弁護士法人PROの伊藤崇です。

企業や個人事業主にとって個人情報は切っても切り離せない存在です。

Ｂ to Ｃの企業における顧客情報はもちろんのこと、従業員の個人情報など、およそ事業活動をしている事業体であればその規模の大小にかかわらず、必ずと言っていいほど個人情報を取り扱っています。

企業活動における個人情報の取扱を規律する法律が個人情報保護法ですが、令和２年６月に改正個人情報保護法が成立しました。主要な改正点の施行時期は令和４年４月１日が予定されています。

そこで、今回は個人情報保護法の基本（用語の定義や個人情報取扱事業者の義務内容）を確認するとともに、令和２年改正個人情報保護法の概要について取り上げています。

また別の機会で特に重要な事項について詳細を取り上げる予定ですから、そちらもあわせてご確認いただければ幸いです。

なお、本記事は企業だけではなく個人事業主の方々にも関係する内容です。以下で、「企業等」と表記するのは法人＋個人事業主の意味合いとお考え下さい。

　

１．用語の定義

個人情報保護法では、個人情報・個人識別符号・個人データ・保有個人データ・・・・など似通った用語が多数登場し、混乱しやすくなっています。

それぞれの定義を整理すると以下の通りとなります。

⑴　個人情報

「個人情報」とは、生存する個人に関する情報で、その情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの、のことです。

氏名だけでも個人情報には該当しますし、個人を識別できるという意味では顔写真も個人情報に含まれます。その一方で、死者の情報は個人情報には含まれません。

また、ある情報だけでは特定の個人を識別できない場合でも、その他の情報と（容易に）照合することで特定の個人を識別できる情報も個人情報に含まれます。

⑵　個人識別符号

「個人識別符号」とは、簡単に述べると、その情報だけで特定の個人を識別できる文字、番号、記号、符号などのことです。

例えばパスポート番号や基礎年金番号、保険証の記号・番号・保険者番号などが個人識別符号に該当します。その一方で携帯電話の番号やクレジットカード番号はそれだけでは個人識別符号には該当しません。

⑶　個人データ

個人情報をデータベース化するなどして、特定の個人情報を体系的に検索できるように構成したものを「個人情報データベース」と言います。典型例はパソコンのソフト（例えばExcelなど）を使って作成された顧客リストのことです。但し、紙媒体であっても氏名で検索できる索引が設けられたリスト（典型例は名簿です）なども個人情報データベースに含まれます。

この個人情報データベースを構成する個人情報が「個人データ」です。例えば、顧客リストや社員台帳に掲載されている各個人の情報が「個人データ」に該当する、とお考え下さい。

⑷　保有個人データ

「保有個人データ」とは、個人情報取扱事業者に開示、訂正等の権限があるもので、かつ６ヶ月以上保有するもののことです。

⑸　個人情報取扱事業者

「個人情報取扱事業者」とは、個人情報データベースを事業のために利用する者のことを言います。法人や個人事業主が事業者に含まれることはもちろんのこと、非営利組織も事業者に含まれます。

平成２７年に個人情報保護法が改正される前は、「個人情報取扱事業者」になるのは5,000人超の個人情報を有する事業主に限られていましたが、平成２７年の法改正によりこの個人情報保有件数が撤廃されています。

従って、現在では規模の大小を問わずほとんどすべての企業等が「個人情報取扱事業者」に該当し、個人情報保護法のルールを守る必要があります。

⑹　要配慮個人情報

「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪歴等の本人に対する不当な差別等が生じないよう取扱に特に配慮を要する個人情報のことです。

要配慮個人情報は、本人の同意を得ずに取得することが原則として禁止されていたり、後述するオプトアウト方式による第三者提供が認められていないなど特別な規制が課されています。

⑺　匿名加工情報

「匿名加工情報」とは、特定の個人を識別できないように個人情報を加工して得られる個人に関する情報であって、その特定の個人情報を復元できないようにしたもののことです。

匿名加工情報からは個人を識別できないことから純粋な個人情報に比べると規制が一部緩和されていますが、個人情報から匿名加工情報へと加工する際のルールが厳しく、民間企業等への活用は広がっていませんでした。そのため、令和２年改正で民間企業等もより活用しやすい「仮名加工情報」が創設されています。

  

