2020年改正個人情報保護法の概説【改正規則・政令(案)反映済】

 本稿では、2020年に改正された個人情報保護法の主要な改正項目について説明していきます。

 なお、本稿の趣旨は、改正点を明らかにすることにあり、個人情報保護制度を体系的に解説するものではないことをあらかじめお断りさせていただきます。

▪ 2020年改正個人情報保護法に関する個人情報保護委員会公式ページはこちら

施行日

 改正法は、一部の規定[1]を除き、公布日である2020年6月12日から2年以内に施行されます改正法附則§1


[1] 罰則に関する改正条項は、2020年6月12日から6ヶ月以内に施行されます(改正法附則§1③)。

改正法令等

2020年改正個人情報保護法新旧条文対照表(Word,48KB)
2020年改正個人情報保護委員会規則案等

保有個人データの範囲(§2Ⅶ)

(定義)
第二条 (略)
2~6 (略)
7 この法律において「保有個人データ」とは、個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの以外のものをいう。

8~12 (略)
(定義)
第二条 (略)
2~6 (略)
7 この法律において「保有個人データ」とは、個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの又は一年以内の政令で定める期間以内に消去することとなるもの以外のものをいう。
8~10 (略)

 現行法では、保有個人データとは、個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止(以下「開示等」といいます。)を行うことのできる権限を有する個人データであって、①その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの又は②取得後6ヶ月以内に消去することとなるもの以外のものであるとされています(現行法§2Ⅶ,現行法施行令§5

 これが、今回の改正により、個人情報取扱事業者が、開示等に関する権限を有する個人データを取得後6ヶ月以内に消去することとしていたとしても、保有個人データとして扱われる可能性があることになりました(改正法§2Ⅶ)

 したがって、改正法の下での保有個人データは、個人データの保有期間の長短にかかわらず、個人情報取扱事業者が、開示等に関する権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの以外のもののみを指すことになります。

 この改正の背景には、情報化社会の進展により、短期間で消去される個人データであっても、漏洩等の事案によって、個人データが瞬時に拡散し、個人の権利利益を侵害する危険性が高まっているという事情や、プライバシーマークの審査基準として普及している「JIS Q 15001 個人情報保護マネジメントシステム――要求事項」では、短期保存データも開示等請求権の対象となると解されているとの事情があります[1]。


[1] 佐脇紀代志『一問一答 令和2年改正個人情報保護法』(商事法務・2020年)8頁、JIS Q 15001:2017附属書A.3.4.4.1

不適正な利用の禁止(§16の2)

(不適正な利用の禁止)
第十六条の二 個人情報取扱事業者は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない。
【新設】

規定の概要

 個人情報取扱事業者が、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用することを禁ずる規定が新設されました(改正法§16の2)[1] [2]。

 「違法又は不当な行為を助長し、又は誘発するおそれがある方法によ」る個人情報の利用行為の具体例としては、以下のような行為が挙げられます[3]。

  • 違法な行為を営むことが疑われる業者からの突然の接触によって、本人の平穏な生活を送る権利が侵害されるおそれが想定されるにもかかわらず、当該違反業者に当該本人の個人情報を提供すること
  • 裁判所による公告等により散在的に公開されている個人情報について、当該個人情報に係る本人に対する差別が、不特定多数の者によって誘発されるおそれがあることが十分に予見できるにもかかわらず、それを集約してデータベース化し、インターネット上で公開すること
  • 暴力団員により行われる暴力的要求行為や総会屋による不当な要求を助長し、又は誘発するおそれが十分に予見できるにもかかわらず、事業者間で共有している暴力団員等に該当する人物を本人とする個人情報や、不当要求による被害を防止するために必要な業務を行う各事業者の責任者の名簿等を、みだりに開示したり、その存在を明らかにしたりすること

本条に違反した場合のサンクション

 事業者が本条に違反する行為を行った場合も、原則として、直ちに当該事業者に罰則が適用されるわけではありません。まずは個人情報保護委員会による指導・勧告が行われ、これらに応じなかった場合に同委員会による命令が行われ、当該命令に応じなかった場合にはじめて当該事業者に罰則が適用されます。


[1] 立法事実として、破産者マップ事件のように、急速なデータ分析技術の向上等を背景に、潜在的に個人の権利利益の侵害につながることが懸念される個人情報の利用がみられるようになったことがあるとされます(宮下紘「個人情報取扱事業者等の新たな義務」ジュリスト1551号38頁)。
[2] 本条が、既存の個人情報の取扱いに係る「手続」論から「実体」論への新たな展開の契機となるものであって、本条の解釈にあたっては、個人情報取扱事業者の利益及び本人の権利利益の確定並びに両者の比較衡量というプロセスを経るべきであると述べるものとして、宮下紘「個人情報取扱事業者等の新たな義務」ジュリスト1551号36頁以下参照。
[3] 佐脇紀代志『一問一答 令和2年改正個人情報保護法』(商事法務・2020年)34~35頁。

漏洩等の報告・通知の義務化(§22の2)

(漏えい等の報告等)
第二十二条の二 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を個人情報保護委員会に報告しなければならない。ただし、当該個人情報取扱事業者が、他の個人情報取扱事業者から当該個人データの取扱いの全部又は一部の委託を受けた場合であって、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を当該他の個人情報取扱事業者に通知したときは、この限りでない。
2 前項に規定する場合には、個人情報取扱事業者(同項ただし書の規定による通知をした者を除く。)は、本人に対し、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を通知しなければならない。ただし、本人への通知が困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
【新設】

漏洩等の報告等の義務化

 現行法では、個人データの漏洩等の事案が発生した場合等の対応について、特段の規定を設けておらず、「個人データの漏えい等の事案が発生した場合等の対応について」において、努力義務又は任意の対応が定められているに過ぎませんでした[1]。

 これに対し、改正法では、個人データの漏洩等の事案が発生した場合等の対応として、個人情報取扱事業者に対し、以下の法的義務を課すことが明文化されています(改正法§22の2)[2]。

  • ①個人情報取扱事業者は、その取り扱う個人データの漏洩、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして改正規則(案)§6の2で定めるものが生じたときは、原則として、改正規則(案)§6の3で定めるところにより、当該事態が生じた旨を個人情報保護委員会[3]に報告しなければなりません[4]。
  • ②また、個人情報取扱事業者が上記報告義務を負う場合には、当該個人情報取扱事業者は、原則として、本人に対し、改正規則(案)§6の5で定めるところにより、当該事態が生じた旨を通知しなければなりません[5]。

漏洩等の報告等義務の発生基準

 漏洩等発生時における個人情報保護委員会への報告義務及び本人への通知義務(以下、併せて「漏洩等の報告等義務」といいます。)は、次の場合に発生する旨、改正規則(案)§6の2で定められています。

  • 要配慮個人情報が含まれる個人データ(高度な暗号化その他の個人の権利利益を保護するために必要な措置を講じたものを除く。)の漏えい、滅失若しくは毀損(以下「漏えい等」といいます。)が発生し、又は発生したおそれがある事態
  • 不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態
  • 不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態
  • 個人データに係る本人の数が千人を超える漏えい等が発生し、又は発生したおそれがある事態

 漏洩等発生時における個人情報保護委員会への報告義務は、個人情報取扱事業者が漏洩等の事態の発生を認識した時点で発生すると解されています[6]。

漏洩等の報告等義務の履行方法

⑴ 個人情報保護委員会への報告

ア 報告内容

 個人情報取扱事業者は、改正規則(案)§6の2各号に定める事態を知った日から30日以内(当該事態が同条3号に定めるものである場合にあっては、60日以内)に、当該事態に関する次に掲げる事項(報告をしようとする時点において把握しているものに限る。)を個人情報保護委員会等に報告しなければなりません(改正規則(案)§6の3Ⅰ,Ⅱ)[1]。

  • 概要
  • 漏えい等が発生し、又は発生したおそれがある個人データの項目
  • 漏えい等が発生し、又は発生したおそれがある個人データに係る本人の数
  • 原因
  • 二次被害又はそのおそれの有無及びその内容
  • 本人への対応の実施状況
  • 公表の実施状況
  • 再発防止のための措置
  • その他参考となる事項

イ 報告方法

 そして、当該報告は次の方法で行う必要があります(改正規則(案)§6の3Ⅲ)

報告先 方法
個人情報保護委員会 電子情報処理組織を使用する方法
(電気通信回線の故障、災害その他の理由により電子情報処理組織を使用することが困難であると認められる場合にあっては、別記様式第一による報告書を提出する方法)
改正法§44Ⅰの規定により、改正法§22の2Ⅰの規定による権限の委任を受けた事業所管大臣 別記様式第一による報告書を提出する方法
(当該事業所管大臣が別に定める場合にあっては、その方法)

⑵ 本人への通知

 個人情報取扱事業者は、改正規則§6の2各号に定める事態を知った後、当該事態の状況に応じて速やかに、当該本人の権利利益を保護するために必要な範囲において、当該事態に関する次に掲げる事項(報告をしようとする時点において把握しているものに限る。)を本人に通知しなければなりません(改正規則(案)§6の5)

  • 概要
  • 漏えい等が発生し、又は発生したおそれがある個人データの項目
  • 原因
  • 二次被害又はそのおそれの有無及びその内容
  • その他参考となる事項

[1] 改正法§22の2Ⅰ但書に基づく通知を行う場合についても、改正規則(案)§6の3Ⅰの規律と同様の規律が設けられています(改正規則(案)§6の4)。

漏洩等の報告等義務違反に対するサンクション

 これらの義務に違反した場合、個人情報保護委員会による勧告、命令、違反の事実の公表等の処分の対象となります(改正法§42Ⅰ,Ⅲ,Ⅳ)


[1] 特定個人情報(マイナンバー)の漏洩等の事案等が発生した場合の対応については、「事業者における特定個人情報の漏えい事案等が発生した場合の対応について」で定められています。
[2] 特定個人情報(マイナンバー)の漏洩等が生じた場合における個人番号利用事務等実施者から個人情報保護委員会への報告及び本人への通知、並びに、医療情報等又は匿名加工医療情報の漏洩等が生じた場合における認定匿名加工医療情報作成事業者から主務大臣への報告等についても、関連する規定が整備されました(行政手続における特定の個人を識別するための番号の利用等に関する法律§24の9、医療分野の研究開発に資するための匿名加工医療情報に関する法律§24の2,§29)。

