第24回 令和2年改正個人情報保護法について(3)(最終回)

 令和2年6月に個人情報保護法の改正法(「令和2年改正法」)が成立・公布され、関連する政令・規則・ガイドライン等の改正がなされました(全面施行日は令和4年4月1日。改正項目のうち罰則の引上げは令和2年12月12日に施行済み。)
 
 令和2年改正法の改正項目は、非常に多岐にわたりますが、以下では主な改正点につき概要を説明致します。なお、本稿では令和3年改正法には触れません。

4. 保有個人データに係る本人の権利強化
⑴ 保有個人データの範囲の拡大
短期保有データの保有個人データからの除外が廃止されます。

⑵ 保有個人データに関する公表事項の充実 
 保有個人データに関して本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置くことが必要な事項として次のものが追加されます。
 この改正により、「個人情報保護法に基づく公表事項」の変更が必要となる事業者は少なくないと思われます。

① 当該個人情報取扱事業者の住所
② 当該個人情報取扱事業者が法人の場合その代表者の氏名(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人)
③ 保有個人データの安全管理のために講じた措置(本人の知り得る状態に置くことにより当該保有個人データの安全 管理に支障を及ぼすおそれがあるものを除く。)

 ⑶ 開示請求の充実
 本人から保有個人データの開示請求を受けた場合の開示について、原則として、「電磁的記録の提供による方法、書面の交付による方法その他当該個人情報取扱事業者の定める方法」のうち当該本人が請求した方法による開示が必要なります。
 本人が請求した方法による開示に多額の費用を要する場合その他の当該方法による開示が困難である場合には、例外的に、書面の交付による開示が許容されます。

⑷ 第三者提供記録の開示 
 本人は当該本人が識別される個人データの第三者提供記録の開示を請求することができるようになります。
 本人から上記請求を受けた場合、前記⑶と同様に原則として本人が請求した方法により、速やかに開示しなければなりません。
 但し、保有個人データの開示と同様に、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるものは、開示の対象外となります。

 ⑸ 利用停止等(第三者提供の停止を含む。)の要件の拡大  
 本人が個人情報取扱事業者に対して保有個人データの利用の停止又は消去(以下「利用停止等」という。)を請求できる事由として、「不適正な利用の禁止」(前記1)違反の場合が追加されるほか、以下のいずれかの場合に、本人が個人情報取扱事業者に対して保有個人データの利用停止等又は第三者提供の停止を請求できるようになります。

① 当該本人が識別される保有個人データを当該個人情報取扱事業者が利用する必要がなくなった場合
② 当該本人が識別される保有個人データに係る「漏えい等の報告対象となる事態」(前記2⑴)が生じた場合
③ その他当該本人が識別される保有個人データの取扱いにより当該本人の権利又は正当な利益が害されるおそれがある場合

 本人より上記①~③を理由とする保有個人データの利用停止等又は第三者提供の停止の請求を受けた場合、当該請求に理由があることが判明したときは、原則として、遅滞なく、本人の権利利益の侵害を防止するために必要な限度で、利用停止等又は第三者提供の停止による対応を行う必要があります。
 但し、上記対応が困難である場合(利用停止等又は第三者提供の停止に多額の費用を要する場合、正当な事業活動において当該保有個人データを必要とする場合など)は、本人の権利利益を保護するために必要な代替措置を講ずることも認められます。
 代替措置につき、ガイドラインに以下のような事例が挙げられています。

・既に市販されている名簿の刷り直し及び回収作業に多額の費用を要するとして、名簿の増刷時の訂正を約束する場合や必要に応じて金銭の支払いをする場合
・個人情報保護委員会への報告の対象となる重大な漏えい等が発生した場合において、当該本人との契約が存続しているため、利用停止等が困難であるとして、以後漏えい等の事態が生じることがないよう、必要かつ適切な再発防止策を講じる場合
・他の法令の規定により保存が義務付けられている保有個人データを遅滞なく消去する代わりに、当該法令の規定による保存期間の終了後に消去することを約束する場合

 5. 企業の特定分野(部門)を対象とする団体の認定等
 認定個人情報保護団体に係る認定について、企業単位での認定に加え、対象とする事業の種類その他業務の範囲を限定した認定が可能となります。
 なお、当該認定の対象たり得る事業者として、個人情報取扱事業者、匿名加工情報取扱事業者のほか、「仮名加工情報取扱事業者」が追加されます。

6. 仮名加工情報制度の創設
 単体では個人を識別できないよう加工された情報につき、再識別禁止、内部分析への限定などを条件として、利用目的の変更の制限、漏えい等の報告等(前記2)、開示・利用停止等の請求への対応(前記4⑶~⑸を含む。)に関する規制を緩和する制度が創設されました。
 本稿では仮名加工情報制度につき詳細な解説は省略させて頂きます(個人情報保護委員会のガイドライン(仮名加工情報・匿名加工情報編)を参照下さい。)。

7. 罰則の引き上げ等
 罰則の法定刑が引き上げられました。特に、個人情報保護委員会の命令違反及び個人情報データベース等の不正提供罪について、法人等に対する罰金の最高額が50万円から1億円という大幅な引き上げとなっています(以上については令和2年12月12日に施行済み)。
 個人情報保護委員会は、命令を受けた事業者が当該命令に違反したときは、その旨公表することが可能となります。

 8.域外適用の強化 
 域外適用の対象となる条文の限定列挙を廃し、外国にある個人情報取扱事業者等が、国内にある者に対する物品又は役務の提供に関連して、国内にある者を本人とする個人情報、当該個人情報として取得されることとなる個人関連情報又は当該個人情報を用いて作成された仮名加工情報若しくは匿名加工情報を、外国において取り扱う場合に個人上保護法が適用されるものとします。
これにより、これまで域外適用の対象外とされていた個人情報保護法の以下の規定が、外国の事業者に関しても適用されることになると考えられます。

・個人情報保護委員会による立入検査に係る同法40条(条文番号は令和2年改正法による。以下同様)の規定
・個人情報保護委員会による個人情報等の取扱いに関し必要な報告又は資料の提出の求めに係る同法40条1項の規定
・個人情報保護委員会による勧告に係る措置をとるべきことの命令に係る同法42条2項の規定
・個人情報保護委員会による違反行為の中止その他違反を是正するために必要な措置をとるべきことの命令に係る同法42条3項の規定
・事業所管大臣の請求に係る同法45条の規定

9. 送達に関する規定の新設
 個人情報保護法40条1項の規定による報告若しくは資料の提出の要求、同法42条1項の規定による勧告若しくは同条2項若しくは3項の規定による命令等は、書類を送達して行うこととなります。
 当該送達については、民事訴訟法の規定の一部(外国における送達に係る規定を含む。)が準用され、一定の場合に個人情報保護委員会による公示送達も可能となります。

~完~


*本記事は、法律に関連する一般的な情報を提供するものであり、専門的な法的助言を提供するものではありません。また、実際の法律の適用およびその影響については、特定の事実関係によって大きく異なる可能性があります。具体的な法律問題についての法的助言をご希望される方は当事務所にご相談下さい。

執筆者

パートナー弁護士 飯田 直樹
弁護士 池上 慶