弁護士(大阪弁護士会)
弁護士法人 英知法律事務所(代表 岡村久道弁護士)に所属
村田 充章 氏
弁護士。同志社大卒。2018年、弁護士登録(大阪弁護士会)。同年、弁護士法人英知法律事務所へ入所し、現在、同事務所パートナー弁護士。取り扱い分野は、民事・商事法務一般のほか、特に、個人情報保護法務、保険法務(火災新種保険)、契約法務、M&A法務、労働法関連法務等を中心的に取り扱っている。
平成15年に成立した個人情報保護法は、平成27年改正個人情報保護法に設けられたいわゆる「3年ごと見直し」に関する規定に基づき、令和2年の改正、続いて令和3年の改正が行われました。
令和2年改正は、1個人の権利利益の保護と活用の強化、2越境データの流通増大に伴う新たなリスクへの対応、3AI・ビッグデータ時代への対応等の要請に基づき行われ、民間部門における個人情報の具体的な取り扱いに係る規制を見直したものです。同改正は、一部規定を除き、令和4年4月1日から施行されます。
令和3年改正は、官民通じた個人情報保護と活用の強化等の要請に基づき行われ、個人情報の取り扱いにつきこれまで別々の法規制がなされていた民間部門と公的部門の規制を統一化するといった法規制の枠組みに関する改正です。同改正は、デジタル社会形成整備法第50条による改正に係る部分(国・独立行政法人等・学術研究関係)につき、令和4年4月1日に施行されます。
本稿においては、民間部門における個人情報の取り扱いに係る令和2年改正を取り上げることとし、以下では、改正内容の全体像を概観した後、個人情報取扱事業者における情報システム部門が特に押さえておくべきポイントを説明します。
令和2年改正においては、上記のような要請に基づき多岐にわたる改正がなされていますが、個人情報保護委員会(以下、「委員会」と言います)は、以下の6つの視点から改正事項を整理しています。
そこで、本稿においても、上記の整理に沿って、各改正事項について説明していきます。
改正内容を説明する前提として、個人情報保護法は、「個人情報」「個人データ」「保有個人データ」の3つのレベルを設け、それぞれのレベルにおいて義務を課す構成となっていますので、三者の意味と関係性について簡単に説明します。
「個人情報」とは、生存する個人に関する情報で、当該情報単体またはほかの情報と容易に照合できることで、特定の個人を識別可能なものをいいます。電話帳記載の氏名や電話番号などは、公開されている情報であっても個人情報に該当し、いわゆるプライバシー情報とは異なります。「個人データ」とは、個人情報のうち、情報の検索ができるように体系化されたデータベース等を構成する個々の情報です。「保有個人データ」とは、個人データのうち、当該事業者が内容の訂正等を行う権限を有する情報です。個人データの管理を委託されただけの事業者は、このような権限を持っていないため、そのような事業者にとっては、個人データではあっても保有個人データではないということになります。
そうすると、「個人情報」の一部として「個人データ」があり、その「個人データ」の一部として「保有個人データ」があるという関係性にあります。事業者にとっては、まず「個人情報」の取り扱いに係る義務(適正な取得等)が課せられ、その個人情報が「個人データ」レベルの情報である場合には、さらに「個人データ」の取り扱いに係る義務(第三者提供の制限、安全管理措置等)が加重され、「保有個人データ」レベルの情報である場合には、さらに「保有個人データ」の取り扱いに係る義務(利用停止義務等)が加重されることになります。以上を前提として、改正事項を説明します。
従来、個人データの漏えい等が発生した場合、委員会への報告や本人への通知は努力義務とされていましたが、令和2年改正において、「重大な漏えい事故」が発生した場合には報告が義務化されました。
「重大な漏えい事故」とは、以下の場合を言います。
1~3は、漏えいした本人数の限定がなく、たとえ1人分の情報漏えいであっても報告義務が課されていることに注意が必要です。4は、漏えいが発覚した時点では1,000人未満であっても、事後に1,000人を超えると判明した場合にはその時点で報告義務が生じます(報告義務の具体的内容は後述します)。
委員会への虚偽報告、委員会からの命令への違反については、以前から懲役刑および罰金刑が定められていましたが、後述のとおり、令和2年改正において、より重い罰金刑が課されていますので注意が必要です。
