個人情報保護法が変わる
これは重要なお話。
日本の個人情報に関する決まりは、「個人情報保護法」で制定されているのは誰しも承知している話だとは思いますが、施行内容が2022年4月(令和4年4月)から大幅に変わります。
具体的には二本柱です。
①令和2年改正→2020年4月に改正。施行は2022年4月からとなる。
②令和3年改正→2021年5月に改正。施行は1年以内とされている。
大きな変更が①の方に含まれていますが、この際①も②も両方踏まえておけば、時代の変化についていけます。
今回の変更に関しては国民にもあまり周知がされておらず、IT業界に属していてもあまり話題になっていないので、ここでまとめておきたいと思います。
要点をまとめた良い資料
法令の変更を原文で読んでもなかなかわかりにくいので、よくまとまっている資料をご紹介します。
こちらの「資料3-2 個人情報保護法 令和2年改正及び令和3年改正案について」という資料がとてもとても学習に最適な資料となっています。
この資料、「個人情報保護委員会(PPC)」自体が作った資料ですから当然ですね。
さらにこの資料から、重要なポイントをまとめていきます。
令和2年改正まとめ
1. 個人の権利の在り方
・利用停止・消去を利用企業に請求できる権利が拡充される。法違反の場合に加え、個人の権利や利益が害されるときにも可能になる。
・これまで書面での開示だったが、個人が、デジタルでの開示を利用企業に指示することも可能になる。
・第三者に提供したかどうかを、個人が開示請求できるようになる。
・6カ月以内に消去するデータも、個人データに含めることにする。
・オプトアウト規制の強化。これは分かりにくいので下記をご紹介します。つまり、第三者に個人データを使わせることに対して規制を強くしたということです。
⑤ オプトアウト規制の強化
2019年4月に、個人情報保護委員会がオプトアウト届出事業者に対して、実態調査を行ったところ、本人が提供した覚えのない形で名簿が商品として流通していること等が判明しました。この結果等を踏まえ、オプトアウト規定(※本人の求めがあれば事後的に停止することを前提に、提供する個人データの項目等を公表等した上で、本人の同意なく第三者に個人データを提供できる制度)により第三者に提供できる個人データの範囲を限定することとしました。
2. 事業者の守るべき責務の在り方
① 漏えい等報告の義務化
漏えい等が発生し、個人の権利利益を害するおそれが大きい場合に、委員会への報告及び本人への通知を義務化する。
⇒これまでは義務ではなかった。
② 不適正な方法による利用の禁止
違法又は不当な行為を助長する等の不適正な方法により個人情報を利用してはならない旨を明確化する。
⇒何が不適正なの?という問いに対して下記の例が挙げられています。
・ 違法行為を営む第三者に個人情報を提供すること。
・ 裁判所による公告等により散在的に公開されている個人情報について、差別が誘発されるおそれがあることが十分に予見できるにもかかわらず、それを集約してデータベース化し、インターネット上で公開すること。
3.事業者による自主的な取組を促す仕組みの在り方
○ 認定個人情報保護団体の充実
認定団体制度について、個人情報を用いた業務実態の多様化やIT技術の進展を踏まえ、企業の特定分野(部門)を対象とする団体を認定できるようにする。
4.データ利活用の在り方
① データ利活用に関する施策の在り方
イノベーションを促進する観点から、氏名等を削除した「仮名加工情報」を創設し、内部分析に限定する等を条件に、開示・利用停止請求への対応等の義務を緩和する。
⇒ここ、すごく重要です。テストに出ます。3つの区分をおぼえましょう。
・個人情報
・仮名加工情報(新設)
・匿名加工情報
これらは、下記の扱いとなるそうです。
⇒これまでは個人情報と、「本人が一切わからないよう加工した」匿名加工情報の、二択でした。この中間が生まれたのです。
「他の情報と照合すれば本人とわかる」というのがポイントです。
