改正個人情報保護法の概要 ~改正前および改正後の変更点について~ 第3回:改正個人情報保護法の内容(2)
漏えい時の通知義務、不適正利用の禁止、個人データの公表事項追加、分野別の団体制度
今回は、事業者の守るべき責務の在り方、および事業者による自主的な取組を促す仕組みの在り方について解説します。
<注記>
本コラムは、2021年8月までに公開された改正法やガイドライン等の内容をベースにしています。本コラム公開後に改正法のガイドラインやQ&Aが変更になった場合、その内容、状況に応じて順次更新させていただく予定です。最新のガイドラインと必ずしも内容が合っていない場合もございますのでご了承ください。
1.事業者の守るべき責務の在り方
(1)漏えい等の発生時に個人情報保護委員会への報告及び本人への通知が義務化された。(法第22条の2関係)
改正前
個人データの漏えい等又はそのおそれのある場合、個人情報取扱事業者による個人情報保護委員会への報告は「努力」義務レベルでした。また、本人への通知も実施が「望ましい」レベルであり、いずれも義務ではありませんでした。
改正後
個人情報取扱事業者は、個人データの漏えい等又はそのおそれのある場合で、以下いずれかのような個人の権利利益を害するおそれが大きい場合は、個人情報保護委員会への報告及び本人への通知が「義務」となりました。
- 要配慮個人情報が含まれる場合
- 不正利用されることで財産的被害が生じるおそれがある場合
- 不正な目的で漏えい等が発生した場合
- 本人の数が1,000人を超えている可能性がある場合
解説
個人情報保護委員会への報告には、速報と確報の2種類があります。ガイドラインによると、速報は、漏えい等が発生したのを知った時点から概ね3~5日以内、確報は30日以内に報告しなくてはなりません。
なお、確報では以下の事項を報告する必要があります。
- (1)概要
- (2)漏えい等が発生し、又は発生したおそれがある個人データの項目
- (3)漏えい等が発生し、又は発生したおそれがある個人データに係る本人の数
- (4)原因
- (5)二次被害又はそのおそれの有無及びその内容
- (6)本人への対応の実施状況
- (7)公表の実施状況
- (8)再発防止のための措置
- (9)その他参考となる事項
個人データの取扱いを委託している場合、原則として委託元と委託先の双方が報告する義務を負いますが、委託元が委託先に先に通知した場合、委託先は報告義務を免除されます。
<補足>
以下の事項については、改正前と変わりません。
- 個人データを第三者に閲覧されないうちに全てを回収した場合は、漏えいに該当しません。
- 個人データについて、高度な暗号化やその他の個人の権利利益を保護するために必要な措置が講じられている場合については、報告を要しません。
- また、漏えい等について、本人への通知が困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは本人への通知は不要となります。
(2)違法又は不当な行為を助長する等の不適正な方法により個人情報を利用してはならない旨が規定された。(法第16条の 2関係)
改正前
なし(個人情報の不適正な利用を明確に禁止する規定はありませんでした)
改正後
違法又は不当な行為を助長する等の不適正な方法により個人情報を利用してはならない旨が明確に規定されました。また、その具体的な事例が記載されました。
解説
不適正な利用の具体的な例とは、例えば以下のような事項です。
- 違法行為が疑われる事業者(例:貸金業登録を行っていない貸金業者等)からの突然の接触による本人の平穏な生活を送る権利の侵害等、当該事業者の違法な行為を助長するおそれが想定されるにもかかわらず、当該事業者に当該本人の個人情報を提供すること。
- 裁判所による公告等により散在的に公開されている個人情報が公開されることによって差別等の発生が予見できるのにインターネット公開すること
※これは、官報に掲載された自己破産者の氏名等を地図で示した「破産者マップ」がWebサイト上に公開されていた事件に基づいていると考えられます。(行政指導により現在は閉鎖) - 採用選考において、本人の属性に基づいて差別的取り扱いを行うことが予見できるのに個人情報を利用すること
※これは、就活サイトが就活生の内定辞退率を予測したうえで就活生の同意を得ることなく内定辞退率データを第三者に販売していた事件に基づいていると考えられます。
(3)保有個人データに関する公表事項が追加された。(法第27条関係)