従来、個人情報の取り扱いに関しては、不適正な「取得」が禁止されていましたが、令和2年改正においては、これに加え、不適正な「利用」の禁止も明確化されました。例えば、1違法な行為を営むことが疑われる事業者(例えば、貸金業登録を行っていないいわゆる闇金業者)からの突然の接触による本人の平穏な生活を送る権利の侵害等、当該事業者の違法な行為を助長する恐れが想定されるにもかかわらず、当該事業者に当該本人の個人情報を提供する場合、2官報に掲載される破産者情報を、当該破産者に対する違法な差別が不特定多数の者によって誘発される恐れがあることが予見できるにもかかわらず、それを集約してデータベース化し、インターネット上で公開する場合などが考えられます。
違反した場合、委員会による処分があるほか、本人は利用停止等の請求ができます。
従来、事業者が取り扱う保有個人データが、当初決められた目的以外の目的で利用されている場合や不正取得された場合、本人は、自らの個人情報の利用停止・消去を請求できました。また、当該個人情報の第三者提供に関し、法令に反し本人の同意なく第三者に提供された場合に、その停止を請求できました。
令和2年改正においては、これらの場合に加えて、以下の場合にも利用停止、消去、第三者提供の停止が請求できるようになりました。
3の具体例としては、DM(ダイレクトメール)の送付を受けた本人が、事業者に対しDM送付の停止を求めたにもかかわらず、当該事業者がDMを繰り返し送付していることから、本人が個人データの利用停止等を請求する場合が考えられます。
従来、端末のログデータや音声通話記録など、取得から6か月以内に消去されることが想定される情報(短期保有データ)は、「保有個人データ」に該当しないとされており、保有個人データの取り扱いに係る義務(利用停止義務等)は課されていませんでした。例えば、アクセス日時やアクセス者の氏名が記録されているログデータであっても3か月で自動消去される仕様になっている場合、個人データの取り扱いに係る義務は課されるものの、保有個人データに係る義務は課されていませんでした。
しかし、このような短期保有データであっても保有している間は、本人による利用停止請求等を認めるべき場合があることから、令和2年改正においては、このような短期保有データも「保有個人データ」に含めて保護することとし、本人による利用停止請求等の対象となりました。ただし、すでに消去してしまったものは利用停止請求等の対象となりませんので、実務では、不要となった個人データは、その時点で速やかに消去することが大切です。
上記のほか、保有個人データの開示方法について、従来、原則として書面による開示がなされていましたが、令和2年改正においては、電磁的記録の提供を含め、本人が選択できるようになりました。保有個人データ利用に係る本人の利便性向上の観点から、可読性・検索性のある形式による提供やほかの事業者へ移行可能な形式による提供を含め、できる限り本人の要望に沿った形で対応することが望ましいとの趣旨です。
また、本人は、保有個人データの授受に関する「第三者提供記録」についても開示を請求することができるようになりました。これによって、本人は、自分の保有個人データに関する第三者提供の状況を知ることができるようになりました。
さらに、オプトアウト方式により第三者提供できる個人データの範囲が限定され、以下のデータについては、オプトアウト方式による第三者提供はできなくなりました。
平成27年改正において、ビッグデータの利活用推進を目的として、匿名加工情報制度が新設されましたが、加工基準の複雑性等の理由から十分に普及が進んでいませんでした。
そこで、情報の内部(社内)分析によってイノベーションをより促進させるという場面にスポットを当て、情報漏えいリスクに対する一定の安全性を確保しつつ(匿名化等)、より簡便な加工方法によって情報の内部分析を実施し得るものとして、仮名加工情報制度が新設されました。
匿名加工情報と仮名加工情報との相違点について、前者は、加工前の本人識別性を復元することができないように加工されたものであるのに対し、後者は、ほかの情報と照合するなどすれば加工前の本人識別性を復元できる程度の加工がなされたものです(ただし、復元のためにほかの情報と照合すること自体は法律で禁止されています)。
