• 事務所概要
  • 企業の皆様へ
  • 個人の皆様
  • 弁護士費用
  • ご利用方法
  • 所属弁護士

弁護士コラム・論文・エッセイ

弁護士コラム・論文・エッセイ

ホーム弁護士コラム・論文・エッセイ田中弁護士著作 一覧 > 個人情報保護法の改正とポイント(1)
イメージ
弁護士 田中 薫

2022年10月27日

個人情報保護法の改正とポイント(1)

(丸の内中央法律事務所事務所報No.41, 2022.8.1)

【はじめに】

 個人情報の保護に関する法律(以下「個人情報保護法」といいます)はご相談を承ることが多い法律の一つですが、有体物ではない「情報」が対象となっているためにイメージや理解に難しいところがございます。

 そこで、本稿では、僭越ながら、簡単に改正の経緯や改正点の概要をご紹介させて頂きます。その上で、連載形式で、特にご相談の多い事項について解説をさせて頂きたく存じます(連載回数は未定)。

【制定から改正までの経緯】

 個人情報保護法は平成15(2003)年5月に公布され、平成17(2005)年4月に全面施行されました。

 その後、平成27(2015)年9月に改正個人情報保護法(初の改正。以下「平成27年改正」といいます)が公布され、平成29(2017)年5月に全面施行されました。その際に、国際的動向・情報通信技術の進展・新たな産業の創出及び発展の状況等を考慮し、3年毎に個人情報保護制度の見直しを行うことになりました。

 そして、デジタル技術の飛躍的な進展によるビッグデータの収集・分析や、経済・社会活動のグローバル化に伴うデータの国境を越えた流通が増える一方、個人情報に対する意識が高まってきたことを踏まえて、令和2(2020)年6月に改正個人情報保護法が公布され、令和4(2022)年4月1日から全面施行されました(以下「令和2年改正」といいます)。

 また、国の行政機関や独立行政法人、地方公共団体等はそれぞれ個人情報保護法とは異なる別の個人情報に関する法律等が適用されていましたが、令和3年5月に公布された「デジタル社会の形成を図るための関係法律の整備に関する法律」により、それらの法律等が廃止され、令和4(2022)年4月には国の行政機関等について、令和5(2023)年4月には地方公共団体等についても、改正後の個人情報保護法が一元的に適用されることが決まっています。

 このように複数回の改正がなされた他、国の行政機関等や地方公共団体についても個人情報保護法が一元的に適用されることになった結果、条文の位置や条文数が制定当初から大きく変更されており、そのことが難解さに拍車をかけています。

【令和2年改正の概要】

 令和2年改正の概要は以下のとおりです [1] 。

1.個人の権利の在り方
 

⑴ 利用停止・消去等の個人の請求権について、不正取得等の一部の法違反の場合に加えて、個人の権利又は正当な利益が害されるおそれがある場合にも要件を緩和する。

⑵ 保有個人データの開示方法について、原則として書面の交付による方法とされていたが、電磁的記録の提供を含め本人が指示できるようにする。

⑶ 個人データの授受に関する第三者提供記録について、本人が開示請求できるようにする。

⑷ 6ヶ月以内に消去する短期保存データについて、保有個人データに含めることとし、開示、利用停止等の対象とする。

⑸ オプトアウト規定(※)により第三者に提供できる個人データの範囲を限定し、①要配慮個人情報、②不正取得された個人データ、③オプトアウト規定により他の個人情報取扱事業者から提供された個人データについても対象外とする。

(※)本人の求めがあれば事後的に停止することを前提に、提供する個人データの項目等を公表等した上で、本人の同意なく第三者に個人データを提供できる制度。

2.事業者の守るべき責務の在り方
 

⑴  漏えい等が発生し、個人の権利利益を害するおそれがある場合(*)に、委員会への報告及び本人への通知を義務化する。

  (*)4人以上の漏えい等や財産的被害が生じるおそれなどの一定累計に限定

⑵ 違法又は不当な行為を助長する等の不適正な方法により個人情報を利用してはならない旨を明確化する。

3.事業者による自主的な取組を促す仕組みの在り方 

対象事業者と消費者との間に入っている苦情処理を行う等の認定団体制度について、現行制度(※)に加え、企業の特定分野(部門)を対象(特定部門のみの加入)とする団体を認定できるようにする。

