改正個人情報保護法の概要 ~改正前および改正後の変更点について~ 第2回:改正個人情報保護法の内容(1)

請求範囲の拡大、開示方法の指示、第三者提供記録の開示請求など

セキュリティ

2021.08.03

     

今回から、いよいよ改正個人情報保護法(以下、改正法)の具体的な内容について説明します。説明に当たっては、改正前および改正後を対比し、何がどう変わったのかを明示する形としています。

<注記>

本コラムは、2021年8月までに公開された改正法やガイドライン等の内容をベースにしています。本コラム公開後に改正法のガイドラインやQ&Aが変更になった場合、その内容、状況に応じて順次更新させていただく予定です。最新のガイドラインと必ずしも内容が合っていない場合もございますのでご了承ください。

1.個人の権利の在り方

(1)利用停止等の請求範囲が広がった。(法第30条関係)

改正前

個人情報取扱事業者は、本人から請求があった際には、当該本人が識別される保有個人データが、以下いずれかの場合は原則として、遅滞なく利用停止等又は第三者提供の停止を行わなければなりませんでした。

  • 目的外利用をしていた場合
  • 不適正な利用をしていた場合
  • 不正な取得をしていた場合
  • 本人の同意なく要配慮情報を取得していた場合
  • 本人の同意なく第三者に提供していた場合
改正後

改正前にプラスして、以下のいずれかに該当する場合も、原則として、遅滞なく利用停止等又は第三者提供の停止を行わなければならなくなりました。

  • 利用する必要がなくなった場合
  • 漏えい等の事案が生じた場合
  • 本人の権利又は正当な利益が害されるおそれがある場合

解説

新たな請求範囲に含まれることとなった「本人の権利又は正当な利益が害されるおそれがある場合」とは、例えば以下のような場合です。

  • ダイレクトメールの送付を受けた本人が、送付の停止を求める意思を表示したにもかかわらず、個人情報取扱事業者がダイレクトメールを繰り返し送付していることから、本人が利用停止等を請求する場合
  • 電話勧誘を受けた本人が、電話勧誘の停止を求める意思を表示したにもかかわらず、個人情報取扱事業者が本人に対する電話勧誘を繰り返し行っていることから、本人が利用停止等を請求する場合
  • 個人情報取扱事業者が、安全管理措置を十分に講じておらず、本人を識別する保有個人データが漏えい等するおそれがあることから、本人が利用停止等を請求する場合

(2)保有個人データの開示方法が指示できるようになった。(法第28条第1項~第2項関係)

改正前

本人が個人情報取扱事業者に保有個人データの開示請求を行う場合、書面の交付による方法で開示してもらうしかありませんでした。

改正後

本人が個人情報取扱事業者に保有個人データの開示請求を行う場合、書面の交付だけでなく、電磁的記録の提供による方法も含めて開示方法を指定できるようになりました。

解説

電磁的記録の提供とは、例えば、CD-ROM等に保存して郵送する、電子メールで送信する、Webサイトからダウンロードしてもらう、等です。
ただし、「多額の費用を要する場合その他の当該方法による開示が困難である場合」は、書面の交付でも良いとされています。

(3)第三者提供の記録を本人が開示請求できるようになった。(法28条第5項、第1項~第3項関係)

改正前

個人情報取扱事業者は、第三者提供の記録(提供年月日、第三者の氏名又は名称等)を作成していなければなりませんでしたが、第三者提供の記録の開示請求については法の定めがありませんでした。

改正後

本人が、個人情報取扱事業者に対して第三者提供の記録を開示請求できるよう定められました。

解説

第三者提供を行う個人情報取扱事業者は、請求時に開示することを前提に第三者提供の記録を作成し保存しておく必要があります。

(4)短期保存データも保有個人データとして開示、利用停止等の対象となった。(法第2条第7項関係)

改正前

6ヶ月以内に消去する個人データ(更新することは除く)は、「保有個人データ」ではないため、開示や利用停止等の請求対象ではありませんでした。

改正後

6ヶ月以内に消去する個人データも「保有個人データ」に含まれることとなりました。そのため、開示や利用停止等の請求対象となりました。

解説

「保有個人データ」とは、「個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの以外のもの」です。簡単にいうと個人情報取扱事業者が持っている個人データと考えていただければ良いです。
これまでは6か月以内に消去する予定の個人データだから利用停止等の請求に応じる義務は無いだろう、と判断されていたものが、消去予定の期間に限らず請求に応じる義務が発生することになります。

(5)オプトアウト規定に基づく第三者提供の範囲が小さくなった。(法第23条第2項関係)

改正前

要配慮個人情報だけがオプトアウト規定で第三者に提供できませんでした。
※オプトアウト規定:本人の求めがあれば事後的に停止することを前提に、提供する個人データの項目等を公表等したうえで、本人の同意なく個人データを提供できる制度のこと。(法第23条第2項)なお、オプト(Opt)は、本来、選ぶという意味。

改正後

改正前の制限に加え、不正取得された個人データや、オプトアウト規定により提供された個人データについても、オプトアウト規定で第三者に提供できなくなりました。

解説

本人がオプトアウトすることが困難となる事態(例えば個人情報の利用停止をすることが困難)を防ぐために設けられた定めといえます。
改正法では、オプトアウト規定による第三者提供を行うため個人情報取扱事業者は、新たに以下の事項をあらかじめ本人に通知し、または本人が容易に知り得る状態に置き、個人情報保護委員会に届け出なくてはならなくなりました。

  • 個人情報取扱事業者の氏名又は名称及び住所並びに法人等の代表者の氏名
  • 第三者提供される個人データの取得方法
  • その他個人の権利利益を保護するために必要なものとして個人情報保護委員会規則で定める事項

これまでにオプトアウト手続きによる届け出を済ませた個人情報取扱事業者においても、今回の改正個人情報保護法の経過措置が適用される令和3年(2021年)10月1日から令和4年(2022年)3月31日までの間に、新たに個人情報保護委員会へ届け出ることが必要となります。
なお、上記とは別に、オプトアウト規定による個人データの提供をやめた場合も、その旨を個人情報保護委員会に届け出る必要があります。

次回は、事業者の守るべき責務の在り方等について解説します。

参考資料

改正個人情報保護法の概要 ~改正前および改正後の変更点について~ 第2回:改正個人情報保護法の内容(1)