個人情報保護法の2020年改正の概要

 本ページにて、2020年の個人情報保護法の改正の概要を説明していきます。改正のテーマごとに少しずつ更新していきますので、気長にお待ちください。
 また、2020年8月16日現在、政令やガイドライン等は公表されていませんが、これらについても、公表され次第、本ページに補充していく予定です。

▪2020年改正個人情報保護法に関する個人情報保護委員会公式ページはこちら

施行日

 改正法は、一部の規定[1]を除き、公布日である2020年6月12日から2年以内に施行されます改正法附則§1


[1] 罰則に関する改正条項は、2020年6月12日から6ヶ月以内に施行されます(改正法附則§1③)。

保有個人データの範囲

(定義)
第二条 (略)
2~6 (略)
7 この法律において「保有個人データ」とは、個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの以外のものをいう。

8~12 (略)
(定義)
第二条 (略)
2~6 (略)
7 この法律において「保有個人データ」とは、個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの又は一年以内の政令で定める期間以内に消去することとなるもの以外のものをいう。
8~10 (略)

 現行法では、保有個人データとは、個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止(以下「開示等」といいます。)を行うことのできる権限を有する個人データであって、①その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの又は②取得後6ヶ月以内に消去することとなるもの以外のものであるとされています(現行法§2Ⅶ、現行法施行令§5

 これが、今回の改正により、個人情報取扱事業者が、開示等に関する権限を有する個人データを取得後6ヶ月以内に消去することとしているからといって、必ずしも保有個人データとして扱われないわけではないこととされました(改正法§2Ⅶ)

 したがって、改正法の下での保有個人データは、個人データの保有期間の長短にかかわらず、個人情報取扱事業者が、開示等に関する権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの以外のもののみを指すことになります。

不適正な利用の禁止

(不適正な利用の禁止)
第十六条の二 個人情報取扱事業者は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない。
【新設】

 個人情報取扱事業者が、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用することを禁ずる規定が新設されました(改正法§16の2)

漏洩等の報告・通知の義務化

(漏えい等の報告等)
第二十二条の二 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を個人情報保護委員会に報告しなければならない。ただし、当該個人情報取扱事業者が、他の個人情報取扱事業者から当該個人データの取扱いの全部又は一部の委託を受けた場合であって、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を当該他の個人情報取扱事業者に通知したときは、この限りでない。
2 前項に規定する場合には、個人情報取扱事業者(同項ただし書の規定による通知をした者を除く。)は、本人に対し、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を通知しなければならない。ただし、本人への通知が困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
【新設】

 現行法では、個人データの漏洩等の事案が発生した場合等の対応について、特段の規定を設けておらず、「個人データの漏えい等の事案が発生した場合等の対応について」において、努力義務又は任意の対応が定められているに過ぎませんでした[1]。

 これに対し、改正法では、個人データの漏洩等の事案が発生した場合等の対応として、個人情報取扱事業者に対し、以下の法的義務を課すことが明文化されています(改正法§22の2)[2]。

  • ①個人情報取扱事業者は、その取り扱う個人データの漏洩、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは、原則として、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を個人情報保護委員会に報告しなければなりません[3]。
  • ②また、個人情報取扱事業者が上記報告義務を負う場合には、当該個人情報取扱事業者は、原則として、本人に対し、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を通知しなければなりません[4]。

 これらの義務に違反した場合、個人情報保護委員会による勧告、命令、違反の事実の公表等の処分の対象となります(改正法§42Ⅰ、Ⅲ、Ⅳ)


[1] 特定個人情報(マイナンバー)の漏洩等の事案等が発生した場合の対応については、「事業者における特定個人情報の漏えい事案等が発生した場合の対応について」で定められています。

[2] 特定個人情報(マイナンバー)の漏洩等が生じた場合における個人番号利用事務等実施者から個人情報保護委員会への報告及び本人への通知、並びに、医療情報等又は匿名加工医療情報の漏洩等が生じた場合における認定匿名加工医療情報作成事業者から主務大臣への報告等についても、関連する規定が整備されました(行政手続における特定の個人を識別するための番号の利用等に関する法律§24の9、医療分野の研究開発に資するための匿名加工医療情報に関する法律§24の2、§29)

[3] ただし、当該個人情報取扱事業者が、他の個人情報取扱事業者から当該個人データの取扱いの全部又は一部の委託を受けた場合であって、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を当該他の個人情報取扱事業者に通知したときは、個人情報保護委員会に対する報告義務を負いません(改正法§22の2Ⅰ但書)。

[4] ただし、本人への通知が困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、個人情報取扱事業者は、本人に対する通知義務を負いません(改正法§22の2Ⅱ但書)。