[3] 漏洩等発生時における報告の受理に係る権限が個人情報保護委員会から事業所管大臣に委任されている分野における個人情報取扱事業者は、当該事業所管大臣に対する報告を行うことになります(改正法§44Ⅰ)。
[4] ただし、当該個人情報取扱事業者が、他の個人情報取扱事業者から当該個人データの取扱いの全部又は一部の委託を受けた場合であって、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を当該他の個人情報取扱事業者に通知したときは、個人情報保護委員会に対する報告義務を負いません(改正法§22の2Ⅰ但書)。
[5] ただし、本人への通知が困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、個人情報取扱事業者は、本人に対する通知義務を負いません(改正法§22の2Ⅱ但書)。
[6] 佐脇紀代志『一問一答 令和2年改正個人情報保護法』(商事法務・2020年)43頁。

オプトアウト規制の強化(§23)

(第三者提供の制限)
第二十三条 (略)
(第三者提供の制限)
第二十三条 (略)
2 個人情報取扱事業者は、第三者に提供される個人データについて、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出たときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。ただし、第三者に提供される個人データが要配慮個人情報又は第十七条第一項の規定に違反して取得されたもの若しくは他の個人情報取扱事業者からこの項本文の規定により提供されたもの(その全部又は一部を複製し、又は加工したものを含む。)である場合は、この限りでない。
一 第三者への提供を行う個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人。以下この条、第二十六条第一項第一号及び第二十七条第一項第一号において同じ。)の氏名
二・三 (略)
四 第三者に提供される個人データの取得の方法
五~七 (略)
八 その他個人の権利利益を保護するために必要なものとして個人情報保護委員会規則で定める事項
2 個人情報取扱事業者は、第三者に提供される個人データ(要配慮個人情報を除く。以下この項において同じ。)について、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出たときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。




【新設】




一・二 (略)
【新設】
三~五 (略)
【略】

3 個人情報取扱事業者は、前項第一号に掲げる事項に変更があったとき又は同項の規定による個人データの提供をやめたときは遅滞なく、同項第三号から第五号まで、第七号又は第八号に掲げる事項を変更しようとするときはあらかじめ、その旨について、個人情報保護委員会規則で定めるところにより、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出なければならない。 3 個人情報取扱事業者は、前項第二号、第三号又は第五号に掲げる事項を変更する場合は、変更する内容について、個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出なければならない。
4~6 (略) 4~6 (略)

通知・公表及び届出事項の追加

⑴ オプトアウト方式を採用する場合

 個人情報取扱事業者は、第三者に提供される個人データ(要配慮個人情報を除く。)について、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合(=「オプトアウト方式」)は、一定の事項について、改正規則(案)§7Ⅱで定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出たときは、本人の同意なく、当該個人データを第三者に提供することができます(現行法§23Ⅱ)

 今回の改正では、通知・公表及び届出すべき事項が追加されました(改正法§23Ⅱ①,④,⑧,改正規則(案)§7Ⅳ)

 具体的には、改正法下において通知・公表並びに届出すべき以下に掲げる全事項のうち、アンダーラインを引いている事項が追加されました。

  • 第三者への提供を行う個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者[1]の氏名
  • 第三者への提供を利用目的とすること
  • 第三者に提供される個人データの項目
  • 第三者に提供される個人データの取得の方法
  • 第三者への提供の方法
  • 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること
  • 本人の求めを受け付ける方法
  • 第三者に提供される個人データの更新の方法
  • 当該届出に係る個人データの第三者への提供を開始する予定日

 なお、現行法下において既に届出を行っている事業者も、改正法の施行後に継続的にオプトアウト方式に基づいて第三者提供を行うためには、改正法の施行前に改正法に基づく届け出を適法に行う必要があります[2]。

⑵ 通知等事項に変更があった場合

 通知・公表及び届出すべき事項が追加されたことに伴い、当該事項に変更があった場合の義務を定める現行法§23Ⅲも改正されました。

 具体的には、改正法下では、通知・公表及び届出すべき事項に変更があった場合には、個人情報取扱事業者は、次の義務を負うこととなりました(改正法§23Ⅲ)

  • 以下に掲げる事項のいずれかに変更があったとき又は同項の規定による個人データの提供をやめたときは遅滞なく、その旨について、改正規則(案)§7Ⅱで定めるところにより、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出なければなりません。
    a) 第三者への提供を行う個人情報取扱事業者の氏名又は名称
    b) 第三者への提供を行う個人情報取扱事業者の氏名又は名称及び住所
    c) 〔第三者が法人の場合〕当該法人の代表者の氏名
  • 以下に掲げる事項のいずれかを変更しようとするときは、あらかじめ、その旨について、改正規則(案)§7Ⅱで定めるところにより、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出なければなりません。
    a) 第三者に提供される個人データの項目
    b) 第三者に提供される個人データの取得の方法
    c) 第三者への提供の方法
    d) 本人の求めを受け付ける方法
    e) その他個人の権利利益を保護するために必要なものとして個人情報保護委員会規則で定める事項

[1] 法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人。
[2] 佐脇紀代志『一問一答 令和2年改正個人情報保護法』(商事法務・2020年)51頁。

個人情報取扱事業者による公表の内容の変更

(第三者提供に係る個人情報取扱事業者による公表)
第10条
 個人情報取扱事業者は、法第23条第4項の規定による公表がされた後、速やかに、インターネットの利用その他の適切な方法により、次の各号に掲げる場合の区分に応じ、それぞれ当該各号に定める事項を公表するものとする。
一 法第23条第2項の規定による届出を行った場合 同項各号に掲げる事項
二 法第23条第3項の規定による変更の届出を行った場合 変更後の同条第2項各号に掲げる事項
三 法第23条第3項の規定による個人データの提供をやめた旨の届出を行った場合 その旨
(第三者提供に係る個人情報取扱事業者による公表)
第10条 
個人情報取扱事業者は、法第23条第4項の規定による公表がされた後、速やかに、インターネットの利用その他の適切な方法により、同条第2項に掲げる事項(同項第2号、第3号又は第5号に掲げる事項に変更があったときは、変更後の当該各号に掲げる事項)を公表するものとする。

 個人情報保護委員会による届出事項の公表があった後、個人情報取扱事業者が行う現行規則§10に基づく公表の内容に変更が加えられました(改正規則(案)§10)

オプトアウト方式が認められない個人データの範囲の拡大

 今回の改正では、オプトアウト方式を採用することが認められない個人データとして、要配慮個人情報(現行法§23Ⅱ括弧書)のほかに、以下の個人データが追加されました(改正法§23Ⅱ但書)

  • 改正法§17Ⅰの規定に違反して取得されたもの(=偽りその他不正の手段によって取得されたもの)
  • 他の個人情報取扱事業者からオプトアウト方式に基づいて提供されたもの(その全部若しくは一部を複製し、又は加工したものを含む。)

共同利用における開示事項の変更(§23)

(第三者提供の制限)
第二十三条 (略)
(第三者提供の制限)
第二十三条 (略)
2~4 (略) 2~4 (略)
5 次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用については、第三者に該当しないものとする。
一・二 (略)
三 特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的並びに当該個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。
5 次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用については、第三者に該当しないものとする。
一・二 (略)
三 特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。
6 個人情報取扱事業者は、前項第三号に規定する個人データの管理について責任を有する者の氏名、名称若しくは住所又は法人にあっては、その代表者の氏名に変更があったときは遅滞なく、同号に規定する利用する者の利用目的又は当該責任を有する者を変更しようとするときはあらかじめ、その旨について、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。 6 個人情報取扱事業者は、前項第三号に規定する利用する者の利用目的又は個人データの管理について責任を有する者の氏名若しくは名称を変更する場合は、変更する内容について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。

 個人情報取扱事業者は、他者との間で個人データを共同して利用する場合、一定の事項をあらかじめ本人に通知・公表しておくことで、当該他者への個人データの提供は、「第三者」への提供(現行法§23Ⅰ)に当たらないこととされる結果、本人の同意を得ることなく行うことができるようになります(同条Ⅴ③)

 今回の改正では、通知・公表すべき事項が追加されました(改正法§23Ⅴ③)

 具体的には、改正法下において通知・公表すべき以下に掲げる全事項のうち、アンダーラインを引いている事項が追加されました。

  • 共同利用を行う旨
  • 共同して利用される個人データの項目
  • 共同して利用する者の範囲
  • 利用する者の利用目的
  • 当該個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名

 通知・公表すべき事項が追加されたことに伴い、当該事項に変更があった場合の義務を定める現行法§23Ⅵも改正されました。

 具体的には、改正法下では、通知・公表すべき事項を変更があった場合には、個人情報取扱事業者は、次の義務を負うこととなりました(改正法§23Ⅵ)

  • 個人データの管理について責任を有する者の氏名、名称若しくは住所又は法人にあっては、その代表者の氏名に変更があったときは遅滞なく、その旨について、本人に通知し、又は本人が容易に知り得る状態に置かなければなりません。
  • 利用する者の利用目的又は個人データの管理について責任を有する者を変更しようとするときはあらかじめ、その旨について、本人に通知し、又は本人が容易に知り得る状態に置かなければなりません。

第三者提供に係る記録事項の具体化(改正規則(案)§13Ⅰ①ロ)

(第三者提供に係る記録事項)
第13条
 法第25条第1項の個人情報保護委員会規則で定める事項は、次の各号に掲げる場合の区分に応じ、それぞれ当該各号に定める事項とする。
 法第23条第2項の規定により個人データを第三者に提供した場合 次のイからニまでに掲げる事項
 (略)
 当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人。第18条の4第1項第3号において同じ。)の氏名(不特定かつ多数の者に対して提供したときは、その旨)
ハ・ニ (略)
 法第23条第1項又は法第24条第1項の規定により個人データを第三者に提供した場合 次のイ及びロに掲げる事項
 法第23条第1項又は法第24条第1項の本人の同意を得ている旨
 (略)
 (略)
(第三者提供に係る記録事項)
第13条
 法第25条第1項の個人情報保護委員会規則で定める事項は、次の各号に掲げる場合の区分に応じ、それぞれ当該各号に定める事項とする。
 法第23条第2項の規定により個人データを第三者に提供した場合 次のイからニまでに掲げる事項
 (略)
 当該第三者の氏名又は名称その他の当該第三者を特定するに足りる事項(不特定かつ多数の者に対して提供したときは、その旨)



