2020年個人情報保護法改正法案の解説－ＥＵの一般データ保護規則（ＧＤＰＲ）との比較も含めて　|ニッセイ基礎研究所

1――はじめに

従前から、個人情報（プライバシー）については、第三者による個人情報利用が本人の受忍限度を超える場合、人格権の侵害として、不法行為による損害賠償の対象となるという法律上の保護法益であるとされてきた。

個人情報保護法（以下、法という）は、上記のような認識のもと、2003年に、民間事業者による個人情報の利用と保護について定めた法律である（2015年最終改正）。法はおおむね以下のような構成となっている。なお、個人情報保護法等を施行するための公的監督機関として、個人情報保護委員会が設置されている（法第59条以下）。

（1）個人データを利用する事業者への規制適用
特定の個人を識別できる情報、または個人識別符号が含まれる情報を個人情報と定義する。この個人情報をデータベース化（データベースに含まれる個人情報を個人データという）して利用する事業者を、個人情報取扱事業者として規制の対象とする¹。

（2）個人情報取扱事業者に対する本人の権利
個人データは、公表または本人に通知された目的内でのみ利用ができる。また、個人データの本人は、個人情報取扱事業者に対して、自己の情報の開示を請求することができ、情報が誤っている場合などには訂正や利用停止を求める権利がある。

（3）個人データの第三者提供に関する規律
個人データを第三者に提供する場合は、1) あらかじめ本人から同意を取得する、2) 申し出により提供を中止することを条件として、一定の手続きを経て第三者に提供する。あるいは3) 匿名加工をすることで個人データに該当しないようにしてから提供するという方法がある。

個人情報保護法は3年ごとに見直しがされることとなっており、2015年改正（施行は2016年1月以降順次）より3年経過した2019年1月から改正の検討がなされ、現在、改正法案が国会に付議されている。

以下、この（1）～（3）についての現行法の内容と改正法案の内容、および、改正法案で新たに導入される仮名加工情報について解説を加えたい。

¹ なお、本論で述べないが、開示対象となる保有個人データには取得後六か月以内に消去される個人データを含まないとされていたが、改正法案ではこのような限定はなくなった。

2――個人データを利用する事業者への規制適用

1｜個人情報取扱事業者の定義
個人情報取扱事業者は、個人情報データベース等を事業に利用している事業者と定義されている（法第2条第5項）。個人情報データベース等とは、電子計算機やファイリングシステムにより、特定の個人情報を検索²できるように体系的に構成したものをいい（法第2条第4項）、個人情報データベース等を構成するデータを個人データという（法第2条第6項）。

たとえばスポーツクラブ入会の申込書に住所・氏名等記入をした場合に、住所・氏名等を申込書に記入した段階では個人情報ではあるが、法が定義している個人データではない³。住所・氏名等がデータベースに入力され、あるいは検索しやすいようにファイリングされた場合に個人情報データベース等を構成することになり、個人データとなる。この段階で法の規制対象となる（図表1）。

2003年の法制定当初においては、個人情報データベース等の個人データ数が5000件以下の小規模事業者は法の適用外（旧法第2条第5項）であったが、2015年改正により、小規模事業者も規制対象となった。この改正の影響は意外と大きく、小規模事業者は営利業者のみならず、非営利の団体も含むことから、自治体やマンション管理組合の名簿も規制対象に含まれるようになった。

² 他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む
³ 誤解がないように補足すると、個人データとなると個人情報保護法の保護対象となるが、個人情報の段階では不法行為による保護が受けられる。

2｜個人情報の範囲とこれまでの議論
個人データのもととなる個人情報には、住所・氏名等の文字情報（紙や電子データで記載されたもの）のみならず、音声や動画などであっても、特定個人が識別できるものであれば該当する（法第2条第1項第1号）。したがって、例えば職場内を撮影している防犯カメラの映像であっても、データベース化されるのであれば、個人データとなる。もう一つは個人識別符号であり（同第2号）、これは保険証番号や免許証番号など公的な符号が対象となる。今回の見直しでは、個人情報そのものの範囲についての改正提案はない。

今回、議論になったのは、オンライン識別子である。典型的には、いわゆるクッキーと呼ばれる技術がある。これは、たとえばＰＣやスマホなどの端末で、サイトを閲覧した場合に、サイト側から閲覧した端末を特定できるように、短い情報を閲覧者の端末に書き込むといったことが行われる。そうすると同じ端末が同じサイトを再度閲覧した時には、サイト側はクッキーにより過去の閲覧履歴が追跡できる。この技術により、閲覧者は前回見たサイトページから続きを読むことができるなどのメリットがある。

ところが、このような技術により、問題が発生した。まずドイツの連邦カルテル庁が、Facebookに対してデータ統合を禁止した旨を公表した⁴。具体的には、Facebookが、Facebookの閲覧履歴だけではなく、他のサイトでFacebookのシェアボタンが埋め込まれているサイトや、Facebook Analyticsの契約をしているサイトから閲覧履歴を収集したうえで、Facebookのアカウントに連動・統合させていた。この結果、Facebookは個人の閲覧履歴を幅広く収集することが可能となっていた。しかし、データ主体はそのことを理解していなかったことが、市場の濫用行為であるとした（図表2）。

