Newsletter (2022年02月) │ 法務
「令和2年改正個人情報保護法–令和4年4月1日の施行を間近にして」
貴社ますますご清栄のこととお慶び申し上げます。また平素は格別のご高配を賜り、厚く御礼申し上げます。当事務所では、クライアントの皆様にその時々の法務関連ニュースをお届けしています。
目次
はじめに
今回は、本年4月1日より施行される令和2年改正個人情報保護法についての法務ニュースレターをお送りします。
今般の改正は、いわゆる3年ごとの見直しに関する規定(平成27年改正個人情報保護法附則第12条)に基づき、自身の個人情報に対する意識の高まり、技術革新を踏まえた保護と利活用のバランス、越境データの流通増大に伴う新たなリスクへの対応等の観点から行われました。
国内外で事業展開されている皆様にとって、今回の改正による影響は大きく、ビジネススキームの再考やプライバシーポリシーの改訂などの具体的な対応が必要になります。
そこで、本ニュースレターでは、改正法の施行日まで1か月を切った本時点において、特に皆様に影響が大きいと考えられるトピックを中心に、改正法及び関連して改正される各ガイドラインの概要をお届けいたします。
なお、以下では、特に断りのない限り、個人情報保護委員会を「委員会」、個人情報の保護に関する法律[1]を「法」、個人情報の保護に関する法律施行令を「施行令」、個人情報の保護に関する法律施行規則を「規則」、個人情報の保護に関する法律についてのガイドライン(通則編)などの各ガイドライン[2]を「ガイドライン(通則編)」など、「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&Aを「ガイドライン等QA」、またパブリックコメントに付されたガイドライン案に関する意見募集結果を「平成28年ガイドライン(通則編)パブコメ回答」などといいます。
また、改正法及び関連して改正される各ガイドラインは、委員会のウェブサイトの特設ページ[3]より確認できます。
総論
Q1 改正法の概要と施行日等を教えてください。
・改正法の概要[4]
改正法は、以下の大項目についての改正であると説明されています。
1.個人の権利の在り方
2.事業者の守るべき責務の在り方
3.事業者による自主的な取組を促す仕組みの在り方
4.データ利活用に関する施策の在り方
5.ペナルティの在り方
6.法の域外適用・越境移転の在り方
個別の改正項目は多岐にわたりますが、本ニュースレターでは、既存の事業に直接影響する以下の各項目について順に取り上げます。
I. 保有個人データに対する権利範囲の拡大等(上記第1)
II. 漏えい等の報告等(上記第2)
III. 個人関連情報の第三者提供の制限等(上記第4)
IV. 外国にある第三者への提供の制限(上記第6)
V. 域外適用(上記第6)
VI. 罰則(上記第5)
VII. その他の改正事項
・施行日等
改正法及び関連して改正されるガイドラインの施行日は、令和4年4月1日となります(ただし、一部はすでに施行済み[5])。なお、外国にある第三者への提供の制限(IV.)等については経過措置が設けられています(Q11、Q15参照)。
各論
I. 保有個人データに対する権利範囲の拡大等
Q2 取得後短期間のうちに削除している個人データ[6]についても、関連事項を公表し、また開示、訂正等、利用停止等の請求に応じる義務が生じるのでしょうか。
保有する個人情報が保有個人データ[7]に該当する場合、個人情報取扱事業者[8]は、原則として、関連する事項を公表するとともに、本人の要請に応じ、利用目的の通知、保有個人データの開示、内容の訂正・追加・削除、利用の停止消去、及び第三者への提供の停止を行う義務があります。
この点、改正前の法では、取得後6か月以内に消去する、いわゆる短期保存データは「保有個人データ」から除外されていました。しかし、情報化社会の進展により、個人データが瞬時に拡散し、漏えいする危険が増大しており、個人の権利利益の侵害の危険が高まっているため、もはや個人情報取扱事業者の義務を緩和することに合理性がないとされ、改正法により、この除外規定が削除されました。
このため、取得後短期間のうちに削除している短期保存データであっても、保有個人データに該当する場合には、原則として公表等の対象になります[9]。
Q3 公表すべき保有個人データに関する事項の範囲に変更があったのでしょうか。安全管理措置については、いかなる内容を公表すべきでしょうか。
改正法では、本人が保有個人データに適切に関与することを可能とする観点から、個人情報取扱事業者による公表の対象事項が追加されました。具体的には、次の事項を公表する必要があります(追加された事項については下線)[10]。