２．個人情報・個人データ・保有個人データと個人情報保護法上の規律の適用関係

個人情報保護法では、「個人情報」「個人データ」「保有個人データ」ごとに適用される規律が区別されています。

これを図示すると以下のようになります。

「個人情報」に該当する情報については、下図の①のルール（のみ）が、

「個人データ」に該当する情報については、下図の①&②&③が、

「保有個人データ」に該当する情報については、下図の①～④のすべてのルールが、

それぞれ適用される＝そのルールの順守が必要になる、ということです。

  

３．個人情報取扱事業者の義務の概要

以下では、現行法における個人情報取扱事業者が順守すべき義務内容の概要を述べています。

詳細まで言及するとかえって複雑になりすぎてしまいますので、概要にとどめているといるということにご留意下さい。

⑴　取得・利用に関するルール　（個人情報・個人データ・保有個人データ）

ア　適正な取得

個人情報の取得にあたっては、虚偽や不正手段を用いない限り、本人の同意は不要です。但し、要配慮個人情報の取得に際しては本人の事前の同意が必要です。

イ　利用目的の特定

個人情報を取り扱うにあたっては利用目的をできる限り特定する必要があります。

ウ　利用目的の公表

個人情報を取得する場合、あらかじめ利用目的を公表するか、取得後速やかに本人に通知ないしは公表する必要があります。企業のホームページに掲載されているプライバシーポリシーは利用目的の事前公表のために行っているという側面もあります。

エ　利用目的による制限

個人情報は利用目的の範囲内で取り扱うことができ、利用目的の範囲を超えて個人情報を取り扱うことはできません。

事後的に利用目的を変更すること自体は可能ですが、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて利用目的を変更することはできません。

⑵　保管に関するルール　（個人データ・保有個人データ）

ア　正確性の確保

　　個人データを正確かつ最新の内容に保つとともに利用する必要がなくなったときは遅滞なく消去するよう努める必要があります。

イ　安全管理措置

　　個人データの安全管理のために必要かつ適切な措置を講じる必要があります。具体的には①基本方針の策定、②個人データの取扱に関する規律の整備、③組織的安全管理措置、④人的安全管理措置、⑤物理的安全管理措置、⑥技術的安全管理措置を講じる必要があるとされています。但し、従業員数が１００人以下の事業者の場合には安全管理措置が緩和されています。

ウ　従業者の監督

　　従業者に個人データを取り扱わせるにあたっては従業者に対する監督を行う必要があります。

エ　委託先の監督

　　個人データの取扱を委託する場合は委託先に対する監督を行う必要があります。

⑶　提供に関するルール　（個人データ・保有個人データ）

ア　個人データを第三者に提供する場合には原則として事前に本人の同意を得る必要があります。

イ　これに対し、オプトアウト方式による場合には個人データの第三者提供に際して本人の事前の同意は不要です。

　　オプトアウト方式とは、本人の求めがあれば事後的に個人データの第三者提供を停止することを前提に、提供する個人データの項目等を公表等した上で、本人の同意なく第三者に個人データを提供できる制度のことです。詳細な条件は個人情報保護法第２３条２項に規定されています。

ウ　個人データを第三者に提供する場合、提供者側・受領者側のそれぞれに相手方の名称等の個人データ提供に関する記録を作成・保存する義務が課されています。

エ　個人データの取扱を委託することに伴って個人データを第三者に提供する場合や個人データの共同利用の場合には一定の条件の下で個人データの提供に関するルールが適用されません。

⑷　開示等の求めに関するルール　（保有個人データ）

ア　保有個人データに関する事項の公表

　　①個人情報取扱事業者の氏名・名称、②保有個人データの利用目的、③開示，訂正，利用停止等の請求手続，④保有個人データの取扱に関する苦情の申出先等について、本人の知り得る状態にしておく必要があります。

　　自社サイトにプライバシーポリシーを掲載してインターネット上で公表することでこの項目に対応しているケースが多く見られます。

イ　開示・訂正等・利用停止等

　　本人から保有個人データの①開示請求や②訂正等（訂正，追加，削除）の請求，③利用停止等（利用停止・消去）の請求，④第三者提供の停止請求を受けた場合には原則としてこれに従って対応する必要があります。

　　また，個人情報取扱事業者としては本人からの上記請求後２週間以内に上記対応をすることが望ましいと言えます。

  