ハ・ニ (略)
 法第23条第1項又は法第24条の規定により個人データを第三者に提供した場合 次のイ及びロに掲げる事項
 法第23条第1項又は法第24条の本人の同意を得ている旨
 (略)
 (略)
【参考―個人情報保護法】
(第三者提供に係る記録の作成等)
第二十五条
 個人情報取扱事業者は、個人データを第三者(第二条第五項各号に掲げる者を除く。以下この条及び次条において同じ。)に提供したときは、個人情報保護委員会規則で定めるところにより、当該個人データを提供した年月日、当該第三者の氏名又は名称その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければならない。ただし、当該個人データの提供が第二十三条第一項各号又は第五項各号のいずれか(前条の規定による個人データの提供にあっては、第二十三条第一項各号のいずれか)に該当する場合は、この限りでない。
 個人情報取扱事業者は、前項の記録を、当該記録を作成した日から個人情報保護委員会規則で定める期間保存しなければならない。

 現行規則§13Ⅰ①ロが改正され、「その他の当該第三者を特定するに足りる事項」の具体化が図られ、当該第三者の「住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人……)の氏名」と定められました(改正規則(案)§13Ⅰ①ロ)

提供先において個人データとなる個人関連情報の第三者提供(§26の2)

(個人関連情報の第三者提供の制限等)
第二十六条の二 個人関連情報取扱事業者(個人関連情報データベース等(個人関連情報(生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいう。以下同じ。)を含む情報の集合物であって、特定の個人関連情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の個人関連情報を容易に検索することができるように体系的に構成したものとして政令で定めるものをいう。以下この項において同じ。)を事業の用に供している者であって、第二条第五項各号に掲げる者を除いたものをいう。以下同じ。)は、第三者が個人関連情報(個人関連情報データベース等を構成するものに限る。以下同じ。)を個人データとして取得することが想定されるときは、第二十三条第一項各号に掲げる場合を除くほか、次に掲げる事項について、あらかじめ個人情報保護委員会規則で定めるところにより確認することをしないで、当該個人関連情報を当該第三者に提供してはならない。
一 当該第三者が個人関連情報取扱事業者から個人関連情報の提供を受けて本人が識別される個人データとして取得することを認める旨の当該本人の同意が得られていること。
二 外国にある第三者への提供にあっては、前号の本人の同意を得ようとする場合において、個人情報保護委員会規則で定めるところにより、あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報が当該本人に提供されていること。
2 第二十四条第三項の規定は、前項の規定により個人関連情報取扱事業者が個人関連情報を提供する場合について準用する。この場合において、同条第三項中「講ずるとともに、本人の求めに応じて当該必要な措置に関する情報を当該本人に提供し」とあるのは、「講じ」と読み替えるものとする。
3 前条第二項から第四項までの規定は、第一項の規定により個人関連情報取扱事業者が確認する場合について準用する。この場合において、同条第三項中「の提供を受けた」とあるのは、「を提供した」と読み替えるものとする。

【新設】

個人関連情報の第三者提供

⑴ 本人同意の取得等

ア 個人関連情報取扱事業者の義務

 改正法では、それ自体では特定個人を識別できない情報が、(提供元において、他の情報と照合して容易に特定個人を識別できる場合に個人情報に該当するという考え方[1]を前提として、)提供元では容易照合性が認められず、個人データに該当しませんが、提供先において容易照合性が認められ、かつ、個人情報データベース等を構成している結果、個人データになる情報について、当該データの第三者提供を規制するための規律が創設されました(改正法§26の2)。この規律は、氏名と結び付いていないインターネットの閲覧履歴や、ターゲティング広告に用いられるcookieや位置情報等に適用することを念頭に置いたものです[2]。

 そして、cookieや位置情報等といった個人関連情報[3]を取り扱う事業者は、個人関連情報データベース等を構成する個人関連情報を第三者に提供しようとする場合において、当該第三者が当該個人関連情報を個人データとして取得することが想定されるときは、改正法§23Ⅰ各号に掲げる場合[4]を除くほか、下記㋐・㋑について、あらかじめ改正規則(案)§18の2Ⅰ~Ⅲで定めるところにより確認することをしないで、当該個人関連情報を当該第三者に提供してはならないと定めています(改正法§26の2Ⅰ)[5]。

  • ㋐ 当該第三者が個人関連情報取扱事業者から個人関連情報の提供を受けて本人が識別される個人データとして取得することを認める旨の当該本人の同意が得られていること(同項①)
  • ㋑ 外国にある第三者への提供にあっては、前号の本人の同意を得ようとする場合において、電磁的記録の提供による方法、書面の交付による方法その他の適切な方法により、あらかじめ、(ア)当該外国の名称、(イ)適切かつ合理的な方法により得られた当該外国における個人情報の保護に関する制度に関する情報、(ウ)当該第三者が講ずる個人情報の保護のための措置に関する情報が当該本人に提供されていること(同項②,改正規則(案)§11の3Ⅰ,Ⅱ)[6]

 なお、確認にあたっては、、当該個人関連情報取扱事業者は、提供先の申告内容を一般的な注意力をもって確認すれば足り、特段の事情のない限り、真正性や正確性まで独自に調査をする必要はないと考えられています[7]。

イ 「第三者が当該個人関連情報を個人データとして取得することが想定されるとき」

 前述のとおり、改正法§26の2Ⅰに基づく確認義務が発生するのは、「第三者が当該個人関連情報を個人データとして取得することが想定されるとき」です。

 では、「第三者が当該個人関連情報を個人データとして取得することが想定されるとき」とは、具体的にどういう場合を指すのかというと、次のような場合が想定されています[8]。

  • 提供先の第三者によって個人データとして取得されることを、提供元の個人関連情報取扱事業者が現に想定している場合
  • 提供先の第三者との取引状況等の客観的事情に照らし、一般人の認識を基準とすれば、当該第三者によって個人データとして取得されることを通常想定できる場合

⑵ 提供記録作成義務等

ア 個人関連情報取扱事業者の義務

 また、個人関連情報取扱事業者は、文書、電磁的記録又はマイクロフィルムを用いて作成する方法により、以下の事項に関する記録を、当該個人関連情報を第三者に提供した都度、速やかに作成しなければなりません(改正法§26の2Ⅲ・§26Ⅲ,改正規則(案)§18の3Ⅰ)[9]。ただし、当該個人関連情報取扱事業者は、当該第三者に対し個人関連情報を継続的に若しくは反復して提供したとき、又は当該第三者に対し個人関連情報を継続的に若しくは反復して提供することが確実であると見込まれるときの記録は、一括して作成することができるとされています(改正規則(案)§18の3Ⅱ但書)。

  • 改正法§26の2Ⅰ①の本人の同意が得られていることを確認した旨及び外国にある第三者への提供にあっては、同項②の規定による情報の提供が行われていることを確認した旨
  • 個人関連情報を提供した年月日(改正規則(案)§18の3Ⅱ但書の規定により、改正法§26の2Ⅲにおいて読み替えて準用する改正法§26Ⅲの記録を一括して作成する場合にあっては、当該提供の期間の初日及び末日)
  • 当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
  • 当該個人関連情報の項目

 なお、当該個人関連情報取扱事業者は、当該記録の作成日から改正規則(案)§18の5で定める期間保存する必要がありますます(改正法§26の2Ⅲ・§26Ⅳ)

本人への物品・役務提供に関連して当該本人に係る個人関連情報を第三者に提供した場合に、当該提供に関して改正規則(案)§18の4Ⅰ各号所定の事項が記載された契約書その他の書面を作成する方法(改正規則(案)§18の3Ⅲ)により記録を作成した場合 最後に当該記録に係る個人関連情報の提供を行った日から起算して1年を経過する日までの間
個人関連情報の反復・継続的な第三者提供における記録の一括作成の方法(改正規則(案)§18の3Ⅱ但書)により記録を作成した場合 最後に当該記録に係る個人関連情報の提供を行った日から起算して3年を経過する日までの間
㋐・㋑以外の場合 3年

イ 個人関連情報の提供を受けた第三者の義務

(第三者提供を受ける際の記録事項)
第17条 法第26条第3項の個人情報保護委員会規則で定める事項は、次の各号に掲げる場合の区分に応じ、それぞれ当該各号に定める事項とする。
 (略)
 個人情報取扱事業者から法第23条第1項又は法第24条第1項の規定による個人データの提供を受けた場合 次のイ及びロに掲げる事項
 法第23条第1項又は法第24条第1項の本人の同意を得ている旨
 (略)
 個人関連情報取扱事業者から法第26条の2第1項の規定による個人関連情報の提供を受けて個人データとして取得した場合 次のイからニまでに掲げる事項
 法第26条の2第1項第1号の本人の同意が得られている旨及び外国にある個人情報取扱事業者にあっては、同項第2号の規定による情報の提供が行われている旨
 法第26条第1項第1号に掲げる事項
 第1号ハに掲げる事項
 当該個人関連情報の項目
 第三者(個人情報取扱事業者に該当する者を除く。)から個人データの提供を受けた場合 第1号ロからニまでに掲げる事項
 (略)
(第三者提供を受ける際の記録事項)
第17条
 法第26条第3項の個人情報保護委員会規則で定める事項は、次の各号に掲げる場合の区分に応じ、それぞれ当該各号に定める事項とする。
 (略)
 個人情報取扱事業者から法第23条第1項又は法第24条の規定による個人データの提供を受けた場合 次のイ及びロに掲げる事項
 法第23条第1項又は法第24条の本人の同意を得ている旨
 (略)
【新設】









 第三者(個人情報取扱事業者に該当する者を除く。)から個人データの提供を受けた場合 第1号ロからニまでに掲げる事項
 (略)
【参考―個人情報保護法】
(第三者提供を受ける際の確認等)
第二十六条
 個人情報取扱事業者は、第三者から個人データの提供を受けるに際しては、個人情報保護委員会規則で定めるところにより、次に掲げる事項の確認を行わなければならない。ただし、当該個人データの提供が第二十三条第一項各号又は第五項各号のいずれかに該当する場合は、この限りでない。
 当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人)の氏名
 当該第三者による当該個人データの取得の経緯
 (略)
 個人情報取扱事業者は、第一項の規定による確認を行ったときは、個人情報保護委員会規則で定めるところにより、当該個人データの提供を受けた年月日、当該確認に係る事項その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければならない。
 (略)

 個人関連情報の提供を受け、個人データとして取得した第三者の提供記録作成義務についても改正が行われており、当該第三者は、個人情報保護委員会規則で定めるところにより、以下の事項に関する記録を作成しなければならないこととされています(改正法§26Ⅲ,改正規則(案)§17Ⅰ③)

  • 改正法§26の2Ⅰ①の本人の同意が得られている旨及び外国にある個人情報取扱事業者にあっては、同項②の規定による情報の提供が行われている旨
  • 当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人)の氏名(改正法§26Ⅰ①)
  • 個人データの提供を受けた年月日(改正規則(案)§17Ⅰ①ハ)
  • 当該個人関連情報の項目