- 当該個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
- 全ての保有個人データの利用目的(ただし、一定の場合を除く[11]。)
- 保有個人データの利用目的の通知の求め又は開示等の請求に応じる手続及びこれらに係る手数料の額
- 保有個人データの安全管理のために講じた措置(ただし、公表することにより当該保有個人データの安全管理に支障を及ぼすおそれがあるものを除く。)
- 当該個人情報取扱事業者が行う保有個人データの取扱いに関する苦情の申出先
- 当該個人情報取扱事業者が認定個人情報保護団体の対象事業者である場合にあっては、当該認定個人情報保護団体の名称及び苦情の解決の申出先
上記4の安全管理のために講じた措置として公表する内容の事例として、ガイドライン(通則編)[12]では以下の場合が掲げられています。ただし、安全管理措置の内容は個人情報取扱事業者によって異なりますので、公表内容についても個別に判断する必要があります。
・(基本方針の策定)
事例)個人データの適正な取扱いの確保のため、「関係法令・ガイドライン等の遵守」、「質問及び苦情処理の窓口」等についての基本方針を策定
・(個人データの取扱いに係る規律の整備)
事例)取得、利用、保存、提供、削除・廃棄等の段階ごとに、取扱方法、責任者・担当者及びその任務等について個人データの取扱規程を策定
・(組織的安全管理措置)
事例1)個人データの取扱いに関する責任者を設置するとともに、個人データを取り扱う従業者及び当該従業者が取り扱う個人データの範囲を明確化し、法や取扱規程に違反している事実又は兆候を把握した場合の責任者への報告連絡体制を整備
事例2)個人データの取扱状況について、定期的に自己点検を実施するとともに、他部署や外部の者による監査を実施
・(人的安全管理措置)
事例1)個人データの取扱いに関する留意事項について、従業者に定期的な研修を実施
事例2)個人データについての秘密保持に関する事項を就業規則に記載
・(物理的安全管理措置)
事例1)個人データを取り扱う区域において、従業者の入退室管理及び持ち込む機器等の制限を行うとともに、権限を有しない者による個人データの閲覧を防止する措置を実施
事例2)個人データを取り扱う機器、電子媒体及び書類等の盗難又は紛失等を防止するための措置を講じるとともに、事業所内の移動を含め、当該機器、電子媒体等を持ち運ぶ場合、容易に個人データが判明しないよう措置を実施
・(技術的安全管理措置)
事例1)アクセス制御を実施して、担当者及び取り扱う個人情報データベース等の範囲を限定
事例2)個人データを取り扱う情報システムを外部からの不正アクセス又は不正ソフトウェアから保護する仕組みを導入
・(外的環境の把握)
事例)個人データを保管しているA国における個人情報の保護に関する制度を把握した上で安全管理措置を実施
これらの公表の方法について、本人の求めに応じて遅滞なく回答することも可能であるため、講じた措置の概要や一部をホームページに掲載し、問い合わせ窓口を設けて、問合せがあれば、口頭又は文書で回答できるよう体制を構築しておく対応も認められています[13]。
ただし、例えば、「個人情報の保護に関する法律についてのガイドライン(通則編)」に沿って安全管理措置を実施しているといった内容の掲載や回答のみでは適切ではないとされています[14]ので、適切な内容を掲載し、又は遅滞なく回答ができるよう、用意をしておく必要があります。
Q4 保有個人データはどのように開示すべきでしょうか。本人が第三者提供記録の開示を請求しやすくなったのですか。
改正前の法では、保有個人データの開示について請求があった場合、書面の交付による方法又は開示の請求をした者が同意した方法による開示を原則としていました[15]が、改正法では、本人が開示の方法について一定の範囲で指定できることになりました[16]。このため、今後は個人情報取扱事業者が提示する開示方法以外の方法を指定された場合、個人情報取扱事業者は原則としてこれに対応する必要があります。
また、改正法では、第三者提供記録の開示がそれ自体として可能である旨、明確化されました[17]。すなわち、個人情報取扱事業者は、個人データを第三者に提供及び受領する際に関連する事項を記録する義務が課されている[18]ところ、改正前の法では、当該第三者提供記録が保有個人データに該当する場合にのみ開示の対象になっていましたが、改正法では、保有個人データに加えて第三者提供記録が開示の対象となりました。