(*)現行の認定団体は対象当事者のすべての分野(部門)を対象(企業全体での加入)とする。

4.データ利活用に関する施策の在り方

⑴ イノベーションを促進する観点から、平成27年改正で創設された「匿名加工情報」に加え、氏名等を削除した「仮名加工情報」を新たに創設し、内部分析に限定する等を条件に、開示・利用停止請求への対応等の義務を緩和する。

⑵ 提供元では個人データに該当しないものの、提供先において個人データとなることが想定される個人関連情報(Cookie等)の第三者提供について、本人同意が得られていること等の確認を義務付ける。

5.ペナルティの在り方
 

⑴ 委員会による命令違反・委員会に対する虚偽報告等の法定刑を引き上げる。

 (※)命令違反:6月以下の懲役又は30万円以下の罰金

    →1年以下の懲役又は100万円以下の罰金

    虚偽報告等:30万円以下の罰金

    →50万円以下の罰金

⑵ データベース等不正提供罪、委員会による命令違反の罰金について、法人と個人の資力格差等を勘案して、法人に対しては行為者よりも罰金刑の最高額を引き上げる(法人重科)

 (※)個人と同額の罰金(50万円又は30万円以下の罰金)

    →1億円以下の罰金

6.法の域外適用・越境移転の在り方

⑴ 日本国内にある者に係る個人情報等を取り扱う外国事業者を、罰則によって担保された報告徴収・命令の対象とする。

⑵ 外国にある第三者への個人データの提供時に、移転先事業者における個人情報の取扱いに関する本人への情報提供の充実等を求める。

【個人情報保護法のポイント~個人情報とは~】

 ついで、改正の有無とは関係なく、ご相談が多い分野について解説します。本稿では「個人情報」の該当性を解説します。

1.個人情報

 個人情報とは、生存する個人に関する情報であって、①特定の個人を識別することができるもの及び他の情報と容易に照合することで特定の個人を識別できるもの、又は②個人識別符号が含まれるものをいいます(個人情報保護法第2条第1項参照)。

2.ポイント
 

⑴ 「生存する個人に関する情報」

  「生存する個人に関する情報」ですので、法人や死者の情報は含まれません。ただし、その場合でも生存する個人の情報にも該当する場合には個人情報に当たります。

  例えば、A氏が死亡して相続が発生した場合に、A氏の最後の住所である▲▲は死者であるA氏の個人情報にはなりません。ただし、A氏の子であるB氏が▲▲に同居していた場合には、▲▲はB氏にとっては個人情報になる可能性があります(後記⑵のとおり「住所」が常に個人情報に該当する訳ではありません)。

⑵ 「特定の個人を識別」

   「特定の個人を識別」できる場合とは、社会通念上、一般人の判断力や理解力をもって、生存する具体的な人物と情報との間に同一性を認めるに至ることができること[2]をいいます。

   判断基準としては、以下の①識別性・②特定性を有する場合であれば、「特定の個人を識別」できるとする考え方が有力です[3]。

 

 ① 識別性...ある情報が誰の情報であると分かるか否かは別にして、ある1人の情報が他の人の情報と区別できること。

 ② 特定性...その1人の情報が誰の情報かわかること。

   例えば、氏名は、個々人が別々に名付けられるものですから、識別性があります。

   同姓同名の方もいますが、多くの場面では氏名がわかれば誰のことを指しているかわかりますので、社会通念上、特定性もあると考えます。

   ついで、メールアドレスについてご説明します。例えば、私が「tanaka-kaoru@marunouchichuo.jp」(架空のメールアドレスです)というメールアドレスを使用している場合、氏名と所属事務所名が含まれているため、識別性・特定性があるものとして、個人情報に該当します。他方で、X氏が「abc▲▲@gmail.com」というメールアドレスを使用している場合、識別性があるものの、メールアドレスに氏名や所属が含まれておらず、社会通念上このメールアドレスではX氏のメールアドレスであると特定できず、特定性がないために個人情報には該当しません。

   最後に、「住所」(住居表示)について検討してみますと、複数名が居住している場合には、識別性・特定性を欠くために住所だけで個人情報に該当するとはいえないものと考えますが、その住所に居住している者が1人だけである場合には、住所だけでも識別性・特定性を有するので個人情報に該当するものと考えます。

   幾つか具体例を検討しましたが、個人情報に当たるか否かを判断する際には、「特定の個人を識別」できるか否かが最も難しい問題となります。

   本稿末尾に設問を記載しますので、よろしければご検討されてみてください。

⑶ 「他の情報と容易に照合」

   ある情報だけでは個人を特定することができないが、他の情報と照合することにより個人が識別される場合も個人情報に含まれます。

   例えば、先ほどの「abc▲▲@gmail.com」という単独では個人情報に該当しないメールアドレスであっても、X氏の顧客情報として管理されており、氏名と組み合わせて閲覧や検索ができる状態であれば、X氏のメールアドレスであると特定できますので、個人情報に該当します。

