牛島総合法律事務所
弁護士　影島　広泰氏

• 印刷用PDF
• ディスカッション「全社で共有必要なポイントを整理する」
• 当日いただいた主な質問と回答
• 講演資料

来年4月の改正個人情報保護法施行まで半年となったことから、社内で共有していただきたい法への実務対応について、大きく６つのポイントに分けて解説します。

個人情報の利用と情報提供については、プライバシーポリシーにどのような情報を記載して本人に説明するか、が重要なポイントとなります。

現行法第15条1項に、「個人情報を取り扱うにあたっては、その利用の目的…を『できる限り』特定しなければならない」とあります。この「できる限り」という若干あいまいな文言に関し、改正法のガイドラインではより厳しく、「本人が…合理的に予測・想定できないような場合は、…できる限り利用目的を特定したことにはならない」と示されました。

多くの企業のプライバシーポリシーには「お客様の個人情報を広告配信のために利用します」とは書いてあっても、お客様の個人情報のうちどれを利用しているかは特定されていません。企業は2022年3月31日までに閲覧履歴や購買履歴等といった分析の際にインプットする情報を特定する必要があるので、早めに着手するのがよいでしょう。

保有個人データに関する公表事項も一部追加され、事業者の住所及び代表者名が必須となります。

プライバシーポリシーの必須記載項目をまとめたのが図2となります。

安全管理措置の記載も必須となります。その一環として、海外に保管している場合や委託している場合、国名を特定し、その国の個人情報保護制度を把握したうえで安全管理措置を実施している旨を記載し、それを本人が知りうる状態にしておかなければならない点が重要なポイントとなります。

一方、第三者提供先が海外の場合、後述するとおり、別途情報提供した上で同意を得る必要があります。

現行法では利用目的を特定すれば企業や個人情報取扱事業者の個人情報の取扱い方法自体への規制がなかったのに対し、改正法では違法または不当な行為を助長し、または誘発するおそれがある方法での利用が禁止されます。個人情報の利用そのものに規制がかかるようになるので、この点は法改正上の大きなポイントだと思います。

規制の事例として、たとえば、採用時に国籍等特定の属性で差別的取扱いを行うために個人情報を利用することが不適正利用となる可能性がある、という点をご理解ください。

改正法により、本人からの開示請求、利用停止請求といった本人の権利が、4つの点にわたって強化されます。

6カ月以内に消去する個人データも保有個人データに該当し、開示請求・利用停止請求等の対象となります。

本人から開示請求があった場合、現行法では書面での開示を原則としていましたが、電磁的記録での開示を含めて本人が方法を指定することができるようになります。ただし、データ提供のために大規模なシステム改修をするなど多額の費用を要するような場合は紙での開示でもよい、となります。なお、全情報の開示を請求された場合は全データを開示しなければなりませんので、部署ごとにデータを保有している場合、企業としてどのように対応するか、早めに検討しておくべきでしょう。

第三者提供の際、いつ、誰にデータ提供したか、誰から提供を受けたか、トレーサビリティ確保のための確認記録義務がありますが、改正法ではその記録そのものが開示請求の対象になることが明確になりました。

現行法では、本人の権利として個人データの内容が事実ではない場合、訂正・追加・削除請求ができます。また、目的外利用、不適切取得、同意のない第三者提供が行われている場合も、利用停止・消去、第三者提供の停止請求が可能です。これによれば、内容が正しく、個人情報保護法に違反していない場合は、本人から削除を求められても、事業者側は法的には削除に応じる義務がないことになります。

改正法では、この点が改正されます。まず、目的外利用と不適正取得に加え、不適正利用の場合も利用停止等の対象となります。

利用停止・消去・第三者への提供の停止の改正点を図3にまとめました。

利用停止等の請求に関し、企業実務に大きく影響するのは、以下の3点です。
・利用する必要がなくなった場合
・22条の2本文　　漏えい等の報告等
・その他、本人の権利又は正当な利益が害されるおそれがある場合

