した上で、本人の同意なく第三者に個人データを提供できる制度)により第三者に提供できる個人データの範囲を限定し、(ア)不正取得された個人データ、(イ)オプトアウト規定により提供された個人データについても対象外とされました。
これは消費者から、オプトアウト届出を行っている名簿業者による個人情報の流通を問題視する意見が多数寄せられていたことに対応するものです。具体的には、上記(ア)については、個人が不正に持ち出した名簿を、オプトアウト事業者が取得して提供する事例があることから、これを禁止するものです。上記(イ)については、名簿業者間で名簿交換等によって個人データが流通し、本人がこれをトレースできず権利行使をしにくくなっている実態に鑑み、そのような流通を禁止するものです。
(2)事業者の守るべき責務の在り方に関して
① 漏えい等が発生し、個人の権利利益を害するおそれが大きい場合(要配慮個人情報の漏えい、不正アクセス等による漏えい、財産的被害のおそれがある漏えい、又は、一定数以上の(1,000件を超える)大規模な漏えい)に、個人情報保護委員会への報告及び本人への通知が義務化されました。
改正前は法令上の義務ではなかったため、積極的に対応しない事業者も一部に存在しており、仮に、事業者側が公表もしない場合、個人情報委員会が事案を把握できないまま、適切な対応が行えないおそれがあったことに対応したものです。
② 違法又は不当な行為を助長する等の不適正な方法により個人情報を利用してはならない旨が明確化されました。
これは、昨今の急速なデータ分析技術の向上等を背景に、潜在的に個人の権利利益の侵害につながることが懸念される個人情報の利用の形態が見られるようになり、消費者側の懸念が高まりつつあったことに対応したものです。
「不適正な方法」としては、たとえば(ア)違法行為を営む第三者に個人情報を提供すること、(イ)裁判所による公告等により散在的に公開されている個人情報について、差別が誘発されるおそれがあることが十分に予見できるにもかかわらず、それを集約してデータベース化し、インターネット上で公開することなどが挙げられています。
(3)事業者による自主的な取組を促す仕組みの在り方に関して
認定団体制度について、改正前の制度(現行の認定団体は、対象事業者のすべての分野(部門)を対象としています)に加え、企業の特定分野(部門)を対象とする団体を認定できるようになりました。
個人情報を用いた業務実態の多様化やIT技術の進展に伴い、民間団体が特定分野における個人データの取扱いに関する自主ルールを策定していくことや、積極的に対象事業者に対して指導を行っていくことの重要性が増加していることを踏まえたものです。
(4)データ利活用の在り方に関して
① イノベーションを促進する観点から、氏名等を削除した「仮名加工情報」(他の情報と照合しない限り特定の個人を識別できないように加工された個人に関する情報)を創設し、内部分析に限定することを条件に、開示・利用停止請求への対応等の義務を緩和することとされました。
仮名化された個人情報について、一定の安定性を確保しつつ、データとしての有用性を、加工前の個人情報と同等程度に保つことにより、匿名加工情報よりも詳細な分析を比較的簡便な加工方法で実施し得るものとして、利活用しようとするニーズが高まっていることに対応するものです。
想定される活用例としては、(ア)当初の利用目的には該当しない目的や、該当するか判断が難しい新たな目的(たとえば、医療・製薬分野等における研究や、不正検知・売上予測等の機械学習モデルの学習など)での内部分析や、(イ)利用目的を達成した個人情報について、将来的に統計分析に利用する可能性があるため、仮名加工情報として加工した上で保管することなどが挙げられています。
② 提供元では個人データに該当しないものの、提供先において個人データ(特定の個人が識別可能)となることが想定される情報の第三者提供については、原則として本人の同意が必要であり、その本人同意が得られていること等の確認が義務付けられました。
ユーザーデータを大量に集積し、それを瞬時に突合して個人データとする技術が発展・普及したことにより、提供先において個人データとなり得ることをあらかじめ知りながら非個人情報として第三者に提供するという、第三者提供規制の趣旨を潜脱するスキームが横行しつつあり、こうした本人関与のない個人情報の収集方法が広まることが懸念されたことへの対応です。