[1] 改正法では、いわゆる提供元基準説を採用することが明らかにされました(個人情報保護委員会「『個人情報の保護に関する法律についてのガイドライン(通則編)(案)』に関する意見募集結果」No.19)。
[2] 本改正は、リクナビが就活生の内定辞退確率を当該就活生の承諾なく顧客企業に販売していた事案が立法事実となっています。
[3] 「個人関連情報」とは、生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいい(改正法§26の2Ⅰ)、国会での審議によれば、cookieや位置情報は「個人関連情報」に含まれるとされています。
[4] 「改正法§23Ⅰ各号に掲げる場合」は、以下のとおり。
一 法令に基づく場合
二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
[5] 確認義務を履行する際、提供先の第三者は個人関連情報取扱事業者に対して、当該確認に係る事項を偽ってはならないとされ(改正法§26の2Ⅲ・§26Ⅱ)、偽った場合は、10万円以下の過料に処されます(改正法§88)。

[6] 個人情報取扱事業者が、改正法§24Ⅰの規定により本人の同意を得ようとする時点において、提供先の外国の名称を特定できない場合には、(ア)及び(イ)の事項に代えて、(a)提供先の外国の名称が特定できない旨及びその理由、及び、(b)提供先の外国の名称に代わる本人に参考となるべき情報がある場合には、当該情報について情報提供しなければなりません(改正規則(案)§11の3Ⅲ)。一方、個人情報取扱事業者が、改正法§24Ⅰの規定により本人の同意を得ようとする時点において、(ウ)の事項について情報提供できない場合には、 (ウ)の事項に代えて、(ウ)の事項について情報提供できない旨及びその理由について情報提供しなければなりません(改正規則(案)§11の3Ⅳ)。
[7] 佐脇紀代志『一問一答 令和2年改正個人情報保護法』(商事法務・2020年)68頁。なお、提供先である第三者が、提供元である事業者から確認を受けた場合に、当該確認の対象となる事項を偽った場合は、10万円以下の過料に処せられる可能性があります(改正法§88①,§26の2Ⅲ・§26Ⅱ)。
[8] 佐脇紀代志『一問一答 令和2年改正個人情報保護法』(商事法務・2020年)65頁。

[9] 改正法§26の2Ⅰの規定により、本人に対する物品又は役務の提供に関連して当該本人に係る個人関連情報を第三者に提供した場合に、当該提供に関して改正規則(案)§18の4Ⅰ各号所定の事項が記載された契約書その他の書面を作成したときは、当該書面を記録に代えることができます(改正規則(案)§18の3Ⅲ)。また、既作成記録の内容との重複事項の省略につき、改正規則(案)§18の4Ⅱ。

保有個人データに関する公表事項の充実(§27)

(保有個人データに関する事項の公表など)
第二十七条 個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない。
一 当該個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
二 (略)
三 次項の規定による求め又は次条第一項(同条第五項において準用する場合を含む。)、第二十九条第一項若しくは第三十条第一項、第三項若しくは第五項の規定による請求に応じる手続(第三十三条第二項の規定により手数料の額を定めたときは、その手数料の額を含む。)
四 前三号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項として政令で定めるもの
2・3 (略)
(保有個人データに関する事項の公表など)
第二十七条 個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない。

一 当該個人情報取扱事業者の氏名又は名称

二 (略)
三 次項の規定による求め又は次条第一項、第二十九条第一項若しくは第三十条第一項若しくは第三項の規定による請求に応じる手続(第三十三条第二項の規定により手数料の額を定めたときは、その手数料の額を含む。)

四 前三号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項として政令で定めるもの
2・3 (略)

公表事項の追加

 保有個人データを扱う個人情報取扱事業者は、保有個人データに関し、一定の事項を本人の知り得る状態に置かなければなりませんが、今回の改正では、本人が事業者に連絡を取ることができるようにするため、以下の事項が公表すべき事項に追加されました(改正法§27Ⅰ①,④,改正施行令(案)§8)

  • 当該個人情報取扱事業者の住所
  • 当該個人情報取扱事業者が法人の場合は、その代表者の氏名
  • (法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人の氏名)
  • 改正法§20の規定により保有個人データの安全管理のために講じた措置(本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置くことにより当該保有個人データの安全管理に支障を及ぼすおそれがあるものを除く。)

開示請求の充実(§28)

(開示)
第二十八条 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データの電磁的記録の提供による方法その他の個人情報保護委員会規則で定める方法による開示を請求することができる。
(開示)
第二十八条 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データの開示を請求することができる。
2 個人情報取扱事業者は、前項の規定による請求を受けたときは、本人に対し、同項の規定により当該本人が請求した方法(当該方法による開示に多額の費用を要する場合その他の当該方法による開示が困難である場合にあっては、書面の交付による方法)により、遅滞なく、当該保有個人データを開示しなければならない。ただし、開示することにより次の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。
一~三 (略)
2 個人情報取扱事業者は、前項の規定による請求を受けたときは、本人に対し、政令で定める方法により、遅滞なく、当該保有個人データを開示しなければならない。ただし、開示することにより次の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。
一~三 (略)
3 個人情報取扱事業者は、第一項の規定による請求に係る保有個人データの全部若しくは一部について開示しない旨の決定をしたとき、当該保有個人データが存在しないとき、又は同項の規定により本人が請求した方法による開示が困難であるときは、本人に対し、遅滞なく、その旨を通知しなければならない。 3 個人情報取扱事業者は、第一項の規定による請求に係る保有個人データの全部又は一部について開示しない旨の決定をしたとき又は当該保有個人データが存在しないときは、本人に対し、遅滞なく、その旨を通知しなければならない。
4 (略) 4 (略)
5 第一項から第三項までの規定は、当該本人が識別される個人データに係る第二十五条第一項及び第二十六条第三項の記録(その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるものを除く。第三十二条第二項において「第三者提供記録」という。)について準用する。 【新設】

開示方法

 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データの開示を請求することができ、個人情報取扱事業者は、当該請求を受けたときは、本人に対し、原則として書面の交付により、遅滞なく当該保有個人データを開示しなければならないこととされていました(現行法§28Ⅰ,同条Ⅱ,個人情報保護法施行令§9

 これが、今回の改正により、個人情報取扱事業者が開示を行う方法は、原則として、電磁的記録の提供による方法、書面の交付による方法その他当該個人情報取扱事業者の定める方法の中から本人が指定した方法によることとされました(改正法§28Ⅱ本文,改正規則(案)§18の6)。そして、例外的に、本人が指定した方法による開示に多額の費用を要する場合その他の当該方法による開示が困難である場合に限り、書面の交付による方法が認められることとなりました(同項本文括弧書)[1]。

 なお、「当該方法による開示が困難である場合」については、以下のような場合が想定されています[2]。

  • 本人が電磁的記録の提供による開示を請求した場合であって、個人情報取扱事業者が当該開示請求に応じるために、大規模なシステム改修を行わなければならないような場合
  • 本人が電磁的記録の提供による開示を請求した場合であって、書面で個人情報や帳簿等の管理を行っている小規模事業者が、電磁的記録の提供に対応することが困難な場合

[1] 個人情報取扱事業者は、改正法§28Ⅰの規定により本人が請求した方法による開示が困難であるときは、本人に対し、遅滞なく、その旨を通知しなければなりません(改正法§28Ⅲ)。
[2] 佐脇紀代志『一問一答 令和2年改正個人情報保護法』(商事法務・2020年)75頁。

開示請求の対象

 また、今回の改正により、保有個人データとなる個人に関する情報の範囲が拡張されたことに加え(改正法§2Ⅶ)第三者提供記録も本人からの開示請求の対象に含められることとなりました(改正法§28Ⅴ)。第三者提供記録とは、㋐個人データを第三者に提供したときに個人情報取扱事業者が作成する記録(改正法§25Ⅰ)及び㋑第三者から個人データの提供を受ける際に行う確認の記録(改正法§26Ⅲ)のことです。

 ただし、その存否が明らかになることにより公益その他の利益が害されるものとして次に掲げる事項に関する記録については、第三者提供記録から除かれます(同項括弧書,改正施行令(案)§9)

  • 当該記録の存否が明らかになることにより、本人又は第三者の生命、身体又は財産に危害が及ぶおそれがあるもの
  • 当該記録の存否が明らかになることにより、違法又は不当な行為を助長し、又は誘発するおそれがあるもの
  • 当該記録の存否が明らかになることにより、国の安全が害されるおそれ、他国若しくは国際機関との信頼関係が損なわれるおそれ又は他国若しくは国際機関との交渉上不利益を被るおそれがあるもの
  • 当該記録の存否が明らかになることにより、犯罪の予防、鎮圧又は捜査その他の公共の安全と秩序の維持に支障が及ぶおそれがあるもの

保有個人データの利用停止等及び第三者提供停止の請求事由追加等(§30)

(利用停止等)
第三十条
 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データが第十六条若しくは第十六条の二の規定に違反して取り扱われているとき、又は第十七条の規定に違反して取得されたものであるときは、当該保有個人データの利用の停止又は消去(以下この条において「利用停止等」という。)を請求することができる。
(利用停止等)
第三十条 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データが第十六条の規定に違反して取り扱われているとき又は第十七条の規定に違反して取得されたものであるときは、当該保有個人データの利用の停止又は消去(以下この条において「利用停止等」という。)を請求することができる。
2~4 (略) 2~4 (略)
5 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データを当該個人情報取扱事業者が利用する必要がなくなった場合、当該本人が識別される保有個人データに係る第二十二条の二第一項本文に規定する事態が生じた場合その他当該本人が識別される保有個人データの取扱いにより当該本人の権利又は正当な利益が害されるおそれがある場合には、当該保有個人データの利用停止等又は第三者への提供の停止を請求することができる。 【新設】
6 個人情報取扱事業者は、前項の規定による請求を受けた場合であって、その請求に理由があることが判明したときは、本人の権利利益の侵害を防止するために必要な限度で、遅滞なく、当該保有個人データの利用停止等又は第三者への提供の停止を行わなければならない。ただし、当該保有個人データの利用停止等又は第三者への提供の停止に多額の費用を要する場合その他の利用停止等又は第三者への提供の停止を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。 【新設】
 個人情報取扱事業者は、第一項若しくは第五項の規定による請求に係る保有個人データの全部若しくは一部について利用停止等を行ったとき若しくは利用停止等を行わない旨の決定をしたとき、又は第三項若しくは第五項の規定による請求に係る保有個人データの全部若しくは一部について第三者への提供を停止したとき若しくは第三者への提供を停止しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。  個人情報取扱事業者は、第一項の規定による請求に係る保有個人データの全部若しくは一部について利用停止等を行ったとき若しくは利用停止等を行わない旨の決定をしたとき、又は第三項の規定による請求に係る保有個人データの全部若しくは一部について第三者への提供を停止したとき若しくは第三者への提供を停止しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。