特に3つ目、「正当な利益が害されるおそれがある」として、たとえば安全管理措置が十分ではないという理由で削除請求があった場合などの対応としては、通則ガイドラインに「個人情報取扱事業者に本人の権利利益の保護の必要性を上回る特別な事情がない限りは、個人情報取扱事業者は請求に応じる必要がある。」と解釈されているので、原則応じなければなりません。

個人情報は、生存する個人に関する情報であって、特定の個人を識別できるもので、容易照合性により特定の個人を識別できるものを含みます。

間違いやすいのは、氏名や生年月日が個人情報というのではなく、たとえば防犯カメラの映像で氏名がわからずとも特定の個人を識別できる情報であれば、それは「個人情報」なのです。また、単体情報だけでわからずとも、他の情報と容易に照合することで特定の個人が識別できれば、それも個人情報となります。

たとえば、自部署が持つ取引履歴データ自体が特定の個人を識別できないとしても、他部署にある顧客マスターDBと容易に照合できれば、自部署の情報は個人情報となります。

よくCookieは識別子だから特定の個人を識別できない、と言われますが、何らかの形でCookieに保存されている識別子と顧客マスターDBとが紐づけられていれば、Cookeそのものが個人情報になりますのでご注意ください。

個人データを第三者に提供する場合、原則「同意」が必要となりますが、例外として委託や共同利用の場合は、同意が不要となります。

個人データを他社に提供する際に同意が必要か、の切分けの基準は大きく2つあります。

①個人データを「提供」しているか否か
個人データを預けている事業者、たとえばクラウドサービス事業者や倉庫業者など、個人データを取り扱わない場合は個人データを提供したことにならないので、同意は不要です。

②第三者提供か委託か
提供する個人データの利用目的が第三者提供か委託によって、同意の要不要が分かれます。提供先企業が独自の利用目的で利用する場合は第三者提供となり同意が必要です。一方、委託元の利用目的でのみ利用する場合は委託となり、同意は不要です。

複数の事業者から委託で提供された個人データを委託元の区別なく混ぜて取り扱う場合は第三者提供になります。その他、委託先で本人ごとに突合してはならない、など気を付けなければならない点があります。

特定の個人を識別できる個人データを、提供先においては特定の個人を識別できないようにして提供する場合であっても、提供元において容易照合性があれば、個人データを第三者提供することになるため、あらかじめ同意が必要となります。

今回の改正で、生存する個人に関する情報であって、個人情報、仮名加工情報、匿名加工情報のいずれにも該当しない情報を個人関連情報と定義づけられました。
たとえば、パブリックDMPによる閲覧履歴の分析結果は通常は個人情報ではありませんが、その結果を提供された企業が自社の顧客データベースと突合することで個人が特定できれば個人データとなります。このように提供された個人関連情報を個人データとして利用する場合、提供先はあらかじめ同意を取らなければなりません。また、提供先が個人データとして利用することが想定される場合、提供元は、提供先が同意を得ていることを確認する義務があります。この場合の同意の取り方として特に重要な点について、通則ガイドラインに見解が示されています。

• 本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な範囲の内容を明確に示した上で、本人の同意の意思が明確に確認できること
• 都度同意を取る必要はなく、包括的に同意を取ることも可能
• 単にウェブサイト上に本人に示すべき事項を記載するのみでは足りず、それらの事項を示した上でウェブサイト上のボタンのクリックを求める方法等によらなければならない

図4は、個人関連情報を取得し、自社の個人データと結びつけたうえでどう利用するか、本人が明確に確認できる形で同意を取る場合の実装方法例です。なお、プライバシーポリシーや個人情報の取扱いについて必要事項を示して同意を求めるやり方も考えられますので、必ずしもポップアップ形式である必要はありません。

今まで説明した内容をまとめたのが図5になります。

生存する個人に関する情報であって個人情報等に該当しないものすべてが個人関連情報となります。たとえば、電話番号は単体では特定の個人が識別できなくとも、お客様の申込書と突合することで個人データとして利用すれば、個人関連情報の規制対象となる可能性があるということをご留意ください。