Q5 本人が保有個人データの利用停止、消去及び第三者提供の停止の請求をしやすくなったのでしょうか。どのような場合に請求を拒むことができますか。
改正前の法において、利用停止や消去の請求ができるのは、個人情報の不正取得があった場合等の法違反があった場合に、また第三者提供の停止の請求ができるのは、本人の同意をあらかじめ取得していなかった場合等の法違反があった場合に、それぞれ限定されていました[19]。しかし、改正法では、これらの場合に加え、以下の場合には、利用停止や消去、第三者提供の停止の請求ができるようになりました[20]。
①当該本人が識別される保有個人データを当該個人情報取扱事業者が利用する必要がなくなった場合
②当該本人が識別される保有個人データに係る漏えい等の事態が生じた場合(ただしQ6の報告対象事態に限る。)
③その他当該本人が識別される保有個人データの取扱いにより当該本人の権利又は正当な利益が害されるおそれがある場合[21]
これらの請求に対して、個人情報取扱事業者は、当該保有個人データの利用停止等に多額の費用を要する場合、利用停止等を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、これを拒むことができます[22]。
本人の権利利益を保護するため必要なこれに代わるべき措置として考えられる事例として、ガイドライン(通則編)[23]では以下の場合が掲げられています。
事例1)既に市販されている名簿の刷り直し及び回収作業に多額の費用を要するとして、名簿の増刷時の訂正を約束する場合や必要に応じて金銭の支払いをする場合
事例2)委員会への報告の対象となる重大な漏えい等が発生した場合において、当該本人との契約が存続しているため、利用停止等が困難であるとして、以後漏えい等の事態が生じることがないよう、必要かつ適切な再発防止策を講じる場合
事例3)他の法令の規定により保存が義務付けられている保有個人データを遅滞なく消去する代わりに、当該法令の規定による保存期間の終了後に消去することを約束する場合
II. 漏えい等の報告等
Q6 個人データの漏えい等事案が発覚した場合の対応が厳格化されたのでしょうか。
改正前の法では、個人データの漏えい、滅失又は毀損が発生したか又はそのおそれがある事案(以下「漏えい等事案」といいます。)が発覚した場合に、個人情報取扱事業者が構ずべき措置及び委員会等への報告について、告示[24]により定められていたものの、いずれも努力義務であり、法令上の義務ではありませんでした。
しかし、改正法では、個人情報取扱事業者は、原則として、個人データの漏えい等事案が発覚した場合、「個人の権利利益を害するおそれが大きい事態」については、委員会に報告するとともに、本人に対しても、当該事態が生じた旨を通知するよう義務付けられました[25]。
この「個人の権利利益を害するおそれが大きい事態」(報告対象事態)として、規則[26]では以下の場合が定められています。
①要配慮個人情報[27]が含まれる個人データの漏えい等
②不正に利用されることにより財産的被害が生じるおそれがある個人データ[28]の漏えい等
③不正の目的をもって行われたおそれがある個人データの漏えい等[29]
④個人データに係る本人の数が千人を超える漏えい等
また、その他個人データの漏えい等事案が発覚した場合に個人情報取扱事業者が構ずべき措置についても、ガイドライン上の義務ではあるものの、努力義務から通常の義務に変更されています[30]。
このように、今後漏えい等事案が発覚した場合、個人情報取扱事業者は、改正法等に従い確実に対応することが求められます。
Q7 個人データの漏えい等の委員会への報告及び本人への通知は、誰がどのように行うことが求められますか。
・報告通知の各義務の主体について
漏えい等事案の報告通知の義務(Q6参照)を負う主体は、当該個人データを取り扱う個人情報取扱事業者です。ただし、個人データの取扱いの全部又は一部の委託先である個人情報取扱事業者は、当該個人データの漏えい等事案が発覚した場合、委託元である個人情報取扱事業者に対して通知をすれば、報告・通知義務を免れます[31]。
・委員会への報告[32]について
個人データの漏えい等事案の報告は、速報と確報の2段階に分かれます[33]。速報は、Q6の報告対象事態の発生を知った後、速やかに(概ね3~5日以内に)行い、確報は、かかる事態を知った日から30日以内(Q6の③の事例の場合には60日以内)に行うことが求められます[34]。