オプトアウト規制の強化

(第三者提供の制限)
第二十三条 (略)
(第三者提供の制限)
第二十三条 (略)
2 個人情報取扱事業者は、第三者に提供される個人データについて、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出たときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。ただし、第三者に提供される個人データが要配慮個人情報又は第十七条第一項の規定に違反して取得されたもの若しくは他の個人情報取扱事業者からこの項本文の規定により提供されたもの(その全部又は一部を複製し、又は加工したものを含む。)である場合は、この限りでない。
一 第三者への提供を行う個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人。以下この条、第二十六条第一項第一号及び第二十七条第一項第一号において同じ。)の氏名
二・三 (略)
四 第三者に提供される個人データの取得の方法
五~七 (略)
八 その他個人の権利利益を保護するために必要なものとして個人情報保護委員会規則で定める事項
2 個人情報取扱事業者は、第三者に提供される個人データ(要配慮個人情報を除く。以下この項において同じ。)について、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出たときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。




【新設】




一・二 (略)
【新設】
三~五 (略)
【略】

3 個人情報取扱事業者は、前項第一号に掲げる事項に変更があったとき又は同項の規定による個人データの提供をやめたときは遅滞なく、同項第三号から第五号まで、第七号又は第八号に掲げる事項を変更しようとするときはあらかじめ、その旨について、個人情報保護委員会規則で定めるところにより、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出なければならない。 3 個人情報取扱事業者は、前項第二号、第三号又は第五号に掲げる事項を変更する場合は、変更する内容について、個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出なければならない。
4~6 (略) 4~6 (略)

通知・公表及び届出事項の追加

 個人情報取扱事業者は、第三者に提供される個人データ(要配慮個人情報を除く。)について、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合(=「オプトアウト方式」)は、一定の事項について、個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出たときは、本人の同意なく、当該個人データを第三者に提供することができます(現行法§23Ⅱ)

 今回の改正では、通知・公表及び届出すべき事項が追加されました(改正法§23Ⅱ①、④、⑧)

 具体的には、改正法下において通知・公表並びに届出すべき以下に掲げる全事項のうち、マーカー及びアンダーラインを引いている事項が追加されました。

  • 第三者への提供を行う個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者[1]の氏名
  • 第三者への提供を利用目的とすること
  • 第三者に提供される個人データの項目
  • 第三者に提供される個人データの取得の方法
  • 第三者への提供の方法
  • 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること
  • 本人の求めを受け付ける方法
  • その他個人の権利利益を保護するために必要なものとして個人情報保護委員会規則で定める事項

 通知・公表及び届出すべき事項が追加されたことに伴い、当該事項に変更があった場合の義務を定める現行法§23Ⅲも改正されました。

 具体的には、改正法下では、通知・公表及び届出すべき事項を変更があった場合には、個人情報取扱事業者は、次の義務を負うこととなりました(改正法§23Ⅲ)

  • 以下に掲げる事項のいずれかに変更があったとき又は同項の規定による個人データの提供をやめたときは遅滞なく、その旨について、個人情報保護委員会規則で定めるところにより、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出なければなりません。
    a) 第三者への提供を行う個人情報取扱事業者の氏名又は名称
    b) 第三者への提供を行う個人情報取扱事業者の氏名又は名称及び住所
    c) 〔第三者が法人の場合〕当該法人の代表者の氏名
  • 以下に掲げる事項のいずれかを変更しようとするときは、あらかじめ、その旨について、個人情報保護委員会規則で定めるところにより、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出なければなりません。
    a) 第三者に提供される個人データの項目
    b) 第三者に提供される個人データの取得の方法
    c) 第三者への提供の方法
    d) 本人の求めを受け付ける方法
    e) その他個人の権利利益を保護するために必要なものとして個人情報保護委員会規則で定める事項

[1] 法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人。

オプトアウト方式が認められない個人データの範囲の拡大

 今回の改正では、オプトアウト方式を採用することが認められない個人データとして、要配慮個人情報(現行法§23Ⅱ括弧書)のほかに、以下の個人データが追加されました(改正法§23Ⅱ但書)

  • 改正法§17Ⅰの規定に違反して取得されたもの(=偽りその他不正の手段によって取得されたもの)
  • 他の個人情報取扱事業者からオプトアウト方式に基づいて提供されたもの(その全部又は一部を複製し、又は加工したものを含む。)

共同利用における通知・公表事項の変更

(第三者提供の制限)
第二十三条 (略)
(第三者提供の制限)
第二十三条 (略)
2~4 (略) 2~4 (略)
5 次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用については、第三者に該当しないものとする。
一・二 (略)
三 特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的並びに当該個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。
5 次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用については、第三者に該当しないものとする。
一・二 (略)
三 特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。
6 個人情報取扱事業者は、前項第三号に規定する個人データの管理について責任を有する者の氏名、名称若しくは住所又は法人にあっては、その代表者の氏名に変更があったときは遅滞なく、同号に規定する利用する者の利用目的又は当該責任を有する者を変更しようとするときはあらかじめ、その旨について、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。 6 個人情報取扱事業者は、前項第三号に規定する利用する者の利用目的又は個人データの管理について責任を有する者の氏名若しくは名称を変更する場合は、変更する内容について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。

 個人情報取扱事業者は、他者との間で個人データを共同して利用する場合、一定の事項をあらかじめ本人に通知・公表しておくことで、当該他者への個人データの提供は、「第三者」への提供(現行法§23Ⅰ)に当たらないこととされる結果、本人の同意を得ることなく行うことができるようになります(同条Ⅴ③)

 今回の改正では、通知・公表すべき事項が追加されました(改正法§23Ⅴ③)

