[このページについてのご意見、お問い合わせなどはメールにて webmaster@shodanren.gr.jp までお送りください。]

全国消団連・トップページへ戻る


【開催報告】1月21日 令和2年改正 個人情報保護法についての学習会

 個人情報保護法は、個人情報の適正な取扱いに関し、個人情報の有用性に配慮しつつ個人の権利利益を保護するための法律です。平成27年(2015年)の改正時、施行後3年ごとに見直す規定が盛り込まれ、令和2年(2020年)に法改正が行われました。

 この令和2年改正個人情報保護法においては、事業者が保有する個人データに対する本人の利用停止・消去等の請求権の拡充や、個人の権利利益を害するおそれが大きい漏えい等が発生した場合における、個人情報保護委員会への報告及び本人への通知の義務化、氏名等を削除した「仮名加工情報」を創設し内部分析に限定する等を条件に事業者の義務を一部緩和するなど、多数のルールの追加・改正が行われます。

 また、令和3年にも「デジタル社会の形成を図るための関係法律の整備に関する法律」による法改正が行われ、今後は国の行政機関等にも同法が適用されることとなります。

 令和2年改正個人情報保護法は、いよいよ4月1日から全面施行されることを踏まえ学習会を行いました。

【日時】2022年1月21日(金)14時00分〜15時30分〔Zoom活用オンライン学習会〕

【講師】今 拓久真さん(個人情報保護委員会事務局 参事官補佐)
椎名 紗彩さん(個人情報保護委員会事務局 参事官補佐)
松本 亮孝さん(個人情報保護委員会事務局 参事官補佐)

【参加】69人

概要(事務局による要約)

■個人情報保護法の基本と法改正の概要(令和2年改正、令和3年改正)

◇個人情報保護法の基本

 個人情報保護法は、個人の権利・利益の保護と個人情報の有用性とのバランスを図るための法律で、民間事業者の個人情報の取り扱いについて規定しています。「個人情報」とは、生存する個人に関する情報で、当該情報に含まれる氏名、生年月日等で特定の個人を識別できるものをいいます。また、「個人識別符号」も「個人情報」に該当し、たとえば「DNA」「顔」「指紋」「旅券番号」「免許証番号」「マイナンバー」などがあります。「個人情報」の取扱いに留意が必要なものとして「要配慮個人情報」があります。具体的には「人種」「信条」「病歴」「犯罪の経歴」などで、取得や第三者提供には原則本人の同意が必要です。

 事業者が守るべきルールとして、①取得・利用、②保管・管理、③第三者提供、④開示請求等の対応があります。

①個人情報を取得する際には個人情報の利用目的を出来る限り特定すること。また利用目的の範囲を超える場合はあらかじめ本人の同意を得る必要があります。

②個人データは正確で最新の内容を保ち、必要がなくなったときは、当該個人データを遅滞なく消去するよう努めるようにしなければいけません。

③第三者提供は、原則、本人の同意を得ることが必要です。同意を得ない場合として、法令に基づく場合、人の生命・身体または財産の保護のためでかつ本人同意が困難である場合などがあります。第三者に提供した場合や第三者からデータを受領した場合には記録の保存等が必要です。

④事業者名、利用目的等をホームページに公表するなど、本人の知り得る状態に置く必要があります。本人から開示請求された場合は原則開示します。

◇令和2年(2020年)改正について

 個人情報保護法は2003年に施行されました。その後、情報通信技術の発展により制定当時には想定されなかったパーソナルデータの利活用が可能になったことから、2015年に大規模な法改正がされ、その際に国際的動向や情報通信技術の進展などを勘案して3年ごと見直し規定が盛り込まれました。2020年に3年ごと見直し規定の初めての法改正があり、今年4月から施行されます。見直しの5つの視点は、①個人の権利利益の保護、②技術革新の成果による保護と活用の強化、③国際的な制度調和・連携、④越境データの流通増大に伴う新たなリスクへの対応、⑤AI・ビッグデータ時代への対応があります。

※「⇒」は改正により変更になる内容です。

1.個人の権利の在り方

〇短期保存データの開示等対象化

 現行では短期保存データは開示、利用停止等の対象外でした。

⇒6か月以内に消去する短期保存データも保有個人データとして、開示、利用停止等の対象となります。

〇オプトアウト規定により第三者に提供できる個人データの限定

 オプトアウト規定は、本人の同意を得ることなく第三者に提供することを例外的に認める規定です。現行では要配慮個人情報のみがオプトアウト規定による第三者提供ができませんでした。