   この場合、「容易に」照合し得るかどうかが判断のポイントになります。

   例えば、「通常の事務や業務における一般的な方法で他の情報と照合可能な状態にあることを意味し、他の事業者に通常の業務では行っていない特別な照会をし、当該他の事業者において、相当な調査をしてはじめて回答が可能になるような場合や、照合のため特別のソフトを購入してインストールする必要がある場合には、「容易に」の要件を満たさないであろう」とされています[4] 。

   事業者内部で考えた場合、金融機関・証券会社や法律事務所内のチャイニーズウォール [5] 等によって照合が容易であると認められない例も存在しうる[6] と思いますが、単に情報の保管場所が部署ごとに分かれている程度では「容易に」照合可能と判断されるものと考えられます。

   したがって、企業が有する生存する個人に関する情報については、たとえその情報単独であれば個人情報に該当しないものであっても、他の情報と照合することによって個人情報に該当する場合が多いと思料しますので、原則として個人情報に該当するものとして対応することが肝要であると考えます。

⑷ 個人識別符号

   個人識別符号とは、その情報だけでも特定の個人を識別できる番号、記号、符号等であり、政令や規則で限定的に列挙されています。

   具体的には以下のものが「個人識別符号」に該当します[7]。

 

 ① 生体情報を変換した符号として、DNA、顔、虹彩、声紋、歩行の態様、手指の静脈、指紋・掌紋等

 ② 公的な番号として、パスポート番号、基礎年金番号、免許証番号、住民票コート、マイナンバー、保険証番号等

3.個人情報判断のためのフローチャート

 紙幅の関係で少し見づらいところがございますが、個人情報判断のためのフローチャートを示すと、以下のようになります。

  生存する個人に関する情報か→個人情報ではない

       ↓Yes      No

  個人識別符号が含まれるか →個人情報となる

       ↓No      Yes

  特定の個人を識別できるか →個人情報となる

       ↓No      Yes

  他の情報と容易に照合可能か→個人情報ではない

       ↓Yes      No

  特定の個人を識別できるか →個人情報ではない

       ↓Yes      No

  個人情報となる

4.設問

 それでは、以下に挙げる情報が個人情報に該当するか否かについては、いかがでしょうか。

 回答につきましては、次回の連載時か、別途弊所ホームページにて申し上げる予定ですが、待ちきれない方につきましては、弊所弁護士にお尋ねください。

 ① クレジットカード番号・電話番号

 ② 役職名・病歴

以 上

 *以下の点についてご注意下さい。

 本稿は、筆者独自の見解であり、本記事内に記載された情報の利用について当事務所が責任を負うものではありません。



 

[1]  個人情報保護委員会ウェブサイト (https://www.ppc.go.jp/files/pdf/200612_gaiyou.pdf)から引用し、一部加筆した。

 

[2] 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン に関するQ&A」(https://www.ppc.go.jp/personalinfo/faq/APPI_QA/)のA1-1。なお、宇賀克也「新・個人情報保護法の逐条解説」60頁(有斐閣、2021年)も参照。

 

[3] 石井夏生利・曽我部真裕・森亮二編「個人情報保護法コンメンタール」15頁(勁草書房、2021年)

 

[4] 宇賀・前掲注2・64頁

 

[5] 日本証券業協会(https://www.jsda.or.jp/about/jishukisei/words/0182.html)によれば、チャイニーズウォールとは「企業の非公開情報を知り得る立場にいる引受部門等と、投資家に銘柄選定のアドバイスをする営業部門等の間に情報の壁をつくるため、両部門を異なる場所に離したり、管理体制を徹底するなどの物理的な隔壁のこと。」とされている。一般企業・法律事務所においても、非公開情報を知り得る部門とそれ以外の部門との間における情報隔壁をチャイニーズウォールと呼称することもある。

 

[6]  照合が容易でない場合の例を挙げるものとして、三宅弘・小町谷育子「個人情報保護法の法律相談」80頁参照(2017年、青林書院)

 

[7]  個人情報保護委員会「民間事業者向け 個人情報保護法ハンドブック(https://www.ppc.go.jp/files/pdf/APPI_handbook_for_company2022.pdf)3頁から引用。

ページトップ