一般財団法人日本情報経済社会推進協会

ナビゲーションをスキップ

EN

お問い合わせ

2022.07.25

レポート

抜け漏れ再チェック!全面施行直後、改正個人情報保護法の実務対応ポイント

本年4月に全面施行された改正個人情報保護法の実務対応ポイントについて、6つのポイントに絞って解説します。
ポイントに沿って、チェックリストを用意しましたので併せてご活用ください。

01 取得~利用 (チェックリストP.4)第17条から第20条

情報分析等で利用する場合の利用目的

新法第17条で個人情報の利用目的を本人が予測や想定できるレベルまで細かく特定しなければならないとされ、21条で利用目的を通知、公表しなければならないことに注意が必要です。

利用目的の文言のサンプル「ターゲティング広告配信のケース」

例として、ターゲティング広告を配信する場合、従来のような「広告配信のためにデータを利用する」といった曖昧な書き方ではNGです。「取得した閲覧履歴や購買履歴等の情報を分析して、趣味・嗜好に応じた新商品・サービスに関する広告のために利用する」等、インプットする情報とアウトプットとを紐付けして特定する必要があります。

改正法施行前後で見る事業者の対応実例

実例(図1)として、利用目的を追記するパターンと、現行の文言はそのまま追加事項を追記するパターンの2つが多く見られます。どちらでも問題はなく、情報を細かく特定することがポイントです。

repoort01

図1.利用目的の文言サンプル

02 安全管理措置・漏えい等報告 (チェックリストP.5)第21条から第26条

外的環境の把握(安全管理措置)

今回の改正で追加された「外的環境の把握」により、個人データを取り扱う外国の制度等を調査・把握し安全管理措置を実施しなければならないと規制が強化されています。外国の会社に委託をしている、外国のクラウドサーバーにデータを保存しているといったケースが典型的です。当該外国の法制度等を調査の結果、例えばガバメントアクセスがある国だった場合はそれを把握した上で安全管理措置を実施します。また、データのローカライゼーションが必要な場合等も対応を事前に検討する必要があります。

なお、通則ガイドラインの①から⑥は改正がなかったため、今まで通りの情報管理で問題ありません。ちなみに、23条では「き損」が「毀損」に変更になっているので、自社規程見直しの際に合わせておくとよいと思います。

漏えい等の報告及び本人通知の義務化

26条「漏えい等(滅失又は毀損も含む)の報告及び本人通知の義務化」については、下記①から④のいずれかに該当するおそれがある場合、速報・確報等を個人情報保護委員会に報告し、本人にも速やかに通知しなければなりません。本人通知に関しては、現場の負担が増えることも想定されますので、社内研修等でもしっかり周知し、情報管理の重要性を説くようにしてください。

①要配慮個人情報の漏えい等
②経済的な損失を伴うこととなるおそれのあるようなデータの漏えい等(クレジットカード番号等)
③不正の目的をもって行われたおそれがある漏えい等(ハッカーの不正侵入、内部データ持ち出し等)
④1,000人分を超える漏えい等

●報告(速報): 知った後「速やかに」(概ね3~5日以内 初日算入)
 報告(確報): 知った後30日以内(③は60日以内) 初日算入
●本人通知:状況に応じて速やかに

特に報告に関しては、速報でも初日算入とされていることに注意が必要です。漏えい等が連休等に発生・発覚した場合の対応も考えておくことが重要です。

報告・通知を要しない例外

例外として、個人データが第三者に閲覧されないうちに全てを回収した場合は漏えいに該当しないため不要、また、高度な暗号化その他の個人の権利利益を保護するために必要な措置が講じられている場合も不要となります。すぐに取り返すことと、電子政府推奨暗号リスト(CRYPTREC)に載っているような暗号化を実施して保存しておくことが重要です。

委託先から漏えいした場合

委託先に預けたデータが漏えい等した場合、委託元、委託先両方に個人情報保護委員会への報告義務が発生しますが、委託先が委託元に通知をした場合には委託先は報告義務を免れる事になります。
委託元は報告や通知内容等をコントロールするためにも「漏えい等が起こった場合の委託元への報告の徹底、およびその後の個人情報保護委員会への報告と本人への通知については委託元指示に従う」旨を委託契約の条項に反映することをおすすめします。