⇒不正取得した個人データやオプトアウト規定で提供された個人データについても、オプトアウト規定による第三者提供はできなくなります。オプトアウト規定で提供された個人データをさらにオプトアウト規定で提供を認めるとしたら、本人において、自分の個人データがどこまで広がってしまったのかがわからなくなってしまうためです。

〇保有個人データの開示方法

 現行は書面の交付が原則でした。

⇒電磁的記録の提供を含め、本人が指示できるようになります。具体的には、電磁的記録提供ではCD-ROM等の媒体を郵送する方法、電子メールを送信する方法、ウエブサイト上でのダウンロードなどを想定しています。

〇第三者提供記録の開示

 現行は個人データの授受に関する第三者提供記録は、開示請求の対象かどうか、明確な規定はありませんでした。

⇒第三者提供記録について本人が開示請求できるようになります。本人が提供元事業者に開示請求ができ、また提供先事業者に対しても開示請求ができるようになります。

〇利用停止・消去等の個人の請求権

 現行は本人から個人データの利用停止や消去等の請求ができるのは、事業者が目的外利用や不正取得などの個人情報保護法違反の場合に限定されていました。

⇒現行に加えて、利用する必要がなくなった場合、重大な漏えい等が発生した場合、本人の権利または正当な利益が害されるおそれがある場合にも拡充されます。

2.事業者の守るべき責務の在り方

〇不適正な方法による利用の禁止

 現行では個人情報は適正に取得すべきと法で定めていました。

⇒適正な取得義務に加えて、違法または不正な行為を助長、誘発するおそれのある不適正な利用を禁止することを明記しています。たとえば、個人情報保護法その他の法令に違反する行為や公序良俗に反しているなど社会通念上、適正とは認められない行為をいいます。

〇漏えい等報告等の義務化

 現行では漏えい等またはそのおそれが発生した場合、個人情報保護委員会への報告及び本人通知は努力義務とされていました。

⇒個人情報保護委員会及び本人への通知を義務化します。対象事案は要配慮個人情報の漏えい等(健康診断の結果など)、財産的被害のおそれがある漏えい等(決済等のログインIDやパスワードなど)、不正の目的によるおそれがある漏えい等(不正アクセスによるもの)、1,000件を超える漏えい等(システムの設定ミスなどで、ネット上で閲覧可能状態になったなど)です。

3.事業者により自主的な取組を促す仕組みの在り方

〇公表事項等の充実

⇒安全管理のために講じた措置を公表事項として追加します。公表によって支障を及ぼす、安全ではなくなってしまう場合は除かれます。たとえば、個人データが記録された機器等の廃棄方法や個人データ管理区域の入退室管理方法など、公表することでセキュリティに問題が出る場合などは除かれます。

4.データ利活用に関する施策の在り方

〇個人関連情報の第三者提供規制

⇒提供元では個人データに該当しないが、提供先でIDなどと紐づき個人データになることが想定される生存する個人に関する情報(個人関連情報)の第三者提供は、本人同意が得られていることの確認を義務付けます。

〇仮名加工情報の創設

⇒イノベーションを促進する観点から、氏名等を削除した「仮名加工情報」を創設して、内部分析に限定することなどを条件に、開示・利用停止等請求への対応等の義務を緩和します。加工の方法は他の情報と照合しない限り、特定の個人を識別することができないようにするための基準で行います。氏名、住所等の削除、旅券番号、マイナンバー等の削除、クレジットカード番号の削除などがあります。

5.ペナルティの在り方

〇法定刑の引き上げ等

⇒命令違反や虚偽報告等の法定刑を引き上げます。また、法人に対しては行為者よりも罰金刑の最高額を引き上げます。

6.法の域外適用・越境移転の在り方

〇越境移転に係る情報提供の充実

 現行の外国にある第三者に個人データを提供できる要件は、「本人の同意を得ること」、提供先が「基準に適合する体制を整備した事業者であること」または「我が国と同等の水準国にあること」です。

⇒このうち、たとえば本人の同意取得時には、「移転先の所在国の名称」「当該外国の個人情報の保護に関する制度」「第三者の個人情報保護のための措置」についての情報提供が必要となります。その内容は我が国の個人情報保護法との間の本質的な差異を合理的に認識できる情報でなければなりません。

◇令和3年(2021年)改正について

 「デジタル社会形成整備法」第50条、第51条により、個人情報保護法も改正されました。

 今までは、法令や所管が対象機関ごとに設定されていましたが、民間事業者、国の行政機関、独立行政法人等における個人情報の保護に関する法律は、1つの法律に統合(令和4年4月に施行予定)されます。また、地方公共団体についても、統合後の法律において全国的な共通ルールを規定(令和5年春施行予定)します。また、全体の所管は個人情報保護委員会に一元化されます。

以上

≫ 開催案内はこちら