 具体的には、改正法下において通知・公表すべき以下に掲げる全事項のうち、マーカー及びアンダーラインを引いている事項が追加されました。

  • 共同利用を行う旨
  • 共同して利用される個人データの項目
  • 共同して利用する者の範囲
  • 利用する者の利用目的
  • 当該個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名

 通知・公表すべき事項が追加されたことに伴い、当該事項に変更があった場合の義務を定める現行法§23Ⅵも改正されました。

 具体的には、改正法下では、通知・公表すべき事項を変更があった場合には、個人情報取扱事業者は、次の義務を負うこととなりました(改正法§23Ⅵ)

  • 個人データの管理について責任を有する者の氏名、名称若しくは住所又は法人にあっては、その代表者の氏名に変更があったときは遅滞なく、その旨について、本人に通知し、又は本人が容易に知り得る状態に置かなければなりません。
  • 利用する者の利用目的又は個人データの管理について責任を有する者を変更しようとするときはあらかじめ、その旨について、本人に通知し、又は本人が容易に知り得る状態に置かなければなりません。

保有個人データに関する公表事項の充実

(保有個人データに関する事項の公表など)
第二十七条 個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない。
一 当該個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
二 (略)
三 次項の規定による求め又は次条第一項(同条第五項において準用する場合を含む。)、第二十九条第一項若しくは第三十条第一項、第三項若しくは第五項の規定による請求に応じる手続(第三十三条第二項の規定により手数料の額を定めたときは、その手数料の額を含む。)
四 前三号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項として政令で定めるもの
2・3 (略)
(保有個人データに関する事項の公表など)
第二十七条 個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない。

一 当該個人情報取扱事業者の氏名又は名称

二 (略)
三 次項の規定による求め又は次条第一項、第二十九条第一項若しくは第三十条第一項若しくは第三項の規定による請求に応じる手続(第三十三条第二項の規定により手数料の額を定めたときは、その手数料の額を含む。)

四 前三号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項として政令で定めるもの
2・3 (略)

 保有個人データを扱う個人情報取扱事業者は、保有個人データに関し、一定の事項を本人の知り得る状態に置かなければなりませんが、今回の改正では、以下の事項が公表すべき事項に追加されました(改正法§27Ⅰ①)

  • 当該個人情報取扱事業者の住所
  • 当該個人情報取扱事業者が法人の場合は、その代表者の氏名
    (法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人の氏名)

 さらに、改正法§27Ⅰ④は、「前三号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項として政令で定めるもの」を公表事項として掲げていますが、制度改正大綱20頁によれば、個人情報の保護に関する法律施行令§8が改正され、以下の事項が公表事項に追加される可能性があります。

  • 個人情報の取扱体制
  • 講じている措置の内容
  • 保有個人データの処理の方法 等

開示請求の充実

(開示)
第二十八条 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データの電磁的記録の提供による方法その他の個人情報保護委員会規則で定める方法による開示を請求することができる。
(開示)
第二十八条 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データの開示を請求することができる。
2 個人情報取扱事業者は、前項の規定による請求を受けたときは、本人に対し、同項の規定により当該本人が請求した方法(当該方法による開示に多額の費用を要する場合その他の当該方法による開示が困難である場合にあっては、書面の交付による方法)により、遅滞なく、当該保有個人データを開示しなければならない。ただし、開示することにより次の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。
一~三 (略)
2 個人情報取扱事業者は、前項の規定による請求を受けたときは、本人に対し、政令で定める方法により、遅滞なく、当該保有個人データを開示しなければならない。ただし、開示することにより次の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。
一~三 (略)
3 個人情報取扱事業者は、第一項の規定による請求に係る保有個人データの全部若しくは一部について開示しない旨の決定をしたとき、当該保有個人データが存在しないとき、又は同項の規定により本人が請求した方法による開示が困難であるときは、本人に対し、遅滞なく、その旨を通知しなければならない。 3 個人情報取扱事業者は、第一項の規定による請求に係る保有個人データの全部又は一部について開示しない旨の決定をしたとき又は当該保有個人データが存在しないときは、本人に対し、遅滞なく、その旨を通知しなければならない。
4 (略) 4 (略)
5 第一項から第三項までの規定は、当該本人が識別される個人データに係る第二十五条第一項及び第二十六条第三項の記録(その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるものを除く。第三十二条第二項において「第三者提供記録」という。)について準用する。 【新設】

開示方法

 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データの開示を請求することができ、個人情報取扱事業者は、当該請求を受けたときは、本人に対し、原則として書面の交付により、遅滞なく当該保有個人データを開示しなければならないこととされていました(現行法§28Ⅰ、同条Ⅱ、個人情報保護法施行令§9

 これが、今回の改正により、個人情報取扱事業者が開示を行う方法は、原則として、電磁的記録の提供による方法その他の個人情報保護委員会規則で定める方法の中から本人が指定した方法によることとされました(改正法§28Ⅱ本文)。そして、例外的に、本人が指定した方法による開示に多額の費用を要する場合その他の当該方法による開示が困難である場合に限り、書面の交付による方法が認められることとなりました(同項本文括弧書)[1]。