報告事項は、①概要、②漏えい等が発生し、又は発生したおそれがある個人データの項目、③漏えい等が発生し、又は発生したおそれがある個人データに係る本人の数、④原因、⑤二次被害又はそのおそれの有無及びその内容、⑥本人への対応の実施状況、⑦公表の実施状況、⑧再発防止のための措置、⑨その他参考となる事項であり、原則として、委員会のホームページの報告フォームに入力する方法により報告を行うことになります[35]。なお、速報時点での報告内容については、報告をしようとする時点において把握している内容を報告すれば足りるとされています。
・本人への通知[36]について
他方、本人への通知について、個人情報取扱事業者は、Q6の報告対象事態を知ったときは、当該事態の状況に応じて速やかに、本人への通知を行わなければなりません。ただし、本人への通知が困難である場合は、本人の権利利益を保護するために必要な代替措置を講ずることによる対応[37]が認められています。
通知事項は、上記の漏えい等事案の報告における報告事項のうち、①概要、②漏えい等が発生し、又は発生したおそれがある個人データの項目、④原因、⑤二次被害又はそのおそれの有無及びその内容、⑨その他参考となる事項に限られています[38]。通知手段は、ガイドライン(通則編)では、文書を郵便等で送付することにより知らせる方法、電子メールを送信することにより知らせる方法が掲げられています[39]。
III. 個人関連情報の第三者提供の制限等
Q8 個人関連情報とは何でしょうか。取扱いにあたって遵守すべき義務等があれば教えてください。
個人情報には、それ自体として特定の個人が識別できる情報に加えて、他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものも含まれます[40]。そして、第三者提供の場面において、委員会が個人情報の該当性を提供元を基準にして判断していた[41]関係で、提供先においてのみ個人情報に該当するものについては、実務上特段本人の同意を取得していませんでした。
しかし、いわゆるリクナビ事件に対する委員会の勧告措置[42]を通じて、かかる取扱いの問題が表面化し、改正法において、個人関連情報の第三者提供の制限にかかる制度を導入するに至りました[43]。
すなわち、改正法では、「生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないもの」を個人関連情報として定義[44]したうえで、個人関連情報取扱事業者は、①提供先で個人データとして取得されることを想定しながら、②個人関連情報データベース等[45]を構成する個人関連情報を、③第三者提供しようとする場合には、原則として、当該個人関連情報に係る本人の同意を得られていることを確認しないで提供してはならない、とされています[46]。また、同意取得の確認を行った際は、個人関連情報のトレーサビリティを確保するため、第三者提供記録同様、関連する事項の記録を作成[47]し、所定の期間保存する[48]義務を負います。
個人関連情報には、Cookie 等の端末識別子を通じて収集された、ある個人のウェブサイトの閲覧履歴や、メールアドレスに結び付いた、ある個人の年齢・性別・家族構成等が該当するとされており[49]、これらの情報を個人情報に該当しないものとして取り扱う事業者は、今後注意が必要です[50]。
Q9 個人関連情報の第三者提供にあたり、誰が、どのような方法で本人の同意を取得することになりますか。提供先が同意を取得する場合、提供元はどのようにしてそれを確認するのですか。
同意の取得主体は、本人と接点を持ち、情報を利用する主体となる提供先の第三者ですが、同等の本人の権利利益の保護が図られることを前提に、同意取得を提供元の個人関連情報取扱事業者が代行することも認められます[51]。
いずれの場合であっても、個人関連情報の提供を受けて個人データとして取得する主体、対象となる個人関連情報の項目、個人関連情報の提供を受けて個人データとして取得した後の利用目的等について、本人が認識できるようにする必要があります[52]。
もし提供先の第三者が同意を取得する場合、提供元である個人関連情報取扱事業者は、個人関連情報の提供を受ける第三者から申告を受ける方法その他の適切な方法[53]で当該第三者が本人の同意を得られているか確認することになります。このとき、個人関連情報取扱事業者は、その申告内容を一般的な注意力をもって確認すれば足り[54]、特段の事情がない限り、同意取得の有無について独自に調査する必要はありません。
Q10 個人関連情報を外国にある第三者に提供する場合に特に注意すべき点を教えてください。