 今回の改正では、保有個人データとなる個人に関する情報の範囲が拡張されたことに加え(改正法§2Ⅶ)、以下のとおり、保有個人データの利用停止、消去又は第三者提供停止の請求に係る要件について緩和が図られました(改正法§29,30)

利用停止等

 保有個人データの本人は、個人情報取扱事業者に対し、一定の事由が認められる場合は、当該保有個人データの利用の停止又は消去(以下「利用停止等」といいます。)を請求することができます。

 今回の改正では、利用停止等の請求ができる事由に次のものが加えられました。

  • 改正法§16の2(不適正な利用の禁止)の規定に違反して取り扱われている場合
  • 当該本人が識別される保有個人データを当該個人情報取扱事業者が利用する必要がなくなった場合
  • 当該本人が識別される保有個人データ「の漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定める」事態(改正法§22の2Ⅰ本文)が生じた場合
  • その他当該本人が識別される保有個人データの取扱いにより当該本人の権利又は正当な利益が害されるおそれがある場合

第三者提供停止

 保有個人データの本人は、個人情報取扱事業者に対し、一定の事由が認められる場合には、当該保有個人データの第三者への提供の停止を請求することができます。

 今回の改正で第三者提供停止の請求ができる事由に次のものが加えられました。

  • 当該本人が識別される保有個人データを当該個人情報取扱事業者が利用する必要がなくなった場合
  • 当該本人が識別される保有個人データ「の漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定める」事態(改正法§22の2Ⅰ本文)が生じた場合
  • その他当該本人が識別される保有個人データの取扱いにより当該本人の権利又は正当な利益が害されるおそれがある場合

 なお、包括条項所定の「本人の権利又は正当な利益が害されるおそれがある場合」については、法目的に照らして保護に値する正当な利益が、一般人の認識を基準として、客観的にみて侵害されるおそれがある場合をいうものと解されています。具体的には、以下のような場合が想定されています[1]。

  • 個人情報取扱事業者が取り扱う個人データの漏洩が発生した場合に、適切な再発防止措置がとられていないため、本人を識別する保有個人データについても漏洩するおそれがある場合
  • 個人情報取扱事業者が本人に対するダイレクトメールを送付した場合に、平穏な生活を害されたくないことを理由として、本人が送付の停止を求める意思を表示したにもかかわらず、本人の意思に反して、個人情報取扱事業者がダイレクトメールを繰り返し送付している場合
請求事由 利用停止等 第三者提供の停止
改正法§16(利用目的による制限)違反
改正法§16の2(不適正な利用の禁止)違反
改正法§17(適正な取得)違反
改正法§23Ⅰ(第三者提供の制限)違反
改正法§24(外国にある第三者への提供の制限)違反
本人が識別される保有個人データを当該個人情報取扱事業者が利用する必要がなくなった場合
本人が識別される保有個人データに係る改正法§22の2Ⅰ本文本文に規定する事態が生じた場合
本人が識別される保有個人データの取扱いにより当該本人の権利又は正当な利益が害されるおそれがある場合

利用停止等又は第三者提供停止の請求を受けた個人情報取扱事業者の義務

 個人情報取扱事業者は、利用停止等又は第三者提供停止の請求を受けた場合であって、その請求に理由があることが判明したときは、本人の権利利益の侵害を防止するために必要な限度で、遅滞なく、当該保有個人データの利用停止等又は第三者への提供の停止を行わなければなりません(改正法§30Ⅵ本文)

 ただし、当該保有個人データの利用停止等又は第三者への提供の停止に多額の費用を要する場合その他の利用停止等又は第三者への提供の停止を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りではありません(改正法§30Ⅵ但書)

 「本人の権利利益を保護するため必要なこれに代わるべき措置」とは、具体的に次のようなものが想定されています[2]。

  • すでに市販されている名簿の擦り直し及び回収作業に多額の費用を要する場合に、名簿の増刷時の訂正を約束する場合や損害賠償をする場合
  • 他の法令の規定により保存が義務付けられている個人情報を直ちに消去する代わりに、当該法令の規定による保存期間の終了後に消去することを約束する場合

[1] 佐脇紀代志『一問一答 令和2年改正個人情報保護法』(商事法務・2020年)83~84頁。
[2] 佐脇紀代志『一問一答 令和2年改正個人情報保護法』(商事法務・2020年)86頁。

仮名加工情報(§35の2,3)

(定義)
第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
一・二 (略)
2~8 (略)
9 この法律において「仮名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報をいう。
一 第一項第一号に該当する個人情報 当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
二 第一項第二号に該当する個人情報 当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することを含む。)。
10 この法律において「仮名加工情報取扱事業者」とは、仮名加工情報を含む情報の集合物であって、特定の仮名加工情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の加工情報を容易に検索することができるように体系的に構成した加工ものとして政令で定めるもの(第三十五条の二第一項において「仮名情報データベース等」という。)を事業の用に供している者をいう。ただし、第五項各号に掲げる者を除く。
11・12(略)
(定義)
第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
一・二 (略)
2~8 (略)
【新設】











【新設】








9・10(略)
仮名加工情報の作成等
第三十五条の二 個人情報取扱事業者は、仮名加工情報(仮名加工情報データベース等を構成するものに限る。以下同じ。)を作成するときは、他の情報と照合しない限り特定の個人を識別することができないようにするために必要なものとして個人情報保護委員会規則で定める基準に従い、個人情報を加工しなければならない。
2 個人情報取扱事業者は、仮名加工情報を作成したとき、又は仮名加工情報及び当該仮名加工情報に係る削除情報等(仮名加工情報の作成に用いられた個人情報から削除された記述等及び個人識別符号並びに前項の規定により行われた加工の方法に関する情報をいう。以下この条及び次条第三項において読み替えて準用する第七項において同じ。)を取得したときは、削除情報等の漏えいを防止するために必要なものとして個人情報保護委員会規則で定める基準に従い、削除情報等の安全管理のための措置を講じなければならない。
3 仮名加工情報取扱事業者(個人情報取扱事業者である者に限る。以下この条において同じ。)は、第十六条の規定にかかわらず、法令に基づく場合を除くほか、第十五条第一項の規定により特定された利用目的の達成に必要な範囲を超えて、仮名加工情報(個人情報であるものに限る。以下この条において同じ。)を取り扱ってはならない。
4 仮名加工情報についての第十八条の規定の適用については、同条第一項及び第三項中「、本人に通知し、又は公表し」とあるのは「公表し」と、同条第四項第一号から第三号までの規定中「本人に通知し、又は公表する」とあるのは「公表する」とする。
5 仮名加工情報取扱事業者は、仮名加工情報である個人データ及び削除情報等を利用する必要がなくなったときは、当該個人データ及び削除情報等を遅滞なく消去するよう努めなければならない。この場合においては、第十九条の規定は、適用しない。
6 仮名加工情報取扱事業者は、第二十三条第一項及び第二項並びに第二十四条第一項の規定にかかわらず、法令に基づく場合を除くほか、仮名加工情報である個人データを第三者に提供してはならない。この場合において、第二十三条第五項中「前各項」とあるのは「第三十五条の二第六項」と、同項第三号中「、本人に通知し、又は本人が容易に知り得る状態に置いて」とあるのは「公表して」と、同条第六項中「、本人に通知し、又は本人が容易に知り得る状態に置かなければ」とあるのは「公表しなければ」と、第二十五条第一項ただし書中「第二十三条第一項各号又は第五項各号のいずれか(前条第一項の規定による個人データの提供にあっては、第二十三条第一項各号のいずれか)」とあり、及び第二十六条第一項ただし書中「第二十三条第一項各号又は第五項各号のいずれか」とあるのは「法令に基づく場合又は第二十三条第五項各号のいずれか」とする。
7 仮名加工情報取扱事業者は、仮名加工情報を取り扱うに当たっては当該仮名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該仮名加工情報を他の情報と照合してはならない。
8 仮名加工情報取扱事業者は、仮名加工情報を取り扱うに当たっては、電話をかけ、郵便若しくは民間事業者による信書の送達に関する法律(平成十四年法律第九十九号)第二条第六項に規定する一般信書便事業者若しくは同条第九項に規定する特定信書便事業者による同条第二項に規定する信書便により送付し、電報を送達し、ファクシミリ装置若しくは電磁的方法(電子情報処理組織を使用する方法その他の情報通信の技術を利用する方法であって個人情報保護委員会規則で定めるものをいう。)を用いて送信し、又は住居を訪問するために、当該仮名加工情報に含まれる連絡先その他の情報を利用してはならない。
9 仮名加工情報、仮名加工情報である個人データ及び仮名加工情報である保有個人データについては、第十五条第二項、第二十二条の二及び第二十七条から第三十四条までの規定は、適用しない。

【新設】
(仮名加工情報の第三者提供の制限等)
第三十五条の三 仮名加工情報取扱事業者は、法令に基づく場合を除くほか、仮名加工情報(個人情報であるものを除く。次項及び第三項において同じ。)を第三者に提供してはならない。
2 第二十三条第五項及び第六項の規定は、仮名加工情報の提供を受ける者について準用する。この場合において、同条第五項中「前各項」とあるのは「第三十五条の三第一項」と、同項第一号中「個人情報取扱事業者」とあるのは「仮名加工情報取扱事業者」と、同項第三号中「、本人に通知し、又は本人が容易に知り得る状態に置いて」とあるのは「公表して」と、同条第六項中「個人情報取扱事業者」とあるのは「仮名加工情報取扱事業者」と、「、本人に通知し、又は本人が容易に知り得る状態に置かなければ」とあるのは「公表しなければ」と読み替えるものとする。
3 第二十条から第二十二条まで、第三十五条並びに前条第七項及び第八項の規定は、仮名加工情報取扱事業者による仮名加工情報の取扱いについて準用する。この場合において、第二十条中「漏えい、滅失又は毀損」とあるのは「漏えい」と、前条第七項中「ために、」とあるのは「ために、削除情報等を取得し、又は」と読み替えるものとする。
【新設】

「仮名加工情報」概念の創設

 今回の改正では、「仮名加工情報」という概念が創設されました。

 仮名加工情報とは、他の情報と照合しない限り、特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報をいいます(改正法§2Ⅸ,改正規則(案)§18の7)[1]。