[1] 個人情報取扱事業者は、改正法§28Ⅰの規定により本人が請求した方法による開示が困難であるときは、本人に対し、遅滞なく、その旨を通知しなければなりません(改正法§28Ⅲ)。

開示請求の対象

 また、今回の改正により、第三者提供記録[2]も開示請求の対象に含められることとなりました(改正法§28Ⅴ)。ただし、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるものについては、第三者提供記録から除かれます(同項括弧書)


[2] 第三者提供記録とは、①個人データを第三者に提供したときに個人情報取扱事業者が作成する記録(改正法§25Ⅰ)及び②第三者から個人データの提供を受ける際に行う確認の記録(改正法§26Ⅲ)のことです。

個人保有データの利用停止等及び第三者提供停止の請求事由の追加

(利用停止等)
第三十条
 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データが第十六条若しくは第十六条の二の規定に違反して取り扱われているとき、又は第十七条の規定に違反して取得されたものであるときは、当該保有個人データの利用の停止又は消去(以下この条において「利用停止等」という。)を請求することができる。
(利用停止等)
第三十条 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データが第十六条の規定に違反して取り扱われているとき又は第十七条の規定に違反して取得されたものであるときは、当該保有個人データの利用の停止又は消去(以下この条において「利用停止等」という。)を請求することができる。
2~4 (略) 2~4 (略)
5 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データを当該個人情報取扱事業者が利用する必要がなくなった場合、当該本人が識別される保有個人データに係る第二十二条の二第一項本文に規定する事態が生じた場合その他当該本人が識別される保有個人データの取扱いにより当該本人の権利又は正当な利益が害されるおそれがある場合には、当該保有個人データの利用停止等又は第三者への提供の停止を請求することができる。 【新設】
6 個人情報取扱事業者は、前項の規定による請求を受けた場合であって、その請求に理由があることが判明したときは、本人の権利利益の侵害を防止するために必要な限度で、遅滞なく、当該保有個人データの利用停止等又は第三者への提供の停止を行わなければならない。ただし、当該保有個人データの利用停止等又は第三者への提供の停止に多額の費用を要する場合その他の利用停止等又は第三者への提供の停止を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。 【新設】
 個人情報取扱事業者は、第一項若しくは第五項の規定による請求に係る保有個人データの全部若しくは一部について利用停止等を行ったとき若しくは利用停止等を行わない旨の決定をしたとき、又は第三項若しくは第五項の規定による請求に係る保有個人データの全部若しくは一部について第三者への提供を停止したとき若しくは第三者への提供を停止しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。  個人情報取扱事業者は、第一項の規定による請求に係る保有個人データの全部若しくは一部について利用停止等を行ったとき若しくは利用停止等を行わない旨の決定をしたとき、又は第三項の規定による請求に係る保有個人データの全部若しくは一部について第三者への提供を停止したとき若しくは第三者への提供を停止しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。

利用停止等

 保有個人データの本人は、個人情報取扱事業者に対し、一定の事由が認められる場合は、当該保有個人データの利用の停止又は消去(以下「利用停止等」といいます。)を請求することができます。

 今回の改正で利用停止等の請求ができる事由に次のものが加えられました。

  • 改正法§16の2(不適正な利用の禁止)の規定に違反して取り扱われている場合
  • 当該本人が識別される保有個人データを当該個人情報取扱事業者が利用する必要がなくなった場合
  • 当該本人が識別される保有個人データに係る改正法§22の2Ⅰ本文に規定する事態が生じた場合(=個人情報取扱事業者が取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって、個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じ、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を個人情報保護委員会に報告しなければならない場合)
  • その他当該本人が識別される保有個人データの取扱いにより当該本人の権利又は正当な利益が害されるおそれがある場合

第三者提供停止

 保有個人データの本人は、個人情報取扱事業者に対し、一定の事由が認められる場合には、当該保有個人データの利用停止等又は第三者への提供の停止を請求することができます。

 今回の改正で利用停止等の請求ができる事由に次のものが加えられました。

  • 当該本人が識別される保有個人データを当該個人情報取扱事業者が利用する必要がなくなった場合
  • 当該本人が識別される保有個人データに係る改正法§22の2Ⅰ本文本文に規定する事態が生じた場合(=個人情報取扱事業者が取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって、個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じ、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を個人情報保護委員会に報告しなければならない場合)
  • その他当該本人が識別される保有個人データの取扱いにより当該本人の権利又は正当な利益が害されるおそれがある場合

小括

 今回の改正により追加された事由も併せると、利用停止等の請求と第三者提供停止の請求のそれぞれについて、以下の事由が認められる場合には、本人はこれらの請求を行うことができます。

請求事由 利用停止等 第三者提供の停止
改正法§16(利用目的による制限)違反
改正法§16の2(不適正な利用の禁止)違反
改正法§17(適正な取得)違反
改正法§23Ⅰ(第三者提供の制限)違反
改正法§24(外国にある第三者への提供の制限)違反
本人が識別される保有個人データを当該個人情報取扱事業者が利用する必要がなくなった場合
本人が識別される保有個人データに係る改正法§22の2Ⅰ本文本文に規定する事態が生じた場合
本人が識別される保有個人データの取扱いにより当該本人の権利又は正当な利益が害されるおそれがある場合