匿名加工情報は特定の個人が識別できないよう個人情報を加工して得られる個人に関する情報で、当該個人情報を復元できないようにしたものです。以下の５つの基準に沿って加工しなければなりません。
1)特定の個人を識別できる記述の全部または一部削除する
2)（パスポート番号やマイナンバー、生体認証情報など）個人識別符号を全部削除する
3)（お客様IDなど）連結する番号を削除する
4)（高齢者であればその年齢など）特異な記述を削除する
5)個人情報データベース等の性質を勘案し、その結果を踏まえて適切な措置を講じる

匿名加工情報の場合、第三者提供時の公表義務等はありますが、利用、第三者提供ともに同意は必要ありません。

改正法で仮名加工情報が新設されました。仮名加工情報は他の情報と照合しない限り特定の個人を識別できないように個人情報を加工して得られる個人に関する情報です。仮名加工情報の基準は明確で、前述の匿名加工情報の加工基準①と②と、不正利用により財産的被害が生じるおそれがある記述（クレジットカード情報など）の削除・置換をすればよく、④の特異な記述情報はそのまま残しておいても構わないので、匿名加工情報と比べ、仮名加工情報はとても作りやすいと考えられます。利用目的の公表義務はありますが、変更は自由に行うことができ、同意も不要です。また、委託、共同利用が可能ですが、第三者提供は禁止されています。仮名加工情報、匿名加工情報ともに他の情報との照合により個人情報に復活させることは禁止されています。

また、個人情報漏えい時の報告と開示、利用停止等の対象にもなりません。本人への連絡が禁止されているので、仮名加工情報は分析目的での利用となるのでしょう。

図6は個人情報、仮名加工情報、匿名加工情報別に規制の有無を比較したものです。

現行法では、十分性認定により移転が可能なEUや英国以外の外国にある第三者に個人データを移転する場合、相手側企業に日本法を遵守させる契約を締結し、体制を構築すれば移転が可能ですが、今回の改正では、移転契約を結んだ後も継続的な体制を確保しなければなりません。年に1度、相手側が契約を守っているか、相手国で変な規制が施行されていないかを確認する必要があります。また、本人から開示請求があった場合は、以下7つの情報を提供しなければなりません。

1.当該第三者による法第24条1項に規定する体制の整備の方法
2.当該第三者が実施する相当措置の概要
3.移転先に関する定期的な確認の頻度および方法
4.当該外国の名称
5.当該第三者による相当措置の実施に影響を及ぼすおそれのある当該外国の制度の有無およびその概要
6.当該第三者による相当措置の実施に関する支障の有無及びその概要
7.前号の支障に関して当該個人情報取扱事業者が講ずる措置の概要

本人の同意を得る場合、1)外国の名称、2)外国の個人情報保護法、3)相手の会社が講じている措置の説明が必要となります。

なお、海外31カ国の個人情報保護規制については、個人情報保護委員会のサイトに公開されるようになる、とのことなので、該当ページにリンクを貼っておくのが現実的でしょう。

現行法では、漏えい等があった場合、個人情報保護委員会に報告するよう努め、本人への通知が望ましいとされていましたが、改正法では、個人の権利利益を害するおそれが大きなものとして個人情報保護委員会規則で定めるものが生じた場合は、報告・通知が義務付けられます。具体的には、要配慮個人情報の漏えい等、クレジットカード番号等の経済的な損失を伴うこととなるおそれのあるようなデータの漏えい等、不正目的、1,000名を超える漏えい等が発生した時に委員会への報告と、本人への通知が義務付けられます。

あわせて罰則も強化されていますので、ご留意ください。

来年4月1日の改正法施行に向け、以下の対応を早めに行うことが望まれます。
・個人情報の利用の棚卸し
・開示・利用停止等への対応
・DMP周りの見直し
・漏えい時の対応
・外国への提供

プライバシーポリシーの作成・改訂にあたり法的観点から目的をまとめましたので紹介します。