４．令和２年法改正の概要

⑴　改正事項一覧

令和２年改正事項をまとめると以下の通りになります。

⑵　①不適正な方法による個人情報の利用禁止

個人情報取扱事業者が，違法または不当な行為を助長し，又は誘発するおそれがある方法により個人情報を利用することが禁止されます。

「違法」だけではなく「不当」な行為も規制対象に含まれますので注意が必要です。

具体的には，差別を誘発する利用方法や違法行為を営むおそれがある者への個人情報の提供などが想定されます。

⑶　②漏えい等発生時の国（個人情報保護委員会）への報告及び本人への通知の義務化

一定条件を満たした個人情報等の漏洩が生じた場合，国（個人情報保護委員会）や本人への通知が義務化されます。

具体的には，

　ⅰ　要配慮個人情報が含まれる個人データの漏えい等

　ⅱ　不正利用により財産的被害が生じるおそれのある個人データの漏えい等

　ⅲ　不正目的をもって行われた個人データの漏えい等

　ⅳ　1,000人を超す個人データの漏えい等

とされています。

⑷　③オプトアウト方式による第三者提供の規制追加

不正手段により取得した個人データや、他の事業者からオプトアウト方式により提供された個人データについて、オプトアウト方式（※）による第三者提供が禁止されます。

※オプトアウト方式
　本人の求めがあれば事後的に個人データの第三者提供を停止すること　を前提に、提供する個人データの項目等を公表等した上で、本人の同意なく第三者に個人データを提供できる制度

⑸　④提供先で個人データとなる個人関連情報の規制

現行法では個人データ（個人情報）の第三者提供に際して，提供元の事業者において個人データに該当する情報を個人データ（個人情報）として取り扱うことになっていました。つまり，提供元で個人データ（個人情報）ではない情報は個人情報の第三者提供の規制を受けないというのが法律の建前でした。

ところが，いわゆるリクナビ事件等で，提供元では個人データではない情報が，提供先において他の情報と照合することで特定の個人を識別することができてしまう事態が生じ，提供元事業者がそのことを承知していわば脱法的に個人に関するデータを提供する事業を営んでいました。

今回の法改正ではこの点への対処として，提供元においては個人データに該当しないものの，提供先において個人データとして取得することが想定される情報が新たに規制され，第三者提供の際に，提供先において本人の同意が得られていること等を提供元が確認する義務が課されます。

⑹　⑤仮名加工情報の創設

現行法では個人情報の利活用のために「匿名加工情報」が設けられていますが，その利用には相当高度な技術等が必要であり，広く利用されてはいませんでした。

今回の法改正で，新たに「仮名加工情報」が創設されました。「仮名加工情報」とは，個人情報に含まれる記述（例えば顧客リストにおける顧客氏名）を一部削除するなどして，他の情報と照合しない限り特定の個人を識別できないように加工した情報のことを言います。

仮名加工情報については，個人情報保護法上，独自のルールが新設されており，例えば個人情報を取得した際の利用目的に縛られずに別の目的でも利用が可能になる，仮名加工情報の第三者提供は禁止される，などのルールが新設されています。

⑺　⑥本人からの開示請求等の範囲の拡大

開示請求等の対象になる保有個人データの対象が広がります。これまでは6ヶ月以内に消去する短期保存データは開示請求等の対象外でしたが，改正法ではこうした情報も開示請求等の対象に含めることになりました。

開示方法についても電磁的記録の提供による方法も含めて本人が指示できるようになります。

また，個人データの授受に関する第三者提供記録についても本人が開示請求できるようになります。

企業等はこの点の改正に対応するために既存のプライバシーポリシーの見直しをする必要があります。

⑻　⑧罰則の強化

個人情報保護法に定められている罰則の引き上げが行われました。

例えば，個人情報保護委員会による命令違反の場合の罰則が【改正前：６ヶ月以下の懲役又は３０万円以下の罰金】から【改正後：１年以下の懲役又は１００万円以下の罰金】に引き上げられました。

また，この場合の法人に対する罰金刑についても【改正前：３０万円以下の罰金】から【改正後：１億円以下の罰金】に引き上げが行われており，法人に対する罰則が大幅に引き上げられています。

罰則の強化に関する法改正については現時点で既に施行されていますので注意が必要です。

⑼　⑨法の域外適用・越境移転

外国にある第三者に個人データを提供する際に，当該外国における個人情報保護制度などの情報を本人に提供する義務などが課されます。

今回の個人情報保護法の改正は企業等の実務にも大きな影響を及ぼすことが予想されます。

今回は改正点の概要の御紹介にとどめましたので，別の機会で詳細を取り上げたいと思います。

以上

---