個人関連情報取扱事業者は、外国にある第三者に個人関連情報を提供する場合、本人の同意が得られていることを確認(Q8参照)するに当たって、併せて、当該同意を得ようとする時点において、当該外国の名称、適切かつ合理的な方法により得られた当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置に関する情報が本人に対して提供されていることを確認しなければなりません[55]。
ただし、提供先がEU及び英国にある場合や、いわゆる基準適合体制整備者である場合には、「外国にある第三者」に該当せず[56]、当該確認を要しません。
なお、提供先が基準適合体制整備者である場合には、当該提供先による相当措置の継続的な実施を確保するために必要な措置を講じなければなりません[57]。
IV. 外国にある第三者への提供の制限
Q11 個人データの越境移転の際に今後新たに行うべき情報提供について教えてください。この際、個人情報取扱事業者が参照できる、外国の個人情報保護制度の概要がまとめられた資料はありますか。
個人情報取扱事業者が外国にある第三者に対して個人データを提供する場合[58]には、提供先がEU及び英国にある場合や、いわゆる基準適合体制整備者である場合を除き、あらかじめ「外国にある第三者への提供を認める旨」の本人の同意を得る必要があります。
当該同意の取得にあたり、改正前の法では、外国にある第三者への提供であることは本人に対して明確にしなければなりませんでしたが、必ずしも当該外国の国名や当該外国における個人情報保護に関する制度についてまで情報提供する必要はありませんでした[59]。
しかし、昨今、世界中でデータ保護関連法制が広がり、一部の国おいて国家管理的規制が見られるなど、個人データの越境移転に関するリスクに変化が見られること、個人情報の越境移転が広がる中で国や地域における制度の相違により個人やデータを取り扱う事業者の予見可能性が不安定なものになっていること等に鑑み、本人の同意の要否を問わず、本人に対する情報提供が求められるようになりました。
そこで改正法においては、次のとおり、本人に対する情報提供が義務付けられました。
- 個人情報取扱事業者は、外国にある第三者に個人データを提供する場合において、本人の同意を得ようとするときには、あらかじめ当該外国の名称、適切かつ合理的な方法により得られた当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置に関する情報を本人に対して提供しなければなりません[60]。
- 個人情報取扱事業者は、基準適合体制整備者である外国にある提供先に対して個人データを提供した場合には、当該第三者による相当措置の継続的な実施を確保するために必要な措置[61]を講ずるとともに、本人の求めに応じて当該必要な措置に関する情報[62]を本人に対して提供しなければなりません[63]。
これに関し、委員会は、以下のとおり、外国における個人情報の保護に関する制度等の調査結果を開示しており、外国の制度等に関する情報を得るにあたって参考になります。
https://www.ppc.go.jp/personalinfo/legal/kaiseihogohou/#gaikoku
なお、改正法の施行日前にすでに本人の同意を得ている場合や基準適合体制整備者である提供先に個人データを提供している場合についてまで、情報提供等の義務を遡及的に課されることはありません[64]。
Q12 外国にある事業者が提供するクラウドサービスを利用して個人データをサーバに保存する際に、今後新たに行うべき情報提供について教えてください。
まず、クラウドサービス等のサーバの運営事業者が当該サーバに保存された個人データを取り扱わないこととなっている場合には、個人情報取扱事業者が当該サーバに個人データを保存する行為は、「外国にある第三者への提供」に当たらず、本人から同意を得る必要はありません[65]。
しかし、個人情報取扱事業者は、サーバの所在国にかかわらず、外国において個人データを取り扱うこととなるため、当該外国の個人情報の保護に関する制度等を把握した上で、自ら果たすべき安全管理措置を講じる必要があります[66]。そして、個人情報取扱事業者は、改正法に従い、運営事業者の所在国(及び、サーバが外国にある場合には、サーバ所在国)の名称とともに、当該措置の内容について公表する必要があります[67](Q3参照)。
他方、サーバの運営事業者が個人データを取り扱うこととなっており、当該サーバに個人データを保存する行為が外国にある第三者の提供に該当する場合、個人情報取扱事業者が改正法に従い本人に提供すべき外国の情報(Q10参照)は、サーバの位置する外国の情報ではなく、サーバ運営事業者の法人格として登記された外国の情報となります。