03 第三者提供 (チェックリストP.6) 第27条、第28条

個人データ提供の際の同意要否の基準

個人データを第三者に提供する際、同意要否の切り分け基準は2点あります。

①個人データを「提供」しているか否か。
郵便、倉庫業者のように、通常内容物の詳細に関知しない場合は委託していることにはなりません。データ関係のサービスでは、データを取り扱わない旨と適切にアクセス制御をしているケースが典型的に委託に当たらない場合となりますので、クラウドの利用規約やセキュリティのホワイトペーパー等を確認して判断するようにしてください。

②第三者提供か委託に伴う提供か。利用目的の変更はあるか。
提供元が収集した個人データを、利用目的を変えて提供先の利用目的で利用する場合は第三者提供となり同意が必要となります。一方、利用目的が変わらず提供元の利用目的でのみ利用するのであれば委託となるため同意は不要です。

委託ではないと評価されるケース

Q&Aには下記3点が「委託ではない」と評価されるケースとして例示されています。

①複数の委託元から提供を受けた個人データを区別せずに混ぜて取り扱っている場合(Q7-37)
②複数の委託元から提供を受けた個人データを本人ごとに突合する場合(Q7-43)
③委託先が独自に取得した個人データ又は個人関連情報と本人ごとに突合する場合(Q7-41)

③は今回新たに追加されたケースで、例えばSNS事業者に個人データを提供し、SNS事業者が独自に所有している個人データと突合する場合等は委託ではなく、委託元または委託先のどちらかで同意をとる必要が生じます。
なお、アンケート等実施後、委託元には統計情報のみが納品され、個人データの取り扱いに一切関知しない場合には委託には当たりません。例外もありますので自社の事業に併せてご判断ください。

委託先での当該個人データの加工

委託内容に個人データを統計情報に加工する業務がある場合、委託先は加工を行うことができますが作成された統計情報を自社のために用いることはできません。ただし今回、委託の範囲内(自社の技術改善のため)であれば利用可能となりましたので、この点を利用規約に盛り込むことで実務的にも運用しやすくなるかと思います。

外国にある第三者への個人データの移転方法 

外国の会社との共同利用、委託は原則できません。ただし例外(図2—No.2)として、個人情報保護委員会が十分性認定した国は外国から除かれるため、現状EU(EEA)とイギリスは国内の第三者と同じ取り扱いができます。
さらに、外国の会社であっても、日本の個人情報保護法を遵守する内容でデータ移転契約を結ぶ等、外国の会社が相当措置を講じていれば外国にある第三者から除かれ、委託・共同利用が使える(図2‐No.3)ことになります。ただし、定期的(年に1回)に移転先の第三者による相当措置の実施状況の確認と、実施に影響を及ぼすおそれのある制度の有無について調査を行う必要があり、また、本人の求めに応じて情報を提供する義務も発生します。本人への同意取得の際の情報提供義務(図2‐No.4)では、①外国の名称、②外国の法制度、③相手の会社が講じている措置についてあらかじめ説明をしなければ同意として有効とは判断されません。

repoort02

図2.外国にある第三者へ個人データを移転する方法

同意取得の際の情報提供

外国の名称が特定できない、サーバー設置国やデータセンターの場所が公表されていない場合等は、「特定できない旨及びその理由(公表されていないので特定できない等)」や「外国の名称に代わる本人に参考となるべき情報(特定できないが、A国とB国とC国で利用)」等と記載する方法があります。

外国の法制度調査

個人情報保護委員会が外国(現在40か国)の法制度調査を行いWebサイトで公表しています。本人への同意についても該当サイトのリンクを張ることで対応が可能です。

公表・情報提供の同意の要否まとめ

外国への提供の方法(図3)、調査範囲(図4)については、自社の事業内容に照らし合わせて必要に応じてご判断ください。

図3. 外国にある第三者への提供 (公表・情報提供と同意の要否まとめ)

図4. 外国にある第三者への提供 (何をどこまで調査するのか?)

