改正された個人情報保護法のポイント
個人情報保護法は2015年改正で、3年ごとに見直され、改正のための検討が行われることとされた。通常、法律は施行されてから2年後、3年後に見直しが行われるが、個人情報保護法は平成15年に公布されてから長く改正されていなかった。そこで平成27年改正の際に「施行後、3年ごとに見直す」という条項が入った(これは非常に珍しい条文である)。2020年の今年が最初の見直しの年にあたり、改正法は6月5日に成立、6月12日に公布された。
どのように改正されたのかについては、個人情報保護委員会が2020年6月12日に最新の新旧対照表や概要などを公開しているので、条文はそこで確認することができる(以下、新設された条文には「新」と付記する)。
板倉氏は、今回の改正について「比較的テクニカルな改正内容が多い」と語り、個人情報保護委員会の資料「個人情報の保護に関する法律等の一部を改正する法律案(概要)」を踏まえて、そのポイントを解説した[※4]。この資料では改正法の内容を大きく6つに分けてまとめている。
1. 個人の権利の在り方
2. 事業者の守るべき責務の在り方
3. 事業者による自主的な取組を促す仕組みの在り方
4. データ利活用に関する施策の在り方
5. ペナルティの在り方
6. 法の域外適用・越境移転の在り方
※4 ウェビナー開催時は資料作成時期との関係で法律案(概要)の資料を用いたが、成立後は、個人情報保護委員会により「個人情報の保護に関する法律等の一部を改正する法律(概要)」が公表されている。
個人の権利の在り方
板倉氏はマーケティングとの関わりで重要な部分を順番に説明していった(以下、図中の赤枠と赤字のナンバリングは板倉氏による)。1つめは「個人の権利の在り方」の、利用停止・消去等の個人の請求権について[1-1]。これまでは個人情報が違法に取り扱われている時のみ、本人は利用停止や消去等を請求できたが、今回の改正で、個人の権利や正当な利益が害されるおそれがある場合にも、本人がデータの利用停止・消去等を請求できる権利が別途追加された。
出典: 個⼈情報の保護に関する法律等の⼀部を改正する法律案(概要)※ナンバリングおよび赤枠は板倉氏
また、保有個人データの開示については、原則として電磁的記録で行われることになった[1-2]。改正前は、原則書面で行われていたということが驚きかもしれない。[1-3]の個人データの授受に関する第三者提供記録については、これまで必ずしも保有個人データの一部ととらえられていなかった。しかし、今回の改正で保有個人データの一部かどうかに関わらず、開示請求の対象となった。ここで言う「第三者提供記録」とは、提供の根拠が本人の同意である場合を含め、保存が義務付けられている、個人データを第三者に提供した時のログである。
[1-4]はこれまで開示、利用停止等を請求できる保有個人データは6か月を超えて保存する保有個人データが対象になっていたが、この6か月の制限がなくなった。[1-5]のオプトアウト規定については、不正取得された個人データだけでなく、オプトアウト規定によって取得した個人データもオプトアウトにより第三者提供できる個人データの対象外となった。
事業者の守るべき責務の在り方
2つめの「事業者の守るべき責務の在り方」では、漏えい等があった場合、委員会への報告と本人への通知が法的義務になった[2-1]。今までは告示上の義務だったが、改正によって一部については法的義務になるため、通知しない場合は違法になる場合がある。
出典: 個⼈情報の保護に関する法律等の⼀部を改正する法律案(概要)※ナンバリングおよび赤枠は板倉氏
[2-2]は重要なポイントで、違法または不当な行為を助長する等の不適正な方法によって個人情報を利用してはならないという条項が入った。板倉氏は「個人情報保護法は極めて乾いた法律で、利用目的を定めて、その範囲内で使っていれば、それ以上使い方を法律として規定することはなかった。ここはパラダイムチェンジに相当する重要な部分だ」と説明する。形式的にちゃんと利用目的の範囲でやっていたとしても、「違法又は不当な行為を助長する等の不適正な方法」という実質論によって違法になる可能性が出てきたのだ。