なお、仮にサーバが所在する国又はサーバが所在する国の候補がわかるのであれば、本人への説明責任・透明性確保の観点から、当該国の制度に関する情報等についても、本人に提供することが望ましいとされています[68]。
V. 域外適用
Q13 どのような場合に域外適用の対象になりますか。
改正法により、法の域外適用の対象範囲が拡大され、個人情報取扱事業者等が、国内にある者に対する物品又は役務の提供に関連して、国内にある者を本人とする個人情報等を外国において取り扱う場合に、域外適用が全面的に認められました[69]。このため、外国にある事業者が直接国内にある本人から個人情報等を取得した場合に限られず、間接的に国内の別の事業者から取得した場合であっても法が適用されます。
域外適用の対象となる事例として、ガイドライン(通則編)[70]では以下の場合が掲げられています。
事例1)外国のインターネット通信販売事業者が、日本の消費者に対する商品の販売・配送に関連して、日本の消費者の個人情報を取り扱う場合
事例2)外国のメールサービス提供事業者が、日本の消費者に対するメールサービスの提供に関連して、日本の消費者の個人情報を取り扱う場合
事例3)外国のホテル事業者が、日本の消費者に対する現地の観光地やイベント等に関する情報の配信等のサービスの提供に関連して、日本にある旅行会社等から提供を受けた日本の消費者の個人情報を取り扱う場合
事例4) 外国の広告関連事業者が、日本のインターネット通信販売事業者に対し、当該インターネット通信販売事業者による日本の消費者に対するキャンペーン情報の配信等のサービスの提供に関連して、当該インターネット通信販売事業者が保有する日本の消費者の個人データと結び付けることが想定される個人関連情報を提供する場合
事例5) 外国のアプリ提供事業者が、日本の消費者に対するサービスの提供に関連して、新サービスの開発のために、日本の消費者の個人情報を用いて作成された仮名加工情報を取り扱う場合
事例6) 外国のインターネット通信販売事業者が、日本の消費者に対する商品の販売又はサービスの提供に関連して、傾向分析等を行うために、日本の消費者の個人情報を用いて作成された匿名加工情報を取り扱う場合
また、域外適用の対象とならない事例として、ガイドライン(通則編)[71]では以下の場合が掲げられています。
事例)外国にある親会社が、グループ会社の従業員情報の管理のため、日本にある子会社の従業員の個人情報を取り扱う場合
なお、域外適用の対象となる外国にある個人情報取扱事業者は、個人データを取り扱う当該外国の個人情報の保護に関する制度等を把握した上で、個人データの安全管理措置を講ずる必要があります[72]。その上で、当該外国の名称及び当該措置の内容を公表する必要があります(Q3参照)[73]。
Q14 外国にある事業者に対しても、報告徴収・命令ができるようになったのですか。委員会の命令に従わない場合、どのような措置が講じられますか。
改正前の法は、委員会による外国にある事業者に対する権限が、指導、助言及び勧告に限られていました。
これに対し、改正法では、報告徴収・命令が可能となりました[74]。また、事業者が委員会の命令に違反した場合、委員会はその旨を公表することができる旨明示されました[75]。
域外適用の対象となる外国にある事業者については、強制力を背景とした監督権限の行使が困難であるため、命令違反の公表を行う必要性が特に高くなるものと考えられています[76]。
このため、これまで法に対する十分な対策を行ってこなかった外国にある事業者は、今後注意が必要です。
VI. 罰則
Q15 法令違反等の場合における罰則の内容を教えてください。
改正法は、罰則の法定刑を類似する他の経済事犯と同等のレベルまで引き上げるとともに、法人に対しては個人よりも重い罰金額を法定刑として定めました。改正前と改正後の法定刑の比較は、以下をご確認ください(赤文字の点が改正された点となります)[77]。
なお、この改正については令和2年12月12日をもって既に施行されており(Q1参照)、同日以降にした行為に適用されます[78]。
| 懲役刑 | 罰金刑 | ||||
| 改正前 | 改正後 | 改正前 | 改正後 | ||
| 委員会からの命令への違反 | 行為者 | 6月以下 | 1年以下 | 30万円以下 | 100万円以下 |
| 法人等 | – | – | 30万円以下 | 1億円以下 | |
| 個人情報データベース等の不正提供等 | 行為者 | 1年以下 | 1年以下 | 50万円以下 | 50万円以下 |
| 法人等 | – | – | 50万円以下 | 1億円以下 | |