 仮名加工情報は、個人情報と匿名加工情報の中間的な概念であり、他の情報と照合すれば特定の個人を識別できるような程度の加工も想定される点、及び、個人情報を復元できない状態にすることが要求されていない点で匿名加工情報と異なるものです(改正法§35の2Ⅰ参照)

仮名加工情報が新設された趣旨

 仮名加工情報が新設された趣旨は、漏えい等によって本人の権利利益が侵害されるリスクに対する安全性を確保しつつ、データとしての有用性を、加工前の個人情報と同等程度に保つことにより、匿名加工情報よりも詳細な分析を、比較的簡便な加工方法で実施することを可能にする点にあります。 仮名加工情報が利活用される場面として、以下のような場面が想定されています[2]

  • 当初の利用目的には該当しない目的や、該当するか判断が難しい新たな目的での内部分析を行う場面
  • 利用目的を達成した個人情報について、将来的に統計分析に利用する可能性があるため、仮名加工情報として加工した上で保管する場面

仮名加工情報に関する規律

 改正法では、個人情報である仮名加工情報個人情報ではない仮名加工情報に場合分けした上で、以下のような仮名加工情報に関する規律が新設されています。

  個人情報である仮名加工情報 個人情報ではない仮名加工情報
安全管理措置 個人情報取扱事業者は、仮名加工情報を作成したとき、又は仮名加工情報及び当該仮名加工情報に係る削除情報等 を取得したときは、削除情報等の漏えいを防止するために必要なものとして改正規則§18の8各号で定める基準に従い、削除情報等の安全管理のための措置を講じなければならない(改正法§35の2Ⅱ)。
利用 仮名加工情報取扱事業者は、法令に基づく場合を除くほか、改正法§15Ⅰの規定により特定された利用目的の達成に必要な範囲を超えて、仮名加工情報を取り扱ってはならない(改正法§35の2Ⅲ)。
利用目的公表 仮名加工情報取扱事業者は、仮名加工情報を取得した場合は、原則として、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を公表しなければならない。また、仮名加工情報取扱事業者は、利用目的を変更した場合は、原則として、変更された利用目的について公表しなければならない(改正法§35の2Ⅳ)。
消去 仮名加工情報取扱事業者は、仮名加工情報である個人データ及び削除情報等を利用する必要がなくなったときは、当該個人データ及び削除情報等を遅滞なく消去するよう努めなければならない(改正法§35の2Ⅴ、個人データの内容の正確性の確保等を義務付ける改正法§19を適用排除)。
第三者提供 仮名加工情報取扱事業者は、法令に基づく場合を除くほか、仮名加工情報である個人データを第三者に提供してはならない(改正法§35の2Ⅵ)。 仮名加工情報取扱事業者は、法令に基づく場合を除くほか、仮名加工情報を第三者に提供してはならない(改正法§35の3Ⅰ)。
共同利用 仮名加工情報である個人データを共同利用する場合には、共同利用を行う旨、共同利用される個人データである仮名加工情報の項目、共同利用する者の範囲、共同利用する者の利用目的、個人データである仮名加工情報の管理について責任を有する者の氏名又は名称及び住所、並びに法人の場合はその代表者の氏名を公表しなければならない。また、共同利用する者の利用目的、個人データである仮名加工情報の管理について責任を有する者の氏名、名称、住所又は法人の場合はその代表者の氏名を変更する場合にも、その変更内容について、公表しなければならない(改正法§35の2Ⅵ)。 仮名加工情報である個人データを共同利用する場合には、共同利用を行う旨、共同利用される個人データである仮名加工情報の項目、共同利用する者の範囲、共同利用する者の利用目的、個人データである仮名加工情報の管理について責任を有する者の氏名又は名称及び住所、並びに法人の場合はその代表者の氏名を公表しなければならない。また、共同利用する者の利用目的、個人データである仮名加工情報の管理について責任を有する者の氏名、名称、住所又は法人の場合はその代表者の氏名を変更する場合にも、その変更内容について、公表しなければならない(改正法§35の3Ⅱ)。
識別行為 仮名加工情報取扱事業者は、仮名加工情報を取り扱うに当たっては当該仮名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該仮名加工情報を他の情報と照合してはならない(改正法§35の2Ⅶ)。 仮名加工情報取扱事業者は、仮名加工情報を取り扱うに当たっては当該仮名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該仮名加工情報を他の情報と照合してはならない(改正法§35の3Ⅲ)。
本人到達行為 仮名加工情報取扱事業者は、仮名加工情報を取り扱うに当たっては、電話をかけ、郵便若しくは信書便により送付し、電報を送達し、電磁的方法等を用いて送信し、又は住居を訪問するために、当該仮名加工情報に含まれる連絡先その他の情報を利用してはならない(改正法§35の2Ⅷ,改正規則§18の9)。 仮名加工情報取扱事業者は、仮名加工情報を取り扱うに当たっては、電話をかけ、郵便若しくは信書便により送付し、電報を送達し、電磁的方法等を用いて送信し、又は住居を訪問するために、当該仮名加工情報に含まれる連絡先その他の情報を利用してはならない(改正法§35の3Ⅲ)。
その他 仮名加工情報、仮名加工情報である個人データ及び仮名加工情報である保有個人データについては、改正法§15Ⅱ(利用目的の変更)、改正法§22の2(漏洩等の報告等)及び改正法§27~§34(公表・開示義務、訂正・利用停止、第三者提供の停止、開示手続等)までの規定は、適用しない(改正法§35の2Ⅸ)。 改正法§20(安全管理措置。ただし、滅失又は毀損の防止の観点は排除)、改正法§21(従業者の監督)、改正法§22(委託先の監督)及び改正法§35(苦情の処理)の規定を準用する(改正法§35の3Ⅲ)。

仮名加工情報取扱事業者の義務

 仮名加工情報を作成した個人情報取扱事業は、当該仮名加工情報が「個人情報」に該当する結果、当該仮名加工情報の取扱いにあたっては、仮名加工情報取扱事業者としての義務(改正法§35の2)に加え、個人情報取扱事業者としての義務も課されることとなります。

 ただし、例外的に、仮名加工情報の取扱いの全部又は一部の委託を受けた場合等に伴って、当該仮名加工情報の提供を受けた事業者にとって、当該仮名加工情報が他の情報と容易に照合できない場合には、当該仮名加工情報が「個人情報」に該当しなくなる結果、個人情報取扱事業者としての義務は課されず、仮名加工情報取扱事業者としての義務(改正法§35の3)のみが課されることになります。


[1] 佐脇紀代志『一問一答 令和2年改正個人情報保護法』(商事法務・2020年)13頁。なお、仮名加工情報として取り扱われるものとして作成する意図を有することなく、個人情報の取扱いに適用される義務が全面的に適用されるものとして、個人情報を加工して得られたものは、仮名加工情報には該当しないとされいます(佐脇紀代志『一問一答 令和2年改正個人情報保護法』(商事法務・2020年)18頁)。
[2] 佐脇紀代志『一問一答 令和2年改正個人情報保護法』(商事法務・2020年)16頁。

認定個人情報保護団体制度(§40,47,49の2,50,51,53)

改正の概要

 認定個人情報保護団体とは、個人情報取扱事業者又は匿名加工情報取扱事業者による個人情報又は匿名加工情報の適正な取扱いの確保を目的として、その業務の対象となる事業者(以下「対象事業者」といいます。)の個人情報等の取扱いに関する苦情の処理、情報提供等の業務を行う法人その他の団体であって、個人情報保護委員会の認定を受けたものをいいます(現行法§47)

 今回の改正では、主として①認定個人情報保護団体の対象事業者、②対象事業者に対する規律、③認定個人情報保護団体の業務範囲について改正が行われました。

認定個人情報保護団体の対象事業者

(報告及び立入検査)
第四十条 個人情報保護委員会は、前三節及びこの節の規定の施行に必要な限度において、個人情報取扱事業者、個人関連情報取扱事業者、仮名加工情報取扱事業者又は匿名加工情報取扱事業者(以下「個人情報取扱事業者等」という。)その他の関係者に対し、個人情報、個人関連情報、仮名加工情報又は匿名加工情報(以下「個人情報等」という。)の取扱いに関し、必要な報告若しくは資料の提出を求め、又はその職員に、当該個人情報取扱事業者等その他の関係者の事務所その他必要な場所に立ち入らせ、個人情報等の取扱いに関し質問させ、若しくは帳簿書類その他の物件を検査させることができる。
2・3 (略)
(報告及び立入検査)
第四十条 個人情報保護委員会は、前二節及びこの節の規定の施行に必要な限度において、個人情報取扱事業者又は匿名加工情報取扱事業者(以下「個人情報取扱事業者等」という。)に対し、個人情報又は匿名加工情報(以下「個人情報等」という。)の取扱いに関し、必要な報告若しくは資料の提出を求め、又はその職員に、当該個人情報取扱事業者等の事務所その他必要な場所に立ち入らせ、個人情報等の取扱いに関し質問させ、若しくは帳簿書類その他の物件を検査させることができる。


2・3 (略)
(認定)
第四十七条 個人情報取扱事業者等(個人関連情報取扱事業者を除く。以下この節において同じ。)の個人情報等(個人関連情報を除く。以下この節において同じ。)の適正な取扱いの確保を目的として次に掲げる業務を行おうとする法人(法人でない団体で代表者又は管理人の定めのあるものを含む。次条第三号ロにおいて同じ。)は、個人情報保護委員会の認定を受けることができる。
一~三 (略)
2 (略)
 第一項の認定を受けようとする者は、政令で定めるところにより、個人情報保護委員会に申請しなければならない。
 個人情報保護委員会は、第一項の認定をしたときは、その旨(第二項の規定により業務の範囲を限定する認定にあっては、その認定に係る業務の範囲を含む。)を公示しなければならない。
(認定)
第四十七条 個人情報取扱事業者等の個人情報等の適正な取扱いの確保を目的として次に掲げる業務を行おうとする法人(法人でない団体で代表者又は管理人の定めのあるものを含む。次条第三号ロにおいて同じ。)は、個人情報保護委員会の認定を受けることができる。
一~三 (略)
【新設】
 前項の認定を受けようとする者は、政令で定めるところにより、個人情報保護委員会に申請しなければならない。
 個人情報保護委員会は、第一項の認定をしたときは、その旨を公示しなければならない。
(対象事業者)
第五十一条 認定個人情報保護団体は、認定業務の対象となることについて同意を得た個人情報取扱事業者等を対象事業者としなければならない。この場合において、第五十三条第四項の規定による措置をとったにもかかわらず、対象事業者が同条第一項に規定する個人情報保護指針を遵守しないときは、当該対象事業者を認定業務の対象から除外することができる。
2 (略)
(対象事業者)
第五十一条 認定個人情報保護団体は、当該認定個人情報保護団体の構成員である個人情報取扱事業者等又は認定業務の対象となることについて同意を得た個人情報取扱事業者等を対象事業者としなければならない。