この「不適正な方法」となるラインについては高めに設定していると個人情報保護委員会は説明していることから、なんでも実質論で違法になるわけではないが、今回の改正ではじめてこうした規定が入った点は注目に値すると板倉氏は解説する。
データ利活用に関する施策の在り方
続いてマーケティングと関わりがありそうなのは、4つめの「データ利活用に関する施策の在り方」である。今回、氏名等を削除した「仮名加工情報」が創設された[4-1]。ただし、仮名加工情報というのはデータ分析などの社内利用を前提としていて、仮名にしたからといって外部提供できるわけではない点に注意が必要だ。
出典: 個⼈情報の保護に関する法律等の⼀部を改正する法律案(概要)※ナンバリングおよび赤枠は板倉氏
[4-2]は「リクナビDMPフォロー」事例の反省を込めて追加されたルールだと板倉氏は説明する。提供先で個人データとなることが想定される情報の第三者提供については、提供先で同意を取っていることを提供元で確認しなさいというものである。
ペナルティの在り方
5つめの「ペナルティの在り方」では、懲役または罰金刑が若干引き上げられたほか、法人重科で法人だけは最高1億円の罰金となった。これはGDPRなどで巨額の制裁金・課徴金が科せられるのに歩調をあわせた改正と言える。ただし、これまで個人情報保護法の罰則が科せられたことはないという。
出典: 個⼈情報の保護に関する法律等の⼀部を改正する法律案(概要)※ナンバリングおよび赤枠は板倉氏
特に注目すべき2つの改正ポイント
これらの改正ポイントのうち、板倉氏は重要な2つについて解説を続けた。1つめは「違法又は不当な行為を助長する等の不適正な方法により個人情報を利用してはならない」という点である。
個人情報保護法は、利用目的を定めてその範囲内で使っていく分には違法とされない。それが今回、「個人情報取扱事業者は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない。」(新 第16条の2)が入ることになり、違反した場合は違法となる。ここは、政令や規則に委任されていないため、最終的にはガイドラインで多少明確化される。
もうひとつのポイントは「提供先で個人データとして取得することが想定される場合の第三者提供」についてである。提供先で個人データとして取得することが想定される場合、提供元で何が規律されるのか。対象となるのは「個人関連情報」である。これは特定個人を識別可能であるかどうかに関わらず、なんらかの個人に関連する情報の中から、「個人情報」「仮名加工情報」「匿名加工情報」をすべて抜いたものになる。
個人関連情報の定義(板倉氏作成)
この「個人関連情報」が提供先で個人データになる場合に、個人関連情報を保有している「個人関連情報取扱事業者」が第三者にこれを提供する時、この事業者は何をしなければならないのだろうか。
新 第26条の2が該当する条文だが、ここには個人関連情報取扱事業者(提供元)が本人同意を取れとは書かれていない。データの提供を受けて個人を特定できる第三者(提供先)のほうで、個人データとして取得することの本人同意を取ったことを提供元が確認しなさいと書かれている。この場合、本人は同意を第三者(提供先)に対して行う。それを提供元が確認するのである。
これまでは、提供元のほうで本人同意を取って提供するというのが原則だったが、提供先で個人データになるケースに対応するため、こうした記述になっている。
では、提供元はどのように確認を取ればいいのだろうか。条文に戻ると「個人情報保護委員会規則で定めるところにより確認」とある。したがって、法律が改正され、政令と規則がそのあと議論され、さらに具体的な方法などはガイドラインで明らかにされることになる。「ここでは“確認する”という義務が定められている、極めて珍しい条文になっていることを理解してほしい」と板倉氏は言う。
ちなみに、Cookieやウェブで埋め込むなんらかのIDのようなもの自体を個人識別符号として、一律個人情報にするという規律の仕方は、慎重に検討する必要があるとして中間整理段階でボツになっている。
