あなたの個人情報は大丈夫ですか? 2020年改正の個人情報保護法、これだけは知っておきたいポイント
2019年、就活情報サイトに登録した学生の行動履歴などを分析して、学生が内定を辞退する確率を予測して企業に販売していたことが問題になっていましたが、データの利活用が、こういった個人の不利益につながることがないように、2020年、個人情報保護法が改正される予定です。そこで今回は、改正予定の個人情報保護法の最低限知っておきたいポイントについてお話したいと思います。
1.個人情報保護法 3年ごとの見直し(改正大綱)とは
わが国の個人情報保護法は、3年ごとに検討のうえ、必要に応じて改正されることになっています。この「3年ごとの見直し」が、2020年に予定されています。2019年12月13日に、個人情報保護委員会は「個人情報保護法 いわゆる3年ごと見直し 制度改正大綱」(以下、改正大綱)を公表しました。
(参考)個人情報保護法 いわゆる3年ごと見直し 制度改正大綱(骨子)
主な内容としては
・個人の利用停止等の権利の拡充
・事業者が6カ月以内に消去するデータも保有個人データに含めること、漏えい等報告の義務化
・データ活用推進のための「仮名化情報」の導入等
があります。では次に、もう少し詳しく改正大綱の内容を見てみましょう。
2.個人データと個人の権利
まず、改正される個人情報保護法で、個人の権利がどうなるのかを見てみましょう。
(1)利用停止権、消去権、第三者提供停止権の強化
私たちは、自分の個人データを持つ事業者に対して、そのデータの利用停止、消去、第三者提供の停止を請求することができます。しかし現行では、個人情報保護法に違反し、事業者がデータを取得、取扱い、提供しているときのみ停止請求ができるということになっています。
これに対し改正大綱では、現行要件を緩和し、個人の権利を拡大する方向です。そのため、今後、企業側は、保有個人データの開示や停止に向けて、従来保有しているデータの種類や保有目的を再確認しておく必要があります。
(2)開示のデジタル化の推進
現行、保有個人データの開示請求は、原則として書面の交付によるとされています。これについて、改正大綱では、「本人の利便性向上の観点から、本人が、電磁的記録の提供を含め、開示方法を指示できるようにし、請求を受けた個人情報取扱事業者は、原則として、本人が指示した方法により開示するよう義務付ける」とされました。
ただし、例外として、多額の費用を要するなど、その方法による開示が困難な場合は、書面の交付による方法で開示をすることを認めるとされています。その場合は、本人に対して通知を行うことが義務付けられます。
(3)保有個人データ範囲の拡大
保有個人データとは、個人データのうち、個人情報取扱事業者が、本人の求めに応じて、開示、内容の訂正、追加または削除、利用の停止、消去、第三者提供停止を行うデータのことを言います。現行法では、取得時から6カ月以内に消去することとなる個人データは、保有個人データには該当しないことになっています。
この点について、個人情報保護委員会は、情報化の進展によって、個人の権利利益を侵害する可能性が高まっていることから、6カ月以内に消去する個人データについても、保有個人データに含めることとしました。そのため、保存期間に関わらず、企業は保有個人データについて、本人から請求があれば、開示や利用停止などの対応が必要となります。
その他に、届出があれば本人の同意なく第三者提供できる、いわゆるオプトアウト規定の範囲を限定したり、第三者提供・受領時の記録開示ルールの厳格化等もあります。
3.事業者の責務と取り組み方
次に、事業者側が対応すべき内容を見てみましょう。主なものは次の通りです。
(1)漏えい報告の義務化
現行の個人情報保護法では、個人情報取扱事業者の個人情報の漏えい等の報告は努力義務となっていますが、改正大綱では義務化される予定です。ただし、「一定数以上の個人データ漏えい等、一定の累計に該当する場合」となります。
また、報告義務の対象となる漏えい等があった場合は、原則として、本人に通知しなければならないものとされました。ただし、「本人への通知が困難な場合であって、本人の権利義務を保護するため必要なこれに代わるべき措置をとるときについては、例外規定を置く」とされました。
(2)適正な利用義務の明確化
改正大綱では、「個人情報取扱事業者は、適正とは認めがたい方法による、個人情報の利用を行ってはならない旨を明確化する」とされました。これは、情報通信技術等の進展により、個人情報が不適正に扱われている事例が増加している点に対する対応策と思われます。