04 個人関連情報 (チェックリストP.7) 第29条から第31条

個人関連情報の概要

個人関連情報は、「生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないもの」と定義され、改正法で新設された概念です。範囲がとても広く、Cookie情報のほか、スマホの位置情報や購買履歴、電話番号等個人に関連する情報であれば個人関連情報に該当します。

提供・取得時の義務

個人関連情報を第三者提供した場合、受領者側が個人データと紐づけるのであれば、同意を得る必要があるのは受領者側です。提供者側は、受領者側が個人データと紐づけることが想定される場合には、受領者側が同意を取っているか否か確認をする義務があります。
外国の会社に提供する場合は、受領者側がユーザー情報(個人情報)と紐づけるために同意を取る際、当該外国の法制度を説明する義務があることはご留意ください。
また、提供元は受領者側が個人データとして取得されることが伺われる場合は確認し判断する必要がありますが、それが伺われない場合は確認まではしなくてもよいというルールです。提供情報の種類、データ受領の方法等各々のケースを鑑み、確認が必要か否か都度判断するようにしてください。
参考:実務対応事例(講演資料:P.35~P.40)

05 本人の権利 (チェックリストP.8) 第32条から第35条

保有個人データに関する周知事項の追加

今回の改正法では、保有個人データに関する周知事項に住所と代表者(法人の場合)の氏名が追加され、また、安全管理措置について本人の知り得る状態に置く必要があると記載されました。
つまり、保有個人データに関する周知事項をプライバシーポリシーに記載(図5)することで、本人の知り得る状態になっていると整理できます。なお、外的環境の把握が安全管理措置に追加になっているので記載については通則ガイドラインの記載例をご参照ください。

図5. プライバシーポリシー等の記載事項

プライバシーポリシーに記載する範囲

安全管理措置としての外的環境の把握では、個人データを保管している国名を列挙する必要がありますが、国名が特定できないケース等列挙が難しい場合も想定できます。よく見られる対応としては、Webサイトには国名までは掲載せず、質問があった場合は遅滞なく回答するという方法があります。法律では「本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合も含む。)」と記載があるため、この対応方法で問題はなく、その上でどこまでを記載し説明するのかを各社で協議してください。

本人の権利に関する改正点

本人の権利に関する改正点は、大きく下記の4点になります。

①6か月以内に消去する短期保有データの除外の廃止(6か月以内に消去するデータも開示等の対象)
②開示のデジタル化(データ、書面等本人が請求した方法で開示)
③第三者提供記録の開示
④利用停止・消去請求等の拡充(利用する必要がなくなった、26条の漏えい等が発生した場合等)

なお、利用者側からクレームととれるレベルの利用停止・消去請求があった場合は、正当な利益にあたるか否かが法的な基準になりますが、本人の権利利益の保護の必要性を上回る特別な事情がない限りは原則応じる必要があります。
補足として、多くの企業でプライバシーポリシー内に「個人情報に関する開示はこちら」という文言で誘導がされていますが、厳密に言うと改正法の下では「個人情報と第三者提供記録の開示はこちら」と記載するべきですので、未対応の方は対応をお願いします。

開示等の請求等に応じる手続きについて注意点

令和3年8月2日付けの通則ガイドラインの改正で、本人確認方法の記載が変更されています。
まず、本人確認の概念には身元確認(運転免許証等)と当人認証(メールアドレスとパスワード等)のふたつがあり、これは全く別の概念であるということをご理解ください。
元々身元確認を行っていないケースの場合(図6)、身元確認書類を提出してもらい認証することには意味がなく、この場合は登録されているメールアドレスにメールを送信できれば当人認証ができていることになります。つまり、自社がユーザーから収集している情報の種類によっては、身元確認が必要なのか、当人認証が必要なのか判断が変わってくるため、開示請求があった場合はふたつの本人確認の概念があることを念頭にご対応ください。

repoort06

図6. 開示等の請求等に応じる手続き

06 仮名加工情報 (チェックリストP.9)第36条から第46条

匿名加工情報とは

「特定の個人を識別できないように加工して得られる生存する個人に関する情報であって、それを復元できないようにしたもの」を匿名加工情報と呼びます。

匿名加工情報への加工方法

下記5点全てを満たすことで、本人の同意を取らずとも利用や第三者提供ができるのが匿名加工情報です。

①特定の個人を識別することができる記述等の全部又は一部を削除(氏名、生年月日等)
②個人識別符号の全部を削除(マイナンバー等)
③連結する符号を削除(お客様ID等)
④特異な記述等を削除(119歳等の該当者が少ないと思われる年齢等)
⑤個人情報データベース等の性質を勘案し、適切な措置を講ずること