2 (略)
(個人情報保護指針)
第五十三条 認定個人情報保護団体は、対象事業者の個人情報等の適正な取扱いの確保のために、個人情報に係る利用目的の特定、安全管理のための措置、開示等の請求等に応じる手続その他の事項又は仮名加工情報若しくは匿名加工情報に係る作成の方法、その情報の安全管理のための措置その他の事項に関し、消費者の意見を代表する者その他の関係者の意見を聴いて、この法律の規定の趣旨に沿った指針(以下「個人情報保護指針」という。)を作成するよう努めなければならない。
2~4 (略)
(個人情報保護指針)
第五十三条 認定個人情報保護団体は、対象事業者の個人情報等の適正な取扱いの確保のために、個人情報に係る利用目的の特定、安全管理のための措置、開示等の請求等に応じる手続その他の事項又は匿名加工情報に係る作成の方法、その情報の安全管理のための措置その他の事項に関し、消費者の意見を代表する者その他の関係者の意見を聴いて、この法律の規定の趣旨に沿った指針(以下「個人情報保護指針」という。)を作成するよう努めなければならない。

2~4 (略)

 現行法では、認定個人情報保護団体が対象事業者とすることができるのは以下の個人情報取扱事業者等である旨定めています(現行法§51Ⅰ)

  • ①当該認定個人情報保護団体の構成員である個人情報取扱事業者等
  • ②当該認定個人情報保護団体が認定を受けた業務の対象となることについて同意した個人情報取扱事業者等

 これに対し、改正法は、対象事業者とすることができる個人情報取扱事業者等について、①の個人情報取扱事業者等を除外し[1]、②の個人情報取扱事業者等に限定した上で(改正法§51Ⅰ前段)、仮名加工情報(取扱事業者)の概念の新設に伴い、対象事業者となり得るものとして、「仮名加工情報取扱事業者」を加えました(改正法§40Ⅰ,§47Ⅰ参照)[2] [3]。


[1] ただし、改正法施行の際、現に認定個人情報保護団体の構成員である事業者については、施行日において改正法§51Ⅰの同意があったものとみなされます(改正法附則§6)。
[2] 「個人関連情報(取扱事業者)」の概念も新設されていますが、「個人関連情報取扱事業者」は対象事業者に含まれません。
[3] 個人情報保護指針の内容の例示として、「仮名加工情報……に係る作成の方法」との文言が追加されています(改正法§53Ⅰ)。

対象事業者に対する規律

 認定個人情報保護団体の主要な業務の1つとして、個人情報保護指針を作成するというものがあります(現行法§53Ⅰ)

 現行法では、認定個人情報保護団体は、対象事業者に対し、当該指針を遵守させるために必要な指導、勧告その他の措置をとらなければならない旨定められています(同条Ⅳ)。現行法下において、「その他の措置」は、対象事業者の除名等が想定されています。

 改正法では、認定個人情報保護団体は、対象事業者に個人情報保護指針を遵守させるため、必要な指導、勧告その他の措置をとったにもかかわらず、当該対象事業者が個人情報保護指針を遵守しない場合は、当該対象事業者を認定業務の対象から除外することができる旨の規定が新設され(改正法§51Ⅰ後段)、上記場合に除名があり得ることが明確にされています。

認定個人情報保護団体の業務範囲

(認定)
第四十七条 (略)
2 前項の認定は、対象とする個人情報取扱事業者等の事業の種類その他の業務の範囲を限定して行うことができる。
3 (略)
 個人情報保護委員会は、第一項の認定をしたときは、その旨(第二項の規定により業務の範囲を限定する認定にあっては、その認定に係る業務の範囲を含む。)を公示しなければならない。
(認定)
第四十七条 (略)
【新設】


2 (略)
 個人情報保護委員会は、第一項の認定をしたときは、その旨を公示しなければならない。


(変更の認定等)
第四十九条の二 第四十七条第一項の認定(同条第二項の規定により業務の範囲を限定する認定を含む。次条第一項及び第五十八条第一項第五号において同じ。)を受けた者は、その認定に係る業務の範囲を変更しようとするときは、個人情報保護委員会の認定を受けなければならない。ただし、個人情報保護委員会規則で定める軽微な変更については、この限りでない。
2 第四十七条第三項及び第四項並びに前条の規定は、前項の変更の認定について準用する。
【新設】
(廃止の届出)
第五十条 第四十七条第一項の認定(前条第一項の変更の認定を含む。)を受けた者(以下「認定個人情報保護団体」という。)は、その認定に係る業務(以下「認定業務」という。)を廃止しようとするときは、政令で定めるところにより、あらかじめ、その旨を個人情報保護委員会に届け出なければならない。
2 (略)
(廃止の届出)
第五十条 第四十七条第一項の認定を受けた者(以下「認定個人情報保護団体」という。)は、その認定に係る業務(以下「認定業務」という。)を廃止しようとするときは、政令で定めるところにより、あらかじめ、その旨を個人情報保護委員会に届け出なければならない。

2 (略)

 また、現行法では、認定個人情報保護団体は、企業単位で事業者を対象とすることを想定していますが、改正法では、認定個人情報保護団体が個人情報保護委員会の認定を受ける際、その認定に係る業務の範囲について、「認定は、対象とする個人情報取扱事業者等の事業の種類その他の業務の範囲を限定して行うことができる」としています(改正法§47Ⅱ)[1]。


[1] 業務範囲の限定に関する規定の新設に伴い、認定の公示(改正法§47Ⅳ)、認定対象の業務の範囲の変更に関する手続(改正法§49の2)、認定業務の廃止の届出(改正法§50)も改正されています。

法の域外適用(§75)・越境移転(§24)

法の域外適用

(適用範囲)
第七十五条 この法律は、個人情報取扱事業者等が、国内にある者に対する物品又は役務の提供に関連して、国内にある者を本人とする個人情報、当該個人情報として取得されることとなる個人関連情報又は当該個人情報を用いて作成された仮名加工情報若しくは匿名加工情報を、外国において取り扱う場合についても、適用する。
(適用範囲)
第七十五条 第十五条、第十六条、第十八条(第二項を除く。)、第十九条から第二十五条まで、第二十七条から第三十六条まで、第四十一条、第四十二条第一項、第四十三条及び次条の規定は、国内にある者に対する物品又は役務の提供に関連してその者を本人とする個人情報を取得した個人情報取扱事業者が、外国において当該個人情報又は当該個人情報を用いて作成した匿名加工情報を取り扱う場合についても、適用する。

 現行法は、外国にある個人情報取扱事業者であっても、国内にある者に対する物品又は役務の提供に関連してその者を本人とする個人情報を取得した個人情報取扱事業者が、外国において当該個人情報又は当該個人情報を用いて作成した匿名加工情報を取り扱う場合には、以下の現行法の規定を適用するというものです(現行法§75)

  • 利用目的の特定等(現行法§15)
  • 利用目的による制限(現行法§16)
  • 利用目的の通知又は公表(現行法§18。ただし、同条Ⅱを除く。)
  • データ内容の正確性の確保等、安全管理措置、従業者の監督、委託先の監督、第三者提供の制限、外国にある第三者への提供の制限、第三者提供に係る記録の作成等(現行法§19~§25)
  • 保有個人データに関する事項の公表等、開示、訂正等、利用停止等、理由の説明、開示等の請求等に応じる手続、利用目的の通知の求め又は開示請求に係る手数料、苦情処理、匿名加工情報の作成等(現行法§27~§36)
  • 指導及び助言(現行法§41)
  • 勧告(現行法§42Ⅰ)
  • 個人情報保護委員会の権限の行使の制限(現行法§43)
  • 適用除外(現行法§76)

 なお、現行法§75には明記されていませんが、現行法§17(適正取得)及び現行法§18Ⅱ(直接書面等による取得)も当然に適用されると解されています[1]。

 

 現行法§75の規定においては、個人情報保護委員会が域外適用の対象となる外国の事業者に対して行使できる権限は、強制力を伴わないものにとどまっていました。

 そこで、今回の改正では、こうした現行法§75について、個人情報保護委員会の権限強化も含め、次の所要の改正が加えられました。

  • 改正法で新たに創設された個人関連情報仮名加工情報を取り扱う場合も、本規定の適用範囲に追加された。
  • 現行法と異なり、改正法§75は、域外適用の対象となる条文を列挙していない。これにより、これまで外国の国家主権と抵触するおそれがあることを理由として適用除外から除外されてきた、改正法§40の立入検査に係る部分、同条Ⅰの報告又は資料提出の求めに係る部分、及び改正法§42Ⅱ,Ⅲ(命令)が、外国の事業者にも適用されるようになる。また、外国事業者も改正法§45の事業所管大臣の請求の対象になる[2]。

 なお、現行法§75でも域外適用の対象とされていなかった改正法§26(第三者提供を受ける際の確認等)、改正法§37(匿名加工情報の提供)、改正法§38(識別行為の禁止)及び改正法§39(安全管理措置等)は、改正法§75の「物品又は役務の提供に関連して」という要件を充たさないことから、改正法§75の域外適用の対象とならないものと解されています。


[1] 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」6-1
[2] 個人情報保護委員会による報告徴収や命令に違反した外国事業者に対し、外国主権との関係で、法執行が困難な場合には、当該外国事業者が命令に違反した旨を公表することができます(改正法§42Ⅳ)。当該公表により命令の実効性が担保されています。

越境移転

(外国にある第三者への提供の制限)
第二十四条 個人情報取扱事業者は、外国(本邦の域外にある国又は地域をいう。以下同じ。)(個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるものを除く。以下この条及び第二十六条の二第一項第二号において同じ。)にある第三者(個人データの取扱いについてこの節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置(第三項において「相当措置」という。)を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者を除く。以下この項及び次項並びに同号において同じ。)に個人データを提供する場合には、前条第一項各号に掲げる場合を除くほか、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。この場合においては、同条の規定は、適用しない。
2 個人情報取扱事業者は、前項の規定により本人の同意を得ようとする場合には、個人情報保護委員会規則で定めるところにより、あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報を当該本人に提供しなければならない。
3 個人情報取扱事業者は、個人データを外国にある第三者(第一項に規定する体制を整備している者に限る。)に提供した場合には、個人情報保護委員会規則で定めるところにより、当該第三者による相当措置の継続的な実施を確保するために必要な措置を講ずるとともに、本人の求めに応じて当該必要な措置に関する情報を当該本人に提供しなければならない。