| 委員会への虚偽報告等 | 行為者 | – | – | 30万円以下 | 50万円以下 |
| 法人等 | – | – | 30万円以下 | 50万円以下 | |
(引用元:https://www.ppc.go.jp/personalinfo/legal/kaiseihogohou/#houteikei)
VII. その他の改正事項
Q16 その他にどのような事項が改正されたのでしょうか。
改正法では、その他に以下の事項について改正がなされています。
・オプトアウト規定により第三者に提供できる個人データの範囲を限定し、①不正取得された個人データ、②オプトアウト規定により提供された個人データについても対象外とする。
・違法又は不当な行為を助長する等の不適正な方法により個人情報を利用してはならない旨を明確化する。
・認定団体制度について、現⾏制度に加え、企業の特定分野(部門)を対象とする団体を認定できるようにする。
・イノベーションを促進する観点から、氏名等を削除した「仮名加工情報」を創設し、内部分析に限定する等を条件に、開示・利用停止請求への対応等の義務を緩和する。
おわりに
令和2年法改正は、上記のとおり、事業者の皆様にとって影響の大きいものといえます。本ニュースレターでは紙幅の都合上、改正の経緯、改正法の詳細な内容やガイドライン等で示された事項の詳細を網羅的に説明することはできませんが、改正法等の概要を把握したうえで自社の対応すべき点や、より検討を深めるべき点を明らかにすることが、まずは重要と考えます。法は、ICTの著しい進展に伴い、今後も定期的に見直されていきます。令和2年法改正もその一端であり、これらの動きを定期的に確認しつつ、都度適切に対応していくことが、個人情報等を取り扱うすべての企業に求められる責務といえるでしょう。
(2022年2月24日公開)
******************
ゾンデルホフ&アインゼル法律特許事務所では、個人情報保護法を含むデータ関連規制に関するアドバイス、パブリックコメント対応、コンプライアンス対応、契約作成・交渉・修正業務、研修、当局・紛争訴訟対応その他関連する法務アドバイスを日常的に提供しています。
本書において提供する情報は、あくまで一般的な情報として提供されるものであり、具体的な専門的アドバイスを提供するものではありません。また、本文中の意見にわたる部分は執筆担当者の個人的な見解にすぎず、事務所としての意見又はopinionを構成するものでもありません。具体的な事案に関するご相談には個別に対応いたしますので、改めて担当弁護士(坂井健吾sakai@se1910.com、丸山悠y-maruyama@se1910.com)まで、お問い合わせください。
| ゾンデルホフ&アインゼル法律特許事務所
100-0005 東京都千代田区丸の内1-6-2 新丸の内センタービルディング 18階 |
電話 +81-3-5220-6500
ファクス +81-3-5220-6583 |
| https://se1910.com/ |
[1] なお、条文番号等は、同時に施行される令和3年改正(個人情報制度の官民一元化に関する改正)法を踏まえた最新のものを引用しています。
[2] 個人情報の保護に関する法律についてのガイドライン(通則編)、個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)、個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編)、個人情報の保護に関する法律についてのガイドライン(仮名加工情報・匿名加工情報編)、個人情報の保護に関する法律についてのガイドライン(認定個人情報保護団体編)等
[3] https://www.ppc.go.jp/personalinfo/legal/
[4] 詳細は委員会の資料によくまとめられています。https://www.ppc.go.jp/files/pdf/200612_gaiyou.pdf
[5] オプトアウト手続きによる個人データの第三者提供(法第27条第2項)は令和3年10月1日から、また法定刑の引き上げ(第8章)(Q15参照)は令和2年2月12日から施行されています。
[6] 個人情報データベース等を構成する個人情報をいいます。以下同じ。法第16条第3項
[7] 個人情報取扱事業者が開示等の権限を有する個人データをいいます(ただし一部の例外を除きます)。以下同じ。法第16条第4項
[8] 個人情報データベース等を事業の用に供している民間の事業者をいいます。以下同じ。法第16条第2項
[9] 法第16条第4項
[10] 法第32条第1項、施行令第10条