そして、当該加工を行った事業者が、手元の対照表等と容易に照合できることで本人識別性が復元可能な「状態」にある場合、当該仮名加工情報は個人情報に該当することになりますが、上記の制度目的から、個人情報に対する一般的規制よりも緩やかな規制に服します。すなわち、個人情報を取得後に柔軟に分析対象とできるように仮名加工情報の利用目的を比較的広い範囲で取得後に変更可能であること(ただし、変更後の目的を公表することが必要です)、漏えい等が起こった場合に委員会への報告義務が課されていないこと、本人からの利用停止請求等の対象にならないことなどです。他方、仮名加工情報は、「内部」での利用が想定されているため、匿名加工情報と異なり、第三者提供は基本的に禁止されています。
本来、個人データを第三者に提供する場合、提供元において本人を識別できない情報であれば、そもそも個人情報にすら該当しないため、第三者提供に際しての本人の同意は不要となります。
しかしながら、提供先が保有する別の情報と照合して本人を識別することができる場合でも一切本人の同意が不要となると、本人へ同意を要求した法の趣旨を没却することになります。
そこで、令和2年改正では、提供先において、提供を受けた情報(個人関連情報)を自ら保有する情報と照合等するなどして個人データとして取得することが想定されるときは、一定の場合を除き、提供元は、あらかじめ当該個人関連情報に係る本人の同意が得られていることを確認する義務を負うとしました。「個人データとして取得することが想定される」とは、提供先が個人関連情報を個人データとして取得することを提供元に事前に説明しているような場合のほか、提供先において個人関連情報を氏名等と紐づけて利用することを念頭に、そのために用いるID等も併せて提供する場合など、一般人の認識を基準として、個人データとして取得することを通常想定できる場合も含みます。ちなみに、提供元と提供先との契約等において、提供先が、当該個人関連情報を個人データとして利用しない旨が定められている場合には、通常、個人データとして取得することが想定されないといえます。そのため、実務的には、提供元において上記確認義務を負担したくない場合、契約書にそのことを規定しておくことが重要になります。
本人の同意を取得すべき主体は、本人と接点を持ち情報を利用する主体となる提供先ですが、本人の権利利益の保護が図られることを前提に、提供元が代行することも認められています。
従来、本人からの苦情処理等に対応する認定個人情報保護団体は、対象事業者のすべての分野(部門)に係る苦情処理等を行うこととされていました。
しかしながら、個人情報取扱事業者等における業務実態の多様化やIT技術の進展に伴い、民間団体が特定分野における個人データの取り扱いに関するルールを運用していくことの重要性が増してきました。
こうした実態を踏まえ、令和2年改正法において、対象事業者の特定の分野に対する苦情処理等を行う認定個人情報保護団体の設立が認められました。例えば、A社、B社、C社の各広報部門のみに係る個人情報の取り扱いについてのみ苦情処理等を行う認定個人情報保護団体も設立できるようになりました。
従来、委員会による命令違反、委員会に対する虚偽報告等の場合には罰金刑・懲役刑が定められていましたが、令和2年改正においては、法定刑が引き上げられました。特に、法人である個人情報取扱事業者が委員会の命令に違反した場合、罰金刑の上限が30万円から1億円に引き上げられました。
また、従業員等が不正な利益を図る目的で個人情報データベース等を提供し、または盗用した場合には、個人情報データベース等の不正提供罪に問われますが、こちらも、法人については、罰金刑の上限額が50万円から1億円に引き上げられました。
令和2年改正によって、日本国内にある者に係る個人情報等を取り扱う外国事業者が、罰則によって担保された報告徴収・命令の対象とされました。
また、外国にある第三者へ個人データの提供に際し本人の同意を得る場合、当該国の名称や当該国における個人情報保護制度の有無等について、本人に対する情報提供を行うべきことになりました。
上記のような令和2年改正を踏まえ、情報システム部門として特に押さえておくべき事項に焦点を当て、すでに施行されている法規制も含め、説明したいと思います。
