改正法で押さえておきたい6つの要点

GVA法律事務所　弁護士／リードアソシエイト　阿久津 透（あくつ・とおる）氏

2009年　慶應義塾大学　修了　2012年　中央大学法科大学院　修了
2013年　今村記念法律事務所　入所　2019年　GVA法律事務所　入所

個人情報保護法をはじめとするデジタルマーケティング関係法務、AI、 LegalTech、人事労務、企業間紛争等を担当。

――まず改正法によって何が変わるのか、ご教示いただけますでしょうか。

　改正個人情報保護法では、「1、個人の権利の在り方」「2、事業者が守るべき責務の在り方」「3、事業者による自主的な取組を促す仕組みの在り方」「4、データ利活用に関する施策の在り方」「5、ペナルティの在り方」「6、法の域外適用・越境移転の在り方」という大きく6つの視点から改正が加わります（図表1）。

　それぞれの要点を簡単に説明しますと、まず「1、個人の権利の在り方」では、情報を持つ個人が事業者に対して「自分の情報を使うのをやめてください、削除してください」と利用停止・削除を要請できる場面が増えることになります。個人が自分自身で情報をコントロールしやすくなる一方で、データを取り扱う事業者は、個人からの要請に応えなければならない場面が増えることになります。

　また利用停止・削除に関する権利行使ができる場面が広くなったことに加え、個人が事業者に対し「どんな情報を保有し、何に使っているのか」というのを開示請求できる場面も広がります。事業者の皆様は、当然これまでも個人データを使う際には必要な対応をされてきたと思いますが、今回これらが付け加わったときに対応できる体制になっているのかを今一度見直す必要があるでしょう。

　「2、事業者が守るべき責務の在り方」は、個人情報の漏洩という問題に関係します。個人情報の漏洩はもちろん起きないことが第一ですが、どんなに気をつけていても、メールの添付を間違えてしまったり、サイバー犯罪に巻き込まれてしまったりというケースが起きてしまうこともあるでしょう。そういった漏洩が発生した場合に、その情報が個人の権利利益を害する場合がある場合、個人情報保護委員会への報告と本人への通知をしなければならないというのが、今回の改正で義務化されました。

　また、個人情報を違法または不当な行為を助長する使い方（たとえば詐欺被害者のリストを提供するなど）をしてはならないという、使い方に関する規制もあらためて明文化されました。

　「3、事業者による自主的な取組を促す仕組みの在り方」は割愛させていただきまして、「4、データ利活用に関する施策の在り方」これがマーケティングに関する分野では一番注目度が高いところだと思います。

　まずひとつめが、「仮名加工情報」について。これは氏名等を削除した「仮名加工情報」であれば、一定の条件はあるものの、開示・利用停止請求への対応などの義務を緩和するというものです。これにより、自社内でデータ利活用できる場面の拡大が見込めます。

　ふたつめが「提供元では個人データに該当しないものの、提供先において個人データとなることが想定される情報」、要するにCookie等の第三者提供に関しての規制ができるというものです。この部分はデジタルマーケティングに非常に関わる部分ですので、後ほど詳しく解説します。

　「5、ペナルティの在り方」「6、法の域外適用・越境移転の在り方」については、ペナルティが重くなったこと、個人情報を扱う外国事業者を罰則の対象にするなど、データの越境規制が増えたということです。