 なお、改正法§30Ⅵも新設されていますが、これは同条Ⅴの新設に伴って設けられた、同条Ⅱ同条Ⅳと同質の規定です。

仮名加工情報

仮名加工情報の作成等
第三十五条の二 個人情報取扱事業者は、仮名加工情報(仮名加工情報データベース等を構成するものに限る。以下同じ。)を作成するときは、他の情報と照合しない限り特定の個人を識別することができないようにするために必要なものとして個人情報保護委員会規則で定める基準に従い、個人情報を加工しなければならない。
2 個人情報取扱事業者は、仮名加工情報を作成したとき、又は仮名加工情報及び当該仮名加工情報に係る削除情報等(仮名加工情報の作成に用いられた個人情報から削除された記述等及び個人識別符号並びに前項の規定により行われた加工の方法に関する情報をいう。以下この条及び次条第三項において読み替えて準用する第七項において同じ。)を取得したときは、削除情報等の漏えいを防止するために必要なものとして個人情報保護委員会規則で定める基準に従い、削除情報等の安全管理のための措置を講じなければならない。
3 仮名加工情報取扱事業者(個人情報取扱事業者である者に限る。以下この条において同じ。)は、第十六条の規定にかかわらず、法令に基づく場合を除くほか、第十五条第一項の規定により特定された利用目的の達成に必要な範囲を超えて、仮名加工情報(個人情報であるものに限る。以下この条において同じ。)を取り扱ってはならない。
4 仮名加工情報についての第十八条の規定の適用については、同条第一項及び第三項中「、本人に通知し、又は公表し」とあるのは「公表し」と、同条第四項第一号から第三号までの規定中「本人に通知し、又は公表する」とあるのは「公表する」とする。
5 仮名加工情報取扱事業者は、仮名加工情報である個人データ及び削除情報等を利用する必要がなくなったときは、当該個人データ及び削除情報等を遅滞なく消去するよう努めなければならない。この場合においては、第十九条の規定は、適用しない。
6 仮名加工情報取扱事業者は、第二十三条第一項及び第二項並びに第二十四条第一項の規定にかかわらず、法令に基づく場合を除くほか、仮名加工情報である個人データを第三者に提供してはならない。この場合において、第二十三条第五項中「前各項」とあるのは「第三十五条の二第六項」と、同項第三号中「、本人に通知し、又は本人が容易に知り得る状態に置いて」とあるのは「公表して」と、同条第六項中「、本人に通知し、又は本人が容易に知り得る状態に置かなければ」とあるのは「公表しなければ」と、第二十五条第一項ただし書中「第二十三条第一項各号又は第五項各号のいずれか(前条第一項の規定による個人データの提供にあっては、第二十三条第一項各号のいずれか)」とあり、及び第二十六条第一項ただし書中「第二十三条第一項各号又は第五項各号のいずれか」とあるのは「法令に基づく場合又は第二十三条第五項各号のいずれか」とする。
7 仮名加工情報取扱事業者は、仮名加工情報を取り扱うに当たっては当該仮名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該仮名加工情報を他の情報と照合してはならない。
8 仮名加工情報取扱事業者は、仮名加工情報を取り扱うに当たっては、電話をかけ、郵便若しくは民間事業者による信書の送達に関する法律(平成十四年法律第九十九号)第二条第六項に規定する一般信書便事業者若しくは同条第九項に規定する特定信書便事業者による同条第二項に規定する信書便により送付し、電報を送達し、ファクシミリ装置若しくは電磁的方法(電子情報処理組織を使用する方法その他の情報通信の技術を利用する方法であって個人情報保護委員会規則で定めるものをいう。)を用いて送信し、又は住居を訪問するために、当該仮名加工情報に含まれる連絡先その他の情報を利用してはならない。
9 仮名加工情報、仮名加工情報である個人データ及び仮名加工情報である保有個人データについては、第十五条第二項、第二十二条の二及び第二十七条から第三十四条までの規定は、適用しない。

【新設】
(仮名加工情報の第三者提供の制限等)
第三十五条の三 仮名加工情報取扱事業者は、法令に基づく場合を除くほか、仮名加工情報(個人情報であるものを除く。次項及び第三項において同じ。)を第三者に提供してはならない。
2 第二十三条第五項及び第六項の規定は、仮名加工情報の提供を受ける者について準用する。この場合において、同条第五項中「前各項」とあるのは「第三十五条の三第一項」と、同項第一号中「個人情報取扱事業者」とあるのは「仮名加工情報取扱事業者」と、同項第三号中「、本人に通知し、又は本人が容易に知り得る状態に置いて」とあるのは「公表して」と、同条第六項中「個人情報取扱事業者」とあるのは「仮名加工情報取扱事業者」と、「、本人に通知し、又は本人が容易に知り得る状態に置かなければ」とあるのは「公表しなければ」と読み替えるものとする。
3 第二十条から第二十二条まで、第三十五条並びに前条第七項及び第八項の規定は、仮名加工情報取扱事業者による仮名加工情報の取扱いについて準用する。この場合において、第二十条中「漏えい、滅失又は毀損」とあるのは「漏えい」と、前条第七項中「ために、」とあるのは「ために、削除情報等を取得し、又は」と読み替えるものとする。
【新設】

