改正内容は多岐にわたっていますが、本コラムでは、その概要を紹介します。今後、改正法の施行までの間に、政令、規則、ガイドライン、Q&Aなどの改正・更新も予想されますので、それらも踏まえて、改正への対応を行なう必要があります。
「保有個人データ」に関連する改正
現行法では、事業者が保有する個人データ(検索可能な状態である個人情報)は、6か月以内に消去されるものなどを除いて、「保有個人データ」と呼ばれ、本人が、事業者に対し、開示・訂正・利用停止等を請求できる場合があります。改正法では、保有個人データに関連して、以下のとおり改正されますので、プライバシーポリシーの該当箇所も、改正法に沿った内容へ見直す必要があります。
・保有個人データの範囲
6か月以内に消去される個人データも、保有個人データに含まれることになり、開示・訂正・利用停止等の請求の対象となります。・開示の方法
事業者からの開示の方法は、現行法では、書面の交付による方法とされていますが、改正法では、電子データの提供による方法を含め、本人が開示の方法を指定できることとなります。・利用停止等の請求
利用停止等の請求が可能な場合として、目的外利用があった場合、不正な手段により取得された場合に加えて、「本人の権利または正当な利益が害されるおそれがある場合」などが追加されます。事業者としては、より柔軟に、利用停止等の請求に応じていくことも考えられます。
・公表事項
個人情報保護法では、保有個人データに関して、一定の事項を公表することが定められており、多くの事業者は、それらをプライバシーポリシーという形で公表しています。改正法には含まれていない点ですが、個人情報保護委員会が改正に先立ち、2019年12月13日に公開した改正大綱には、「個人情報の取扱体制や講じている措置の内容」「保有個人データの処理の方法」などを公表事項として政令で追加することが記載されていますので、政令の改正の際に追加されることが予想されます。
・個人情報保護委員会「個人情報保護法 いわゆる3年ごと見直し 制度改正大綱」
https://www.ppc.go.jp/files/pdf/seidokaiseitaiko.pdf
第三者提供に関連する改正
・提供先において個人データとなる個人関連情報
個人情報保護法では、本人の同意なく個人データを第三者に提供することは、一定の例外を除き、制限されています。特定の個人を識別できる情報(容易に照合できる他の情報と照合することにより識別できる場合を含みます)であることが個人データであることの前提となりますが、個人データの第三者提供に該当するのは、提供元において特定の個人を識別できる場合であると解されています。
改正法では、パブリックDMP(データマネジメントプラットフォーム)と呼ばれるサービスを念頭に、提供元では特定の個人を識別できない(個人データの第三者提供には該当しない)ものの、提供先では特定の個人を識別できることが想定される個人関連情報の第三者提供に際して、提供先が本人の同意を得ていることについて、提供元による確認が義務化されます。
DMPとは、インターネット上のユーザーデータの収集・蓄積・統合・分析を行うプラットフォーム(基盤)のことを指し、パブリックDMPとは、そのうち、DMPを運営する事業者が様々な事業者からユーザーデータを収集し、それらにIDを付して統合・分析したうえで、外部に提供されるものを指します。
・第三者提供記録の開示請求
個人情報保護法では、個人データを第三者に提供する際には、一定の場合(委託にともなう個人データの提供など)を除き、提供元および提供先において、記録の作成が必要となります。改正法では、このような第三者提供記録について、本人からの開示請求が認められます。事業者としては、第三者提供記録が漏れなく作成されているか、確認しておく必要があります。
・外国の第三者への提供時の本人への情報提供
個人情報保護法では、個人データを外国の第三者に提供するには、原則として、本人の同意が必要となります。改正法では、このような同意を得る際に、提供先における個人情報の取扱いに関する情報を本人へ提供することが求められます。
不適正な利用の禁止
違法または不当な行為を助長するなどの個人情報の不適正な利用の禁止が明文化されます。これは、「破産者マップ事件」(官報の自己破産者の情報をデータベース化し、インターネットの地図上で公開したことが問題となった事件)などを念頭に置いた改正であるとされています。具体的な内容は、今後、ガイドラインなどによって明らかになる見通しです。
仮名加工情報の新設
「仮名加工情報」(氏名を削除するなど、他の情報と照合しない限り特定の個人を識別できないように加工した、個人に関する情報)という概念が新設されます。仮名加工情報は、外部への連絡に利用してはならないなどの制限がある反面、開示・訂正・利用停止等の請求の対象からは除外されますので、データの利活用の場面で利用することも考えられます。
漏えい等発生時の報告・本人への通知義務
一定以上の個人データの漏えい等が発生した場合に、個人情報保護委員会への報告および本人への通知が義務化されます。改正の概要については、個人情報保護委員会が作成した、以下の概要資料も参考になります。
・個人情報の保護に関する法律等の一部を改正する法律(概要)
https://www.ppc.go.jp/files/pdf/200612_gaiyou.pdf