(外国にある第三者への提供の制限)
第二十四条 個人情報取扱事業者は、外国(本邦の域外にある国又は地域をいう。以下同じ。)(個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるものを除く。以下この条において同じ。)にある第三者(個人データの取扱いについてこの節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者を除く。以下この条において同じ。)に個人データを提供する場合には、前条第一項各号に掲げる場合を除くほか、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。この場合においては、同条の規定は、適用しない。



【新設】





【新設】







(1) 同意取得時の情報提供義務

 個人情報取扱事業者は、外国にある第三者に個人データを提供する場合には、改正法§23Ⅰ各号に掲げる場合を除き、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければなりません(改正法§24Ⅰ前段)

 改正法では、かかる義務に加え、個人情報取扱事業者が本人の同意を根拠として外国にある第三者に個人データを提供しようとする場合には、電磁的記録の提供による方法、書面の交付による方法その他の適切な方法により、あらかじめ、以下の事項に関する情報を当該本人に提供しなければならない旨の義務を創設する規定が新設されました(同条Ⅱ,改正規則(案)§11の3Ⅰ,Ⅱ)[1]。

  • ㋐ 当該外国の名称[2]
  • ㋑ 適切かつ合理的な方法により得られた当該外国における個人情報の保護に関する制度に関する情報
  • ㋒ 当該第三者が講ずる個人情報の保護のための措置に関する情報[3]

(2) 体制整備者への個人データ提供時の義務

 さらに、「個人データの取扱いについてこの節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置……を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者」(以下「体制整備者」といいます。)は改正法§24Ⅰ前段の「第三者」から除外されるところ、第三者が体制整備者であることを根拠に、個人情報取扱事業者が、本人の同意を得ることなく、当該第三者に個人データを提供した場合には、電磁的記録の提供による方法、書面の交付による方法その他の適切な方法により、当該第三者による相当措置の継続的な実施を確保するために必要な措置を講ずるとともに、本人の求めに応じて、原則[4]、当該必要な措置に関する情報を当該本人に提供しなければならない旨の規定も新設されました(同条Ⅲ, 改正規則(案)§11の4Ⅰ~Ⅲ)[5]。

第三者による相当措置の継続的な実施を確保するために必要な措置
(改正規則§11の4Ⅰ各号)
■当該第三者による相当措置の実施状況並びに当該相当措置の実施に影響を及ぼすおそれのある当該外国の制度の有無及びその内容を、適切かつ合理的な方法により、定期的に確認すること
■当該第三者による相当措置の実施に支障が生じたときは、必要かつ適切な措置を講ずるとともに、当該相当措置の継続的な実施の確保が困難となったときは、個人データ(改正法§26の2Ⅱにおいて読み替えて準用する場合にあっては、個人関連情報)の当該第三者への提供を停止すること
必要な措置に関する情報
(改正規則§11の4Ⅲ各号)
■当該第三者による改正法§24Ⅰに規定する体制の整備の方法
■当該第三者が実施する相当措置の概要
■改正法§24Ⅰの規定による確認の頻度及び方法
■当該外国の名称
■当該第三者による相当措置の実施に影響を及ぼすおそれのある当該国の制度の有無及びその概要
■当該第三者による相当措置の実施に関する支障の有無及びその概要
■前号の支障に関して改正法§24Ⅰ②の規定により当該個人情報取扱事業者が講ずる措置の概要

[1] 改正法§24Ⅱは、個人情報取扱事業者が改正法の施行日以後に改正法§24Ⅰの規定により本人の同意を得る場合について適用されます(改正法附則§4Ⅰ)。
[2] 個人情報取扱事業者が、改正法§24Ⅰの規定により本人の同意を得ようとする時点において、提供先の外国の名称を特定できない場合には、㋐及び㋑の事項に代えて、(a)提供先の外国の名称が特定できない旨及びその理由、及び、(b)提供先の外国の名称に代わる本人に参考となるべき情報がある場合には、当該情報について情報提供しなければなりません(改正規則(案)§11の3Ⅲ)。
[3] 個人情報取扱事業者が、改正法§24Ⅰの規定により本人の同意を得ようとする時点において、㋒の事項について情報提供できない場合には、 ㋒の事項に代えて、㋒の事項について情報提供できない旨及びその理由について情報提供しなければなりません(改正規則(案)§11の3Ⅳ)。

[4] 本人に情報提供することにより、当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合は、その全部又は一部を提供しないことができます(改正規則(案)§11の4Ⅲ但書)。情報の全部又は一部を提供しないこととした場合には、本人に対し、遅滞なく、その旨を通知する必要があり(同条Ⅳ)、またその理由について説明する努力義務を負います(同条Ⅴ)。
[5] 改正法§24Ⅲは、個人情報取扱事業者が改正法の施行日以後に個人データを同項に規定する外国にある第三者に提供した場合について適用されます(改正法附則§4Ⅱ)。

ペナルティ

命令違反

第八十三条 第四十二条第二項又は第三項の規定による命令に違反した場合には、当該違反行為をした者は、一年以下の懲役又は百万円以下の罰金に処する。 第八十四条 第四十二条第二項又は第三項の規定による命令に違反した者は、六月以下の懲役又は三十万円以下の罰金に処する。
第八十七条 法人の代表者又は法人若しくは人の代理人、使用人その他の従業者が、その法人又は人の業務に関して、次の各号に掲げる違反行為をしたときは、行為者を罰するほか、その法人に対して当該各号に定める罰金刑を、その人に対して各本条の罰金刑を科する。
一 第八十三条及び第八十四条 一億円以下の罰金刑
二 第八十五条 同条の罰金刑
2 (略)
第八十七条 法人の代表者又は法人若しくは人の代理人、使用人その他の従業者が、その法人又は人の業務に関して、第八十三条から第八十五条までの違反行為をしたときは、行為者を罰するほか、その法人又は人に対しても、各本条の罰金刑を科する。



2 (略)
(勧告及び命令)
第四十二条 (略)
2・3 (略)
4 個人情報保護委員会は、前二項の規定による命令をした場合において、その命令を受けた個人情報取扱事業者等がその命令に違反したときは、その旨を公表することができる。
(勧告及び命令)
第四十二条 (略)
2・3 (略)
【新設】



 個人情報保護委員会の命令に違反した場合の刑罰が、6ヶ月以下の懲役又は30万円以下の罰金(現行法§84)から、1年以下の懲役又は100万円以下の罰金へと引き上げられました(改正法§83)

 また、命令違反の場合、法人にも罰金刑が科せられるところ(両罰規定)、その上限が30万円から1億円へと引き上げられました(改正法§87Ⅰ①)

 さらに、命令違反の場合、個人情報保護委員会は、その命令を受けた事業者が当該命令に違反した旨を公表することができる旨の規定も新設されました(改正法§42Ⅳ)

個人情報データベース等不正提供罪の両罰規定

第八十七条 法人の代表者又は法人若しくは人の代理人、使用人その他の従業者が、その法人又は人の業務に関して、次の各号に掲げる違反行為をしたときは、行為者を罰するほか、その法人に対して当該各号に定める罰金刑を、その人に対して各本条の罰金刑を科する。
一 第八十三条及び第八十四条 一億円以下の罰金刑
二 第八十五条 同条の罰金刑
2 (略)
第八十七条 法人の代表者又は法人若しくは人の代理人、使用人その他の従業者が、その法人又は人の業務に関して、第八十三条から第八十五条までの違反行為をしたときは、行為者を罰するほか、その法人又は人に対しても、各本条の罰金刑を科する。



2 (略)

 個人情報取扱事業者やその従業者等が、その業務に関して取り扱った個人情報データベース等を自己若しくは第三者の不正な利益を図る目的で提供し、又は盗用したときは、1年以下の懲役又は50万円以下の罰金に処せられます(改正法§84)

 この改正法§84が定める罪を個人情報データベース等不正提供罪といいますが、法人の代表者又は代理人、使用人、その他の従業者が、この罪の構成要件該当行為を当該法人の業務に関連して行った場合は、当該法人にも罰金刑が科せられるところ(両罰規定)、その上限が30万円から1億円へと引き上げられました(改正法§87Ⅰ①)

個人情報保護委員会の報告・資料提出の求めに応じなかった場合等

第八十五条 次の各号のいずれかに該当する場合には、当該違反行為をした者は、五十万円以下の罰金に処する。
一 第四十条第一項の規定による報告若しくは資料の提出をせず、若しくは虚偽の報告をし、若しくは虚偽の資料を提出し、又は当該職員の質問に対して答弁をせず、若しくは虚偽の答弁をし、若しくは検査を拒み、妨げ、若しくは忌避したとき。
二 第五十六条の規定による報告をせず、又は虚偽の報告をしたとき。
第八十五条 次の各号のいずれかに該当する者は、三十万円以下の罰金に処する。
一 第四十条第一項の規定による報告若しくは資料の提出をせず、若しくは虚偽の報告をし、若しくは虚偽の資料を提出し、又は当該職員の質問に対して答弁をせず、若しくは虚偽の答弁をし、若しくは検査を拒み、妨げ、若しくは忌避した
二 第五十六条の規定による報告をせず、又は虚偽の報告をした

 個人情報保護委員会の報告・資料提出の求めに応じなかった場合等の刑罰が、30万円以下の罰金(現行法§85①,②)から、50万円以下の罰金へと引き上げられました(改正法§85①,②)[1]。

佐脇紀代志『一問一答 令和2年改正個人情報保護法』(商事法務・2020年)103頁に基づき作成

[1] 以上のペナルティに関する改正のほか、第三者提供を行う者が、一定の確認事項を偽った場合、10万円以下の過料に処されるところ、そこに個人関連情報の提供について確認事項を偽った場合を追加する旨の改正が行われています(改正法§88①)。

その他

 以上のほか、送達に関する手続を具体化したり(改正法§58の2~5,改正規則(案)§27,§28)、国際約束[1]の誠実な履行等を義務付ける規定を新設する(改正法§78の2)などの改正が行われています。


[1] 改正法§78の2における「我が国が締結した条約その他の国際約束」とは、本条の施行のために関連する一切の条約その他の国際約束を意味するものと解されており、その例として、外交関係に関するウィーン条約や領事関係に関するウィーン条約等が挙げられます(佐脇紀代志『一問一答 令和2年改正個人情報保護法』(商事法務・2020年)98頁)。

参考文献

Please follow and like us:

コメント

タイトルとURLをコピーしました