 今回の改正では、「仮名加工情報」という概念が創設されました。

 仮名加工情報は、個人情報と匿名加工情報の中間的な概念であり、他の情報と照合すれば特定の個人を識別できるような程度の加工も想定される点、及び、個人情報を復元できない状態にすることが要求されていない点で匿名加工情報と異なるものです(改正法§35の2Ⅰ参照)

 このような仮名加工情報の新設に伴い、改正法では、①個人情報である仮名加工情報と②個人情報ではない仮名加工情報に場合分けした上で、以下のような仮名加工情報に関する規律が新設されています。

(1) ①個人情報である仮名加工情報

  • 個人情報取扱事業者は、仮名加工情報を作成したとき、又は仮名加工情報及び当該仮名加工情報に係る削除情報等[1]を取得したときは、削除情報等の漏えいを防止するために必要なものとして個人情報保護委員会規則で定める基準に従い、削除情報等の安全管理のための措置を講じなければならない(改正法§35の2Ⅱ)
  • 仮名加工情報取扱事業者は、法令に基づく場合を除くほか、第十五条第一項の規定により特定された利用目的の達成に必要な範囲を超えて、仮名加工情報を取り扱ってはならない(改正法§35の2Ⅲ)
  • 仮名加工情報取扱事業者は、仮名加工情報を取得した場合は、原則として、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を公表しなければならない。また、仮名加工情報取扱事業者は、利用目的を変更した場合は、原則として、変更された利用目的について公表しなければならない(改正法§35の2Ⅳ)
  • 仮名加工情報取扱事業者は、仮名加工情報である個人データ及び削除情報等を利用する必要がなくなったときは、当該個人データ及び削除情報等を遅滞なく消去するよう努めなければならない(改正法§35の2Ⅴ、個人データの内容の正確性の確保等を義務付ける改正法§19を適用排除)
  • 仮名加工情報取扱事業者は、法令に基づく場合を除き、仮名加工情報である個人データを第三者に提供してはならない(改正法§35の2Ⅵ)
  • 仮名加工情報である個人データを共同利用する場合には、共同利用を行う旨、共同利用される個人データである仮名加工情報の項目、共同利用する者の範囲、共同利用する者の利用目的、個人データである仮名加工情報の管理について責任を有する者の氏名又は名称及び住所、並びに法人の場合はその代表者の氏名を公表しなければならない。また、共同利用する者の利用目的、個人データである仮名加工情報の管理について責任を有する者の氏名、名称、住所又は法人の場合はその代表者の氏名を変更する場合にも、その変更内容について、公表しなければならない(改正法§35の2Ⅵ)
  • 仮名加工情報取扱事業者は、仮名加工情報を取り扱うに当たっては当該仮名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該仮名加工情報を他の情報と照合してはならない(改正法§35の2Ⅶ)
  • 仮名加工情報取扱事業者は、仮名加工情報を取り扱うに当たっては、電話をかけ、郵便若しくは信書便により送付し、電報を送達し、電磁的方法等を用いて送信し、又は住居を訪問するために、当該仮名加工情報に含まれる連絡先その他の情報を利用してはならない(改正法§35の2Ⅷ)
  • 仮名加工情報、仮名加工情報である個人データ及び仮名加工情報である保有個人データについては、改正法§15Ⅱ(利用目的の変更)、改正法§22の2(漏洩等の報告等)及び改正法§27~§34(公表・開示義務、訂正・利用停止、第三者提供の停止、開示手続等)までの規定は、適用しない(改正法§35の2Ⅷ)

なお、以上の規律は、個人情報及び〔該当する場合〕個人データに関する規律を修正する形で適用されますが、特に上記規律によって修正されない個人情報及び〔該当する場合〕個人データに関する規律については、そのままの形で適用されます。

(2) ②個人情報ではない仮名加工情報

  • 仮名加工情報取扱事業者は、法令に基づく場合を除くほか、仮名加工情報を第三者に提供してはならない(改正法§35の3Ⅰ)
  • 仮名加工情報である個人データを共同利用する場合には、共同利用を行う旨、共同利用される個人データである仮名加工情報の項目、共同利用する者の範囲、共同利用する者の利用目的、個人データである仮名加工情報の管理について責任を有する者の氏名又は名称及び住所、並びに法人の場合はその代表者の氏名を公表しなければならない。また、共同利用する者の利用目的、個人データである仮名加工情報の管理について責任を有する者の氏名、名称、住所又は法人の場合はその代表者の氏名を変更する場合にも、その変更内容について、公表しなければならない(改正法§35の3Ⅱ)
  • 仮名加工情報取扱事業者は、仮名加工情報を取り扱うに当たっては当該仮名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該仮名加工情報を他の情報と照合してはならない(改正法§35の3Ⅲ)
  • 仮名加工情報取扱事業者は、仮名加工情報を取り扱うに当たっては、電話をかけ、郵便若しくは信書便により送付し、電報を送達し、電磁的方法等を用いて送信し、又は住居を訪問するために、当該仮名加工情報に含まれる連絡先その他の情報を利用してはならない(改正法§35の3Ⅲ)
  • 改正法§20(安全管理措置。ただし、滅失又は毀損の防止の観点は排除)、改正法§21(従業者の監督)、改正法§22(委託先の監督)及び改正法§35(苦情の処理)の規定を準用する(改正法§35の3Ⅲ)