ただし、④の“特異”の基準が曖昧であること、また、マーケティング分析等に必要な特異なデータを丸めてしまうことでデータの精度が落ちる等の問題点もありました。

仮名加工情報とは

そこで新設されたのが、仮名加工情報です。他の情報と照合しないかぎり、特定の個人を識別することができないように加工された個人に関する情報のことで、イメージとしては個人情報と匿名加工情報の間に位置するものです。

仮名加工情報への加工方法とメリット

仮名加工情報への加工方法は下記の3点で、匿名加工情報に比べて項目が少なくなっているのが特徴です。

①個人情報に含まれる特定の個人を識別することができる記述等の全部又は一部を削除
②個人情報に含まれる個人識別符号の全部を削除
③不正利用されることにより、財産的被害が生じるおそれのある記述等の削除又は置換

図7のデータを上記に沿って加工した場合、①氏名削除、②(個人識別符号が)入っていない、③(クレジット番号が)入っていないため、氏名を削除した時点で仮名加工情報になります。匿名加工情報のデメリット(特異の基準があいまい、データの制度が落ちる)が解決されていて、非常に使いやすいデータになっていることがわかります。

図7. 仮名加工情報 加工後データの例

個人情報、非個人情報の仮名加工情報

仮名加工情報には、個人情報の仮名加工情報と非個人情報の仮名加工情報がありますが、基本的に容易照合性がある場合は個人情報の仮名加工情報です。一方で、自社で加工した後、元データを削除した場合、また、委託先・共同利用先から見れば容易照合性はない場合はいずれも非個人情報の仮名加工情報という整理になります。
ただし、仮名加工情報は大原則として容易照合性があるため個人情報として取り扱い、容易照合性がなくなった場合のみ、非個人情報として扱う事ができると理解してください。

利用目的の変更

個人情報の場合、変更前の利用目的と関連性がある範囲内でのみ目的が変更できましたが、仮名加工情報の場合はその規定は適用されません。利用目的が不明な過去の社内データ等も、全く新しい目的を設定して利用できるため扱いやすくなったことが仮名加工情報の最大のメリットと言えます。

禁止事項と適用除外

仮名加工情報の第三者提供(データ販売等)はできません。また、個人情報に復元するような識別行為や本人への連絡等も禁止されています。
なお、共同利用は範囲の制限なく可能で、かつ漏えい等の報告・通知義務はなく、開示請求等にも応じる必要はないため、安全管理措置を講じた上でグループ会社間が分析等のために共同利用するにはとても便利にお使いいただけると思います。他方、仮名加工情報の状態(図8)によってかかる規制も違ってくるため、実際のケースに落とし込んだうえで運用してください。

図8. 仮名加工情報の種類別規制等の一覧

講師
牛島総合法律事務所 弁護士 影島 広泰氏

一橋大学法学部卒業、03年弁護士登録、牛島総合法律事務所入所
自らアプリ開発を行う等ITに精通し、ITシステム・ソフトウェアの開発・運用、個人情報・プライバシー、ネット上のサービスや紛争に関する案件を中心に、企業法務の第一線で活躍。
日本経済新聞社「企業が選ぶ弁護士ランキング」データ関連部門1位(2019年12月)選出
東洋経済新報社「依頼したい弁護士 分野別25人」IT・個人情報・ベンチャー部門の5名に選出

【著作】
「法律家・法務担当者のためのIT技術用語辞典<第2版>」(商事法務)、「22年施行 情報の『利用』を重視する個人情報保護の規制強化」(週刊東洋経済、2021年3月6日号)他多数

kageshima