[11] 法第21条第4項第1号ないし第3号
[12] ガイドライン(通則編)3-8-1
[13] ガイドライン(通則編)3-8-1※1
[14] ガイドライン(通則編)3-8-1④
[15] 改正前の法第28条第2項及び施行令第9条
[16] 法第33条第1項、同第2項
[17] 法第33条第5項
[18] 法第29条第1項、第30条第3項
[19] 改正前の法第30条第1項、同第3項(改正後の法第35条第1項、同第3項)
[20] 法第35条第5項
[21] 本人の意思に反してダイレクトメールの送付や電話勧誘が繰り返される場合など。ガイドライン(通則編)3-8-5-1③
[22] 法第35条第6項
[23] ガイドライン(通則編)3-8-5-3
[24] 「個人データの漏えい等の事案が発生した場合等の対応について」(平成29年個人情報保護委員会告示第1号)https://www.ppc.go.jp/personalinfo/legal/leakAction/leakAction_detail/
[25] 法第26条第1項、同第2項
[26] 規則第7条
[27] 病院における患者の診療情報や調剤情報、従業員の健康診断等の結果など。ガイドライン(通則編)3-5-3-1
[28] クレジット番号を含む個人データや、送金や決済機能のあるウェブサービスのログイン ID とパスワードの組み合わせを含む個人データなど。ガイドライン(通則編)3-5-3-1
[29] 不正アクセスにより個人データが漏えいした場合や、従業者が顧客の個人データを不正に持ち出して第三者に提供した場合など。ガイドライン(通則編)3-5-3-1
[30] ガイドライン(通則編)3-5-2
[31] 法第26条第1項但書、同第2項本文括弧書き
[32] 法第26条第1項
[33] 規則第8条
[34] 規則第8条第2項
[35] 規則第8条第1項、ガイドライン(通則編)3-5-3-3
[36] 法第26条第2項
[37] 事案の公表や、問合せ窓口を用意してその連絡先を公表し、本人が自らの個人データが対象とな っているか否かを確認できるようにすることなど。ガイドライン(通則編)3-5-4-5
[38] 規則第10条
[39] ガイドライン(通則編)3-5-4-4
[40] 法第2条第1項第1号
[41] 平成28年ガイドライン(通則編)パブコメ回答19番
[42] https://www.ppc.go.jp/files/pdf/191204_houdou.pdf
[43] なお、第三者提供記録の開示請求(Q4参照)や個人データの利用停止等の権利の拡充(Q5参照)にかかる改正もリクナビ事件がきっかけと言われています。
[44] 法第2条第7項
[45] 法第16条第7項
[46] 法第31条第1項
[47] 法第31条第3項、法第30条第3項
[48] 法第31条第3項、法第30条第4項
[49] ガイドライン(通則編)2-8
[50] なお、経過措置は法附則第5条参照。
[51] ガイドライン(通則編)3-7-2-2
[52] ガイドライン(通則編)3-7-2-2
[53] 規則第26条第1項
[54] ガイドライン(通則編)3-7-3-1
[55] 法第31条第1項第2号、規則第17条第2項
[56] 法第28条第1項
[57] 法第31条第2項、第28条3項
[58] 外国にある事業者が同じ国内の第三者に提供する場合を含みます(ガイドライン等QAのQ12-7)。域外適用についてはQ13参照。
[59] 改正前のガイドライン等QAのQ9-2
[60] 法第28条第1項、同第2項、規則第17条第2項
[61] 規則第18条第1項
[62] 規則第18条第3項
[63] 法第28条第1項、同第3項
[64] 法附則第4条
[65] ガイドライン等QAのQ12-3
[66] 法第23条
[67] ガイドライン等QAのQ10-25
[68] 佐脇紀代志 編 「一問一答 令和2年改正個人情報保護法」(以下「立案担当者解説」といいます。)Q48、ガイドライン等QAのQ12-11
[69] 法第166条。ただし、一部の罰則規定を除きます(法第178条)。
[70] ガイドライン(通則編)8
[71] ガイドライン(通則編)8
[72] 法第23条
[73] ガイドライン等QAのQ11-2
[74] 法第166条、第143条、第145条第2項・同第3項
[75] 法第145条第4項
[76] 立案担当者解説Q86
[77] このうち、個人情報データベース等の不正提供等については、外国にある事業者も対象となります(法第178条、同第174条)。
[78] 法附則第8条