[1] 仮名加工情報の作成に用いられた個人情報から削除された記述等及び個人識別符号並びに前項の規定により行われた加工の方法に関する情報。

認定個人情報保護団体制度

改正の概要

 認定個人情報保護団体とは、個人情報取扱事業者又は匿名加工情報取扱事業者による個人情報又は匿名加工情報の適正な取扱いの確保を目的として、その業務の対象となる事業者(以下「対象事業者」といいます。)の個人情報等の取扱いに関する苦情の処理、情報提供等の業務を行う法人その他の団体であって、個人情報保護委員会の認定を受けたものをいいます(現行法§47)

 今回の改正では、主として①認定個人情報保護団体の対象事業者、②対象事業者に対する規律、③認定個人情報保護団体の業務範囲について改正が行われました。

認定個人情報保護団体の対象事業者

(報告及び立入検査)
第四十条 個人情報保護委員会は、前三節及びこの節の規定の施行に必要な限度において、個人情報取扱事業者、個人関連情報取扱事業者、仮名加工情報取扱事業者又は匿名加工情報取扱事業者(以下「個人情報取扱事業者等」という。)その他の関係者に対し、個人情報、個人関連情報、仮名加工情報又は匿名加工情報(以下「個人情報等」という。)の取扱いに関し、必要な報告若しくは資料の提出を求め、又はその職員に、当該個人情報取扱事業者等その他の関係者の事務所その他必要な場所に立ち入らせ、個人情報等の取扱いに関し質問させ、若しくは帳簿書類その他の物件を検査させることができる。
2・3 (略)
(報告及び立入検査)
第四十条 個人情報保護委員会は、前二節及びこの節の規定の施行に必要な限度において、個人情報取扱事業者又は匿名加工情報取扱事業者(以下「個人情報取扱事業者等」という。)に対し、個人情報又は匿名加工情報(以下「個人情報等」という。)の取扱いに関し、必要な報告若しくは資料の提出を求め、又はその職員に、当該個人情報取扱事業者等の事務所その他必要な場所に立ち入らせ、個人情報等の取扱いに関し質問させ、若しくは帳簿書類その他の物件を検査させることができる。


2・3 (略)
(認定)
第四十七条 個人情報取扱事業者等(個人関連情報取扱事業者を除く。以下この節において同じ。)の個人情報等(個人関連情報を除く。以下この節において同じ。)の適正な取扱いの確保を目的として次に掲げる業務を行おうとする法人(法人でない団体で代表者又は管理人の定めのあるものを含む。次条第三号ロにおいて同じ。)は、個人情報保護委員会の認定を受けることができる。
一~三 (略)
2 (略)
 第一項の認定を受けようとする者は、政令で定めるところにより、個人情報保護委員会に申請しなければならない。
 個人情報保護委員会は、第一項の認定をしたときは、その旨(第二項の規定により業務の範囲を限定する認定にあっては、その認定に係る業務の範囲を含む。)を公示しなければならない。
(認定)
第四十七条 個人情報取扱事業者等の個人情報等の適正な取扱いの確保を目的として次に掲げる業務を行おうとする法人(法人でない団体で代表者又は管理人の定めのあるものを含む。次条第三号ロにおいて同じ。)は、個人情報保護委員会の認定を受けることができる。
一~三 (略)
【新設】
 前項の認定を受けようとする者は、政令で定めるところにより、個人情報保護委員会に申請しなければならない。
 個人情報保護委員会は、第一項の認定をしたときは、その旨を公示しなければならない。
(対象事業者)
第五十一条 認定個人情報保護団体は、認定業務の対象となることについて同意を得た個人情報取扱事業者等を対象事業者としなければならない。この場合において、第五十三条第四項の規定による措置をとったにもかかわらず、対象事業者が同条第一項に規定する個人情報保護指針を遵守しないときは、当該対象事業者を認定業務の対象から除外することができる。
2 (略)
(対象事業者)
第五十一条 認定個人情報保護団体は、当該認定個人情報保護団体の構成員である個人情報取扱事業者等又は認定業務の対象となることについて同意を得た個人情報取扱事業者等を対象事業者としなければならない。


2 (略)
(個人情報保護指針)
第五十三条 認定個人情報保護団体は、対象事業者の個人情報等の適正な取扱いの確保のために、個人情報に係る利用目的の特定、安全管理のための措置、開示等の請求等に応じる手続その他の事項又は仮名加工情報若しくは匿名加工情報に係る作成の方法、その情報の安全管理のための措置その他の事項に関し、消費者の意見を代表する者その他の関係者の意見を聴いて、この法律の規定の趣旨に沿った指針(以下「個人情報保護指針」という。)を作成するよう努めなければならない。
2~4 (略)
(個人情報保護指針)
第五十三条 認定個人情報保護団体は、対象事業者の個人情報等の適正な取扱いの確保のために、個人情報に係る利用目的の特定、安全管理のための措置、開示等の請求等に応じる手続その他の事項又は匿名加工情報に係る作成の方法、その情報の安全管理のための措置その他の事項に関し、消費者の意見を代表する者その他の関係者の意見を聴いて、この法律の規定の趣旨に沿った指針(以下「個人情報保護指針」という。)を作成するよう努めなければならない。