(5)ペナルティの在り方に関して
① 個人情報保護委員会による命令違反・同委員会に対する虚偽報告等の法定刑が引き上げられました。
個人情報保護法に違反する事案が増加する中で、報告徴収や立入検査を行う事案は増加しており、事業者の実態を把握する端緒となる報告徴収や立入検査の実効性を高める必要があるということが背景にあります。
② 命令違反等の罰金について、法人と個人の資力格差等を勘案して、法人に対しては行為者よりも罰金刑の最高額が引き上げられました(法人重科)。
法人に対して、行為者と同額の罰金を科したとしても、罰則として十分な抑止効果は期待できないからです。
(6)法の域外適用・越境移転の在り方に関して
① 日本国内にある者に対する物品又は役務の提供に関連して個人情報等を取り扱う外国事業者を、罰則によって担保された報告徴収・命令の対象としました。
これまでは、域外適用の対象となる外国自事業者に行使できる権限は、指導及び助言並びに勧告のような強制力を伴わない権限にとどまっており、外国における漏えい等の事案に対して、個人情報保護委員会が適切に対処できないおそれがあったことに対応するものです。
② 外国にある第三者への個人情報の提供時に、移転先事業者における個人情報の取扱いに関する本人への情報提供の充実等が求められることになりました。
近年、一部の国において国家管理的規制が見られるようになっており、個人情報の越境移転の機会が広がる中で、国や地域における制度の相違は、個人やデータを取り扱う事業者の予見可能性を不安定なものとし、個人の権利利益の保護の観点からの懸念も生じるということが背景にあります。
第2 令和3年改正について
1 施行日等
令和3年改正法(「デジタル社会の形成を図るための関係法律の整備に関する法律」による改正)は、令和3年5月12日に成立、同月19日に公布されました。
この改正の施行日も、令和2年改正と同じく、原則として令和4年4月1日です(ただし、個人情報保護法と各地方公共団体の個人情報保護条例の一元化に関する部分の施行日は、令和3年5月19日から起算して2年を超えない範囲内で別途定められます)。
2 改正の目的
これまでは、民間事業者、行政機関、独立行政法人等、地方公共団体は、それぞれ個人情報保護法、行政機関個人情報語法、独立行政法人等個人情報保護法、個人情報保護条例という別のルールで規律されていました。
しかし、今般、新たに「デジタル庁」が創設され、国や地方のデジタル業務改革が強力に推進されていく方針であり、これに伴い、公的部門で取り扱うデータの質的・量定な増大が不可避であるため、個人情報保護に万全を期すべく、独立規制機関である個人情報保護委員会が、公的部門を含め、個人情報の取扱いを一元的に監視監督する体制の確立が必要となりました。
また、情報化の進展や個人情報の有用性の高まりを背景として、官民や地域の枠を超えたデータ利活用が活発化し、そのためデータ利活用の支障となり得る現行法制の不均衡・不整合を是正する必要がありました。
さらに、国境を超えたデータ流通の増加を踏まえ、GDPR(EU一般データ保護規則)十分性認定への対応を始めとする国際的な制度調和を図る必要性が一層向上していました(以上、令和2年12月個人情報保護制度の見直しに関するタスクフォース「個人情報保護制度の見直しに関する最終報告(概要)」)。
3 改正の全体像
令和3年改正の改正項目は以下のとおりです。
(1)これまでの個人情報保護法、行政機関個人情報語法、独立行政法人等個人情報保護法の3本の法律を1本の法律(個人情報保護法)に統合するとともに、地方公共団体の個人情報保護制度についても統合後の個人情報保護法において全国的な共通ルールを規定し、全体の所管を個人情報保護委員会に一元化する。
(2)医療分野・学術分野の規制を統一するため、国公立の病院、大学等には原則として民間の病院、大学等と同等の規律を適用する。
(3)学術研究分野を含めたGDPRの十分性認定への対応を目指し、学術研究に係る適用除外規定について、一律の適用除外ではなく、義務ごとの例外規定として精緻化する。
(4)個人情報の定義等を国・民間・地方で統一するとともに、行政機関等での匿名加工情報の取扱いに関する規律を明確化する。