そして、「漏えい等報告等」に×がある通り、報告義務がないというのもポイントです。完全に匿名化してしまうとデータ分析に使えず、一方で個人情報の形で使うと扱いが難しくなる。この中間の存在である「仮名加工情報」を生み出すことにより、データの活用を活発にする反面、制限するところはしておこうという内容のように読めます。また、匿名加工情報と違って、第三者提供も原則禁止されています。
② 個人関連情報の第三者提供規制
提供元では個人データに該当しないものの、提供先において個人データとなることが想定される情報の第三者提供について、本人同意が得られていること等の確認を義務付ける。
⇒ひどい話ですが、たくさんのデータを集める会社があって、その会社では個人まで特定できない。それぞれデータはID番号で管理しているから。でもそのデータを別の会社に転売。そこではID番号と個人名を紐づける表を持っていて、個人を特定できる。そんなやり口が横行しているそうです。
今後は、最終的に利用する場合に個人データとなるのであれば、収集時に本人の同意が必要になるとのことです。
5.ペナルティの在り方
① 法定刑の引き上げ等
・委員会による命令違反・委員会に対する虚偽報告等の法定刑を引き上げる。
・命令違反等の罰金について、法人と個人の資力格差等を勘案して、法人に対しては行為者よりも罰金刑の最高額を引き上げる(法人重科)。
⇒下記の通りです。特に罰金については法人で1億円以下まで引き上げられていて、なかなか重たい科料となっています。
6.法の域外適用・越境移転の在り方
① 域外適用の強化
日本国内にある者に対する物品又は役務の提供に関連して個人情報等を取り扱う外国事業者を、罰則によって担保された報告徴収・命令の対象とする。
⇒日本でビジネスをするなら、外国事業者であっても日本企業と同様に取り締まるよ、ということです。
② 越境移転に係る情報提供の充実
外国にある第三者への個人データの提供時に、移転先事業者における個人情報の取扱いに関する本人への情報提供の充実等を求める。
⇒同意したから自由だよねではなく、同意する際にどこの国に移転するかもしれないということを本人の情報提供すること。
⇒移転先事業者の取り扱いを定期的に確認すること。本人にも求めに応じ情報提供すること。
令和3年改正まとめ
① 個人情報保護法、行政機関個人情報保護法、独立行政法人等個人情報保護法の3本の法律を1本の法律に統合するとともに、地方公共団体の個人情報保護制度についても統合後の法律において全国的な共通ルールを規定し、全体の所管を個人情報保護委員会に一元化。
② 医療分野・学術分野の規制を統一するため、国公立の病院、大学等には原則として民間の病院、大学等と同等の規律を適用。
③ 学術研究分野を含めたGDPRの十分性認定への対応を目指し、学術研究に係る適用除外規定について、一律の適用除外ではなく、義務ごとの例外規定として精緻化。
④ 個人情報の定義等を国・民間・地方で統一するとともに、行政機関等での匿名加工情報の取扱いに関する規律を明確化。
⇒下記の絵がわかりやすいでしょう。行政機関や学術機関については、これまで縦割りで法律が分かれていて、何やらわからなくなっていたので、とにかく統一できるものは一つにする、と言う考え方が貫かれています。
⇒また、学術研究はこれまで何がなんでも適用除外だったものが、何が除外されるのか細かく書かれました。学術研究の自由を守りながらも、安全面を強調しているように見えます。
全体まとめ
これらの変更を読めば読むほど、ここ最近でネットを騒がせたいろいろなニュースが反映されていると思いませんか。データの外国企業への移転や利用、法のすり抜け、本人が認識していない形でのデータ利用・・、それらに対応しつつ、仮名加工情報なる概念を生み出し、企業のデータ活用自体はむしろポジティブに整備しています。制限でがんじがらめにすると経済活動が委縮してしまうので、バランスを取っているように見えます。
昨今のDXにおいては、データを利用しないシーンはほぼありませんので、今回の変更はよく理解しておくべきでしょう。
※補記
今回引用した図は、
「資料3-2 個人情報保護法 令和2年改正及び令和3年改正案について(個人情報保護委員会作成)」
を利用しています。