改正前
保有個人データに関する事項について、以下を本人の知り得る状態に置かなければならないことが定められていました。
- 個人情報取扱事業者の氏名または名称
- 保有個人データの利用目的
- 利用目的の通知の求めまたは開示等の請求に応じる手続及び利用目的の通知の求めまたは開示の請求に係る手数料の額(定めた場合に限る。)
改正後
改正前に加え、以下の事項が追加されました。
- 個人情報取扱事業者が法人である場合、その代表者の氏名
- 安全管理のために講じた措置(ただし、本人の知り得る状態に置くことにより当該保有個人データの安全管理に支障を及ぼすおそれがあるものを除く。)
解説
安全管理措置の記載粒度は、取り組み概要が理解できるレベルで良いと考えられます。(あまり詳細に記述して公表すると、漏えい等につながる恐れもあります)
個人情報保護法ガイドラインでは、安全管理措置の内容として以下の記載例が示されています。(一部抜粋)
【安全管理のために講じた措置として本人の知り得る状態に置く内容の事例】
(組織的安全管理措置)
事例1) 個人データの取扱いに関する責任者を設置するとともに、個人データを取り扱う従業者及び当該従業者が取り扱う個人データの範囲を明確化し、法や取扱規程に違反している事実又は兆候を把握した場合の責任者への報告連絡体制を整備
(物理的安全管理措置)
事例1) 個人データを取り扱う区域において、従業者の入退室管理及び持ち込む機器等の制限を行うとともに、権限を有しない者による個人データの閲覧を防止する措置を実施
(技術的安全管理措置)
事例1) アクセス制御を実施して、担当者及び取り扱う個人情報データベース等の範囲を限定
2.事業者による自主的な取組を促す仕組みの在り方
(1)企業の特定分野(部門)を対象とする認定個人情報保護団体を認定できるようにした。(法第47条関係)
改正前
個人情報保護委員会は、認定個人情報保護団体制度は、企業全体を対象とした団体を認定していました。
改正後
個人情報保護委員会は、現行制度に加え、企業の特定分野(部門)を対象とする団体を認定できるようになりました。
解説
認定個人情報保護団体制度とは、個人情報取扱事業者についての苦情、情報処理等の業務を行う団体です。個人情報取扱事業者は、認定個人情報保護団体に加入することによって、本人からの苦情の申し出先を認定個人情報保護団体にして、仲立ちをしてもらえます。また、個人情報保護に関連するさまざまな情報の提供を受けることができます。
しかし、認定個人情報保護団体は業種別の団体が多く、企業全体を対象としているため、幅広い事業を展開している事業者には加入しづらい面がありました。そこで今回の改正により、個人情報取扱事業者の事業の種類や業務の種類を対象にできるようになりました。
これにより、例えば同じ社内でもA事業を行うA部門とB事業を行うB部門が、それぞれの事業に近い別々の認定個人情報保護団体に加入できるようになりました。
次回は、データ利活用に関する施策の在り方について解説します。
参考資料
-
個人情報の保護に関する法律等の一部を改正する法律(概要)
https://www.ppc.go.jp/files/pdf/200612_gaiyou.pdf -
個人情報の保護に関する法律等の一部を改正する法律(令和二年法律第四十四号)
https://elaws.e-gov.go.jp/document?lawid=415AC0000000057_20220401_502AC0000000044 -
個人情報の保護に関する法律施行規則(平成二十八年個人情報保護委員会規則第三号)
https://elaws.e-gov.go.jp/document?lawid=428M60020000003_20220401_503M60020000001 -
改正法の新旧対照表
https://www.ppc.go.jp/files/pdf/200612_sinkyutaisyohyo.pdf -
令和3年8月2日 個人情報の保護に関する法律についてのガイドライン(通則編)
https://www.ppc.go.jp/files/pdf/210802_guidelines01.pdf -
「令和2年 個人情報の保護に関する法律等の一部を改正する法律」(以下、「改正法」)によるオプトアウト届出制度の改正について Q&A(令和3年6月)
https://www.ppc.go.jp/files/pdf/revised_optout_faq.pdf