【ニュース】令和2年個人情報保護法改正
1 はじめに
令和2年6月12日、「個人情報の保護に関する法律等の一部を改正する法律」(以下「改正法」といいます。)が公布されました。改正法につきましては公布直後に概要のご紹介を致しましたが(https://www.spring-partners.com/topic/1793.html)、今回の改正は、平成27年改正個人情報保護法において設けられた「いわゆる3年ごと見直し」に関する規定(附則第12条)に基づき「自身の個人情報に対する意識の高まり、技術革新を踏まえた保護と利活用のバランス、越境データの流通増大に伴う新たなリスクへの対応等の観点」からなされたものです。「検察官定年延長」を含む国家公務員法等の一部を改正する法案の審議が難航し、さらにコロナ禍の中での改正を危ぶむ声もありましたが、無事に見直しが実現できたものです。改正の内容は、(1)個人の権利のあり方、(2)事業者の守るべき責任のあり方、(3)事業者における自主的な取組を促す仕組みのあり方、(4)データ利活用に関する施策のあり方、(5)ペナルティのあり方、(6)法の域外適用・越境移転のあり方という6つの論点群に整理されていますが、後記3及5のような「リクナビ問題」や「破産者MAP問題」等の社会問題を踏まえた改正点もあり、大変注目されることから、今回改めて重要な改正点をご紹介致します(詳細は下記の個人情報保委員会のウェブサイトをご参照ください。) https://www.ppc.go.jp/news/press/2019/20200310/
2「事業者の守るべき責任のあり方」に関する改正点1〜漏えい等が発生した場合に委員会への報告及び本人への通知を義務化しました
漏えい等が発生し、個人の権利利益を害するおそれがある場合に個人情報委員会への報告及び本人への通知が義務化されました(改正法第22条の2)。あらゆる個人情報漏れの場合ではなく、後日個人情報保護委員会規則により、一定数以上の個人データの漏えい、要配慮個人情報の漏えい等一定の類型に該当する場合に限定されることが想定されています。
3「事業者の守るべき責任のあり方」に関する改正点2〜違法又は不当な行為を助長する等の不適正な方法により個人情報を利用してはならない旨を明確化しました
個人情報保護法の目的である個人の権利利益の保護に照らして看過し得ない方法で個人情報が利用されている事例として、近時「破産者マップ」と称するウェブサイトの運営者が破産決定から免責に至った者を個別的に掲載する官報の破産者情報を包括的・網羅的に収集し、データベース化させGoogleマップに関連付け設定を行い、同マップ上に破産者の住所の上に目印を挿入する等して容易に可視化させるサイトを開設した事例のような個人情報の不適正利用があったことを踏まえ、違法又は不当な行為を助長する等の不適正な方法により個人情報の利用が明確に禁止されました(改正法第16条の2)。
4「データ利活用に関する施策のあり方」に関する改正点その1〜イノベーションを促進する観点から、氏名等を削除した「仮名加工情報」を創設し、内部分析に限定する等を条件に、開示・利用停止請求への対応等の義務を緩和しました
これまで事業者において個人情報で構築されたデータベースを利用することには漏えい等のリスクがあり、事業者は自ら利活用する場合であっても一定の仮名化を行った上で利活用せざるを得なかったほか、また、現行法では一定の場合に本人からデータの利用停止の求めに応じなければならず、ビックデータの量が低減し、ビッグデータの継続的な利活用ができなくなるリスクがありました。そこで、事業者毎に区々であった仮名化の基準を定め、「仮名加工情報」を対象となる個人情報に含まれる記述等の一部又は個人識別符号の全部を削除することにより、他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報と定義し(改正法第2条9項)、個人情報の保護を図りつつ、仮名化された個人情報の利活用には規制を緩和することにより、ビッグデータの利活用の促進を図ることを目的としたものです。
5「データ利活用に関する施策のあり方」に関する改正点その2〜提供元では個人データに該当しないものの提供先において個人データとなることが想定されている情報の第三者提供につき本人同意が得られていること等の確認を義務付けました
2017年施行の現行法は、ビッグデータの活用促進を促すために「匿名加工情報」を創設し、匿名加工を施すことによって個人情報でなくなった情報を一定の要件のもと第三者への提供を可能としていました。しかし、2019年にいわゆる「リクナビ問題」(提供先となる新卒採用を進めている企業においては個人情報となることを認識しながら、提供元においては個人が特定できないとして本人同意なく個人データを第三者提供していた問題)が表面化し、大きな社会問題となりました。そこで、提供元である個人関連情報取扱事業者においては、個人データに該当しない個人関連情報(「生存する個人に関する情報」であって「個人情報」「仮名加工情報」「匿名加工情報」のいずれにも該当しないもの)について、提供先において個人データとなることが想定される場合には、提供先が本人の同意を得ることを、提供元が確認することが求められることになりました。
6「ペナルティのあり方」に関する改正点
従前の違反行為に対する制裁の実効性が不十分であるとの問題意識を踏まえ、委員会による命令への違反・委員会に対する虚偽報告等が行われた場合の法定刑の引上げがなされました(改正法第83条、第85条、第87条1項)。
・命令違反:6月以下の懲役又は30万円以下の罰金→1年以下の懲役又は100万円以下の罰金
・虚偽報告:30万円以下の罰金 →50万円以下の罰金
なお、データベース等不正提供罪、委員会による命令違反の罰金について、法人と個人の資力格差を勘案して、法人に対しては行為者よりも罰金刑の最高額が引き上げられ(法人重科)、最高1億円もの罰金が科される場合があります。
以上改正法の重要な改正点をご紹介致しました。先に改正点以外にも、個人の権利利益を保護するために必要十分な措置を整備する見地からの改正のほか、国際的な制度調和や連携への配慮からの改正もあり、一部の規定を除き公布後2年以内に施行され(附則第1条)、個人情報保護委員会規則やガイドラインの制定が今後予定されているところですが、個人情報を取り扱う企業においては、現在の個人情報に関する定め、取り扱いの見直し、整備についての準備が望まれます。
今年は、新型コロナウィルスによる緊急事態宣言下である4月、改正債権法が全面施行される事態となりましたが、近時は、ソフト・ローのみならず、ハード・ローの改正も数多く、民法のほか、会社法、民事執行法といった基本的な法律の改正、施行が相次いでいます。今回改めて取り上げた個人情報保護法の改正は、3年毎の見直し規定に基づき問題点を是正するための改正点も多く、改正の必要性が十分認められるところですが、他方で、名宛人となる企業・個人が日々の企業活動・生活を行う中で頻繁な法改正に十分に対応しきれず、法令が行為規範として十分機能しているとは言い難い分野が増えているように感じております。弊所では社会環境の変化や法改正の内容を適時かつ的確に把握し、クライアント様が法令その他の規範に沿った健全な企業活動を行えますよう、所員一同今後とも研鑽を積んで参りたいと考えております。
《弁護士 増本善丈》