情報システム部門の所管業務として、例えば、モニタリングを目的として、社員が使用する端末の操作ログデータやアクセスログデータの取得・管理が考えられます。これらのログデータ単体あるいはほかの情報と容易に照合できることで本人を識別可能な場合には、当該ログデータは個人情報に該当し得ます。例えば、ログデータには、アクセス者の氏名ではなくアクセスした端末管理番号のみが記録されていても、それとは別の社内資料として端末管理番号とその使用者が整理されているデータがあり、それと容易に照合できることで端末使用者が特定可能な場合には、当該ログデータは個人情報に該当します。その場合、ログデータの取得に際しては、1ログデータの利用目的を特定した上、2社内の情報管理規程を策定して、社員に明示しておくこと、3取得の実施責任者とその権限を決め、規程等において定められた取得方法や取得範囲に従ってログデータを取得し、また、利用すること、並行して、4そのような運用が遵守されているかを確認することが大切です。
さらに、ログデータが検索可能なようにデータベース化されているような場合は、当該ログデータは個人データにも該当しますが、その場合、当該ログデータの管理について法が求める安全管理措置を講じておく必要があります。具体的には、1組織的安全管理措置(管理体制の整備、取扱規程の策定等)、2人的安全管理措置(担当者の教育等)、3物理的安全管理措置(個人データを取り扱う区域の管理、電子媒体の持ち出し禁止等)、4技術的安全管理措置(個人データへのアクセス制御等)です。このような安全管理措置は、企業にとって、漏えいを未然に防ぐため特に重要な対応事項となっています。
また上記のとおり、令和2年改正により、短期保有データであっても保有個人データに該当することとなり、本人による利用停止請求等の対象となりますので、ログデータの利用目的が達成された場合には、速やかに当該ログデータを消去することが求められます。
上記のとおり、令和2年改正により、個人データの「重大な漏えい事案」については、委員会への報告、本人への通知が義務化されました。
以下、委員会への報告義務、本人への通知義務の具体的内容について、少し詳しく見ていきます。
まず報告義務の主体は、当該個人データを取り扱う個人情報取扱事業者です。もし個人データの取り扱いを委託している場合には、委託元と委託先の双方が個人データを取り扱っていることになるため、原則として委託元と委託先の双方が報告義務を負います。この場合、委託元および委託先の連名で報告することができます。ただし、委託先が、委託元に漏えい等が発生したことを通知したときには、委託先は報告義務を免除されますので、委託元からの報告に一本化されることになります。
次に報告方法につき、報告時期は2段階に分けられています。まず漏えい等を知ったときからおおむね3~5日以内に、委員会へ「速報」を上げる必要があります(委員会のWebサイトの報告フォームを利用)。以下の報告事項のうち、その時点において把握している事項でまずは足ります。
「漏えい等を知ったとき」とは、当該事業者が法人である場合には、いずれかの部署が漏えい等を知った時点が基準となります。その後、当該事業者は、漏えい等を知ったときから30日以内(ただし、不正アクセスのような故意によるものは60日以内)に、上記9項目すべてについて委員会へ報告しなければなりません(「確報」)。
本人への通知方法は、委員会への報告とは少し異なります。通知時期は、「当該事態の状況に応じて速やかに」とされており、例えば、事案がほとんど判明していないため即時に本人に通知するとかえって混乱を招くような場合等、本人の権利保護も勘案して適切な通知時期に通知する必要があります。
また、報告事項も、上記9項目のうち1、2、4、5、9に限定されています。
最後に、本人の連絡先が不明であって本人に直接通知できないような場合、事業者のWebサイト上に問い合わせ窓口を設置して本人が自らの個人データが漏えい対象となっているか否かを確認できるようにする等の代替措置を採ることによって通知義務を果たすことになります。
以上、令和2年改正の内容を概観し、特に、情報システム管理部門の視点での注意点について説明しました。
現在は、情報通信技術が発達し、多量の情報を容易に集積し拡散できる時代となりました。そのため、いったん漏えいが発生した場合、企業にとって重大な損害を与えかねません。企業としては、日ごろから、社員による個人情報の取り扱いについて正確に状況を把握し、それに基づいて適切な管理を実施することが求められます。情報を正確に収集管理するデジタルな手段と、個々の社員教育等のアナログ的な手段とをうまく調和させ、個人情報を正しく利活用することによって、より創造的な企業活動が実現できるのではないかと思います。
以上
(「SKYSEA Client View NEWS vol.82」 2022年1月掲載)