2~4 (略)

 現行法では、認定個人情報保護団体が対象事業者とすることができるのは以下の個人情報取扱事業者等である旨定めています(現行法§51Ⅰ)

  • ①当該認定個人情報保護団体の構成員である個人情報取扱事業者等
  • ②当該認定個人情報保護団体が認定を受けた業務の対象となることについて同意した個人情報取扱事業者等

 これに対し、改正法は、対象事業者とすることができる個人情報取扱事業者等について、①の個人情報取扱事業者等を除外し[1]、②の個人情報取扱事業者等に限定した上で(改正法§51Ⅰ前段)、仮名加工情報(取扱事業者)の概念の新設に伴い、対象事業者となり得るものとして、「仮名加工情報取扱事業者」を加えました(改正法§40Ⅰ、§47Ⅰ参照)[2] [3]


[1] ただし、改正法施行の際、現に認定個人情報保護団体の構成員である事業者については、施行日において改正法§51Ⅰの同意があったものとみなされます(改正法附則§6)。

[2] 「個人関連情報(取扱事業者)」の概念も新設されていますが、「個人関連情報取扱事業者」は対象事業者に含まれません。

[3] 個人情報保護指針の内容の例示として、「仮名加工情報……に係る作成の方法」との文言が追加されています(改正法§53Ⅰ)。

対象事業者に対する規律

 認定個人情報保護団体の主要な業務の1つとして、個人情報保護指針を作成するというものがあります(現行法§53Ⅰ)

 現行法では、認定個人情報保護団体は、対象事業者に対し、当該指針を遵守させるために必要な指導、勧告その他の措置をとらなければならない旨定められています(同条Ⅳ)。現行法下において、「その他の措置」は、対象事業者の除名等が想定されています。

 改正法では、認定個人情報保護団体は、対象事業者に個人情報保護指針を遵守させるため、必要な指導、勧告その他の措置をとったにもかかわらず、当該対象事業者が個人情報保護指針を遵守しない場合は、当該対象事業者を認定業務の対象から除外することができる旨の規定が新設され(改正法§51Ⅰ後段)、上記場合に除名があり得ることが明確にされています。

認定個人情報保護団体の業務範囲

(認定)
第四十七条 (略)
2 前項の認定は、対象とする個人情報取扱事業者等の事業の種類その他の業務の範囲を限定して行うことができる。
3 (略)
 個人情報保護委員会は、第一項の認定をしたときは、その旨(第二項の規定により業務の範囲を限定する認定にあっては、その認定に係る業務の範囲を含む。)を公示しなければならない。
(認定)
第四十七条 (略)
【新設】


2 (略)
 個人情報保護委員会は、第一項の認定をしたときは、その旨を公示しなければならない。


(変更の認定等)
第四十九条の二 第四十七条第一項の認定(同条第二項の規定により業務の範囲を限定する認定を含む。次条第一項及び第五十八条第一項第五号において同じ。)を受けた者は、その認定に係る業務の範囲を変更しようとするときは、個人情報保護委員会の認定を受けなければならない。ただし、個人情報保護委員会規則で定める軽微な変更については、この限りでない。
2 第四十七条第三項及び第四項並びに前条の規定は、前項の変更の認定について準用する。
【新設】
(廃止の届出)
第五十条 第四十七条第一項の認定(前条第一項の変更の認定を含む。)を受けた者(以下「認定個人情報保護団体」という。)は、その認定に係る業務(以下「認定業務」という。)を廃止しようとするときは、政令で定めるところにより、あらかじめ、その旨を個人情報保護委員会に届け出なければならない。
2 (略)
(廃止の届出)
第五十条 第四十七条第一項の認定を受けた者(以下「認定個人情報保護団体」という。)は、その認定に係る業務(以下「認定業務」という。)を廃止しようとするときは、政令で定めるところにより、あらかじめ、その旨を個人情報保護委員会に届け出なければならない。

2 (略)

 また、現行法では、認定個人情報保護団体は、企業単位で事業者を対象とすることを想定していますが、改正法では、認定個人情報保護団体が個人情報保護委員会の認定を受ける際、その認定に係る業務の範囲について、「認定は、対象とする個人情報取扱事業者等の事業の種類その他の業務の範囲を限定して行うことができる」としています(改正法§47Ⅱ)[1]


[1] 業務範囲の限定に関する規定の新設に伴い、認定の公示(改正法§47Ⅳ)、認定対象の業務の範囲の変更に関する手続(改正法§49の2)、認定業務の廃止の届出(改正法§50)も改正されています。

Coming Soon…

Please follow and like us:

コメント

タイトルとURLをコピーしました