(3)保有個人データに関する公表事項の充実
「個人情報の取扱体制や講じている措置の内容、保有個人データの処理方法等の本人に説明すべき事項」を新たな公表事項として追加するとされました。個人情報保護法では、個人情報取扱事業者は、保有個人データに関して、利用目的、各種請求(開示、訂正、利用停止等)の手続、苦情の申出先などについて、本人の知り得る状態に置く必要があります。
このように、今後は事業者が対応すべき範囲が拡大することになります。
4.データ利用、活用のあり方
最後は、今後のデータ利用、活用のあり方についてです。
(1)「仮名化情報」の創設
2017年改正の個人情報保護法では、「匿名加工情報」が定義されました。この「匿名加工情報」は、個人が特定できない形に加工し、元に戻せない状態にしたデータのことを言います。個人の特定ができないため個人情報には該当せず、提供方法を公表すれば、本人の同意を得ることなく、データを第三者へ提供することができるものです。
ただ、「匿名加工情報」は、従来から、その制約のため活用が難しいという意見もありました。そのため、今回新たに「仮名化情報」が導入されることになりました。これは、データの一部を置き換える等の措置により、追加情報がないと個人を特定できない、個人情報の類型データとされています。
例えば、氏名、性別、年齢で構成されるデータがあったとします。氏名を別の文字、記号等に置き換えた場合、性別、年齢だけでは個人を特定できず、元データの氏名という追加的情報があった時に個人が特定できるようなデータが仮名化データとみなされます。
図:仮名化情報の事例
改正大綱では、「イノベーションを促進する観点から、他の情報と照合しなければ特定の個人を識別することができないように加工された個人情報の類型として『仮名化情報』を導入する」とされています。この仮名化情報は、「本人を識別する利用を伴わない、事業者内部における分析に限定するための一定の行為規制」の対象となります。
つまり、仮名化情報については、本人からの請求(開示、訂正等、利用停止など)への対応義務が緩和され、様々な分析に活用できるようになります。
なお、一般に、仮名化情報を作成した事業者は、仮名化情報作成時の原データも保有している場合があると思います。原データについては、本人の開示請求等に対応する義務がありますが、本人の同意等に基づいた第三者提供が可能であることなど、通常の保有個人データとして取り扱うことになります。
(2)個人データの提供基準の明確化
個人情報保護法では、他の情報と容易に照合でき、その組み合わせによって個人を特定できる情報も個人情報に該当するとしています。この「他の情報と容易に照合でき」るかどうかの判定について、現状は、「提供元基準」と言われる、提供元で他の情報と容易に照合できる場合は個人情報に該当することになっています。
しかし、「提供元では個人を識別できない情報であるが、提供先では提供先が持つ情報と組み合わせることで個人情報に該当する」と知りながら、この提供元基準だけに従い、提供元は個人情報でないとして、その情報を本人の同意なく第三者提供する事例も発生しています。
この「提供元においては個人データに該当しないが、提供先においては個人データに該当する場合」については、必ずしもルールが明確化されていませんでした。
(出所)個人情報保護委員会 資料1「個人情報保護を巡る国内外の動向」
改正大綱では、このような状況のもと、「提供元では個人データに該当しないものの、提供先において個人データになることが明らかな情報について、個人データの第三者提供を制限する規律を適用する」としました。
今後は、自社内では個人が特定できない情報であっても、提供先で個人情報になり得る情報については、提供に一定の制限がかかることには注意が必要です。
5.まとめ
いかがでしたか、今回は、改正予定の個人情報保護法の概要についてご説明しました。
(1)今回のポイント
・利用停止権、消去権、第三者提供停止権等が強化される
・漏えい報告の義務化や、適正な利用義務の明確化が求められる
・「仮名化情報」が創設される
・提供先で個人情報になり得る場合には制限が強化される
(2)最後に
2020年3月10日、「個人情報の保護に関する法律等の一部を改正する法律案」が閣議決定されました。今後、通常国会に提出される予定です。 施行時期は現時点では決まっていませんが、お話した内容は企業として必ず対応する必要があります。プライバシーマーク取得企業であるわが社も、改正に備え準備をしてまいります。
「ユニヴライフは安全で快適な”LIFE”を創造します」
【管理部】受付時間 9:30~18:30(日・祝日休み)
