第23回 令和2年改正個人情報保護法について(2)
令和2年6月に個人情報保護法の改正法(「令和2年改正法」)が成立・公布され、関連する政令・規則・ガイドライン等の改正がなされました(全面施行日は令和4年4月1日。改正項目のうち罰則の引上げは令和2年12月12日に施行済み。)
令和2年改正法の改正項目は、非常に多岐にわたりますが、以下では主な改正点につき概要を説明致します。なお、本稿では令和3年改正法には触れません。
3. 第三者提供規制の強化
⑴ オプトアウト規制の強化
ア 適用対象の限定
要配慮個人情報に加え、次の個人データがオプトアウト方式による第三者提供の対象から除外されます。
① 偽りその他不正の手段により取得されたもの
② 他の個人情報取扱事業者からオプトアウト方式により提供されたもの(その全部又は一部を複製し、又は加工したものを含む。)
イ 通知・公表及び届出事項の追加
あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出ることが必要な事項として、次のものが追加されます。
① 第三者提供を行う個人情報取扱事業者の氏名又は名称、住所、及び法人の場合には代表者の氏名(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人)
② 第三者に提供される個人データの取得の方法
③ 第三者に提供される個人データの更新の方法
④ 当該届出に係る個人データの第三者への提供を開始する予定日
⑵ 共同利用における開示事項の変更
あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くことが必要な事項として、次のものが追加されます。
これは、細かい改正ですが、「個人情報保護法に基づく公表事項」の変更が必要となる事業者は少なくないと思われます。
① 当該個人データの管理について責任を有する者の住所
② 上記の者が法人の場合、その代表者の氏名
なお、共同利用の変更を行う場合に、あらかじめ又は遅滞なく通知・公表することが必要な事項についても追加的な変更があります。
⑶ 越境データ移転規制の強化
ア 本人同意の取得時の情報提供の充実
個人上保護法上の「外国にある第三者」に個人データを提供するにあたって、当該提供につき本人の事前の同意を得ようとする場合、あらかじめ、以下の情報を本人に提供することが必要となります。
① 当該外国の名称
② 適切かつ合理的な方法により得られた当該外国における個人情報の保護に関する制度に関する情報
③ 当該第三者が講ずる個人情報の保護のための措置に関する情報
イ 基準適合体制を整備する外国第三者への提供に係る規制強化
個人上保護法上の「外国にある第三者」に個人データを提供するにあたって、個人情報取扱事業者が講ずべき措置に相当する措置を継続的に講ずるために必要な体制の基準に適合する体制が提供先において整備されていることを適法性の根拠とする場合、個人データの提供後、提供元において、以下の措置(「必要な措置」)を講じ、かつ本人の求めに応じて「必要な措置」に関する情報を本人に提供することが必要となります。
① 当該第三者による相当措置の実施状況並びに当該相当措置の実施に影響を及ぼすおそれのある当該外国の制度の有無及びその内容を、適切かつ合理的な方法により、定期的(年に1回か又はそれ以上の頻度)に確認すること
②当該第三者による相当措置の実施に支障が生じたときは、必要かつ適切な措置を講ずるとともに、当該相当措置の継続的な実施の確保が困難となったときは、個人データの当該第三者への提供を停止すること
⑷ 個人関連情報の第三者提供規制の創設
提供元では容易照合性が認められず個人データに該当しない情報を第三者に提供する場合であっても、提供先では容易照合性が認められ個人データとなることが想定されるときは、個人データの第三者提供(越境データ移転を含む。)に準じる規制が課されることになります。
具体的には、下記アの定義に基づき、後記イの規制が課されます。
ア 定義
① 個人関連情報
生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないもの。
なお、「個人に関する情報」は、ある個人の身体、財産、職種、肩書等の属性に関して、事実、判断、評価を表す全ての情報を意味します。特定の個人との対応関係が排斥される限り統計情報は「個人に関する情報」に該当しません。
② 個人関連情報データベース等
個人関連情報を含む情報の集合物であって、これに含まれる個人関連情報を一定の規則に従って整理することにより特定の個人関連情報を容易に検索することができるように体系的に構成した情報の集合物であって、目次、索引その他検索を容易にするためのものを有するもの。
③ 個人関連情報取扱事業者
個人関連情報データベース等を事業の用に供している者。
但し、国の機関、地方公共団体、独立行政法人等の保有する個人情報の保護に関する法律で定める独立行政法人等、地方独立行政法人法で定める地方独立行政法人は除く。
イ 規制内容
個人関連情報取扱事業者は、第三者が個人関連情報(個人関連情報データベース等を構成するものに限る。)を個人データとして取得することが想定されるときは、当該個人関連情報を当該第三者に提供するにあたって、原則として、あらかじめ下記事項を確認し、その記録を作成することが義務付けられます。
① 当該第三者が個人関連情報取扱事業者から個人関連情報の提供を受けて本人が識別される個人データとして取得することを認める旨の当該本人の同意が得られていること
② 個人上保護法上の「外国にある第三者」への提供の場合には、上記①の本人の同意取得時に、あらかじめ、前記⑶ア①~③の情報が当該本人に提供されていること
なお、基準適合体制を整備する外国第三者への提供の場合には、上記情報提供の確認は不要ですが、前記⑶イの「必要な措置」(個人データは個人関連情報に読み替える。)を講じ、かつ本人の求めに応じて「必要な措置」に関する情報を本人に提供することが必要となります。
提供先の第三者は、個人データの第三者提供を受けた場合と同様に確認・履行義務を履践する必要がありますが、個人データの第三者提供の場合と異なる記録事項が定められています。
~(3)へ続く~
*本記事は、法律に関連する一般的な情報を提供するものであり、専門的な法的助言を提供するものではありません。また、実際の法律の適用およびその影響については、特定の事実関係によって大きく異なる可能性があります。具体的な法律問題についての法的助言をご希望される方は当事務所にご相談下さい。
執筆者