この事例が興味深いのは、ドイツにおける個人情報保護に関する規律（ＥＵ域内では、ＥＵの規則であるＧＤＰＲ（General Data Protection Regulation：一般データ保護規則）が直接適用される）に関してではなく、市場における企業の競争ルールである競争法違反とした点である。この点、日本でも同様の議論がある。すなわち、デジタル・プラットフォーム事業者は、その提供するサービスと交換に個人情報を取得するという取引を行っているとされる。この取引において、正常な商慣習に反して不当に個人に不利益を与えることは優越的地位の濫用に該当するおそれがある。そのため、個人情報の不正な取得は、独占禁止法上問題となりうるとする公正取引員会の見解がある⁵。

また、日本においては、就活サイト企業における個人情報の取り扱いが問題視された案件があった。具体的には、まず、就活サイト企業が設置した、特定の新卒募集企業の就活サイトにおいて、就活生からエントリーシート等の個人情報の登録を求めることとしていた。ここで、就活サイト企業は、氏名等の情報は自身では取得せず、クッキーのみを取得していた。就活サイト企業は当該クッキーによる自社サイトの閲覧履歴に基づく内定辞退率を算定し、その結果をクッキー情報とともに、新卒募集企業に提供していた。新卒募集企業においては、エントリーシート登録時に就活生の情報登録時にクッキーと個人情報の双方を取得していたため、就活サイト企業から内定辞退率とクッキーを取得することで、内定辞退率を個人情報とを紐づけ、個人データとして取得することができた（図表3）。

この案件では、就活サイト企業においては、内定辞退率を含む情報はクッキーだけに紐づけて管理しており、個人名とは紐づいていなかった。そのため、就活サイト企業では個人データには該当しなかった。しかし、就活生がエントリーシートを提出した先の新卒募集企業において、個人名に統合される仕組みになっていたため、実質的に見れば、個人データの第三者提供とも考えうる案件であった。

⁴ 公正取引委員会のHP参照https://www.jftc.go.jp/kokusai/kaigaiugoki/sonota/2019others/201903others.html
⁵ 公正取引委員会「デジタル・プラットフォーム事業者と個人情報等を提供する消費者との取引
における優越的地位の濫用に関する独占禁止法上の考え方」https://www.jftc.go.jp/houdou/pressrelease/2019/dec/191217_dpfgl_11.pdf　参照。

3｜提供先で個人情報になるデータ提供規制の導入
この問題は、提供元で個人データに該当しない場合は、個人データの第三者提供に該当しないことから生じたものと捉えられている（提供元基準）⁶。そこで、今回の改正案においては、個人データに該当しない情報のデータベース（個人関連情報データベース）を利用する個人関連情報取扱事業者が提供するデータが、提供先の第三者（個人情報取扱事業者）において個人データとなるときは、その第三者が本人からあらかじめ同意を得ていなければならないとされた（改正法案第26条の2。図表4）。

⁶ 個人情報保護法いわゆる3年ごと見直し制度改正大綱ｐ25参照。https://www.ppc.go.jp/files/pdf/seidokaiseitaiko.pdf

4｜残された課題：オンライン識別子の取り扱い
上記3に関連して、ＧＤＰＲではクッキーなどのオンライン識別子が、直接的に個人データであるとしている（ＧＤＰＲ第4条（1））。日本でも最近増加してきたが、海外のサイトを閲覧すると「このサイトではクッキーを取得するが、同意するか」との表示が出るものがある。これは、クッキーが個人情報とされるために、その取得に同意を要するからである⁷。

今回の法改正では、端末の同一性自体が個人データであるとの改正はなされなかった。確かに、家族で共有する端末、インターネットカフェや会社の端末などもあり。一律に個人データといいにくい。

ところで、昨今のデジタル・プラットフォームでは、端末の閲覧情報を収集し、属性や行動を推測したうえで、それらに適した広告を表示させている。たとえば出張先のホテルを検索すると、その後、どのサイトを見ても、その地域のホテルの広告が掲載されているのは、そのためである。

このような点に鑑みて、ＧＤＰＲのようにオンライン識別子まで個人情報と見るような規制まで踏み込むかであるが、具体的個人に直接的に結びつく情報に限り、個人情報と考える日本の方式は必ずしも否定されるものではないと考える。例えば、単なる広告を超え、具体的な取引を勧奨するような場合においては、多くの場合には、端末の同一性情報のみの利用ではなく、本人情報と結びつけられて活用される（したがって個人情報として規制対象となる）ものと思われる。また、先の就活サイトのような事例は、今回の改正で対応ができる。したがって、今後、さらに具体的な弊害事由が生じた場合に、改めて規制の見直しを考えるということでよいと考える。

⁷ ＧＤＰＲでもオンライン識別子は個人情報とされているが、より具体的にはEUのe-Privacy指令で同意取得が求められている。https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32002L0058&from=EN　参照。なお、ＥＵ規則は直接的に規則が各国内で効力を有するが、ＥＵ指令はその内容に沿った法律を各国が立法することでルールを統一化する。