2020年個人情報保護法改正法案の解説－ＥＵの一般データ保護規則（ＧＤＰＲ）との比較も含めて　|ニッセイ基礎研究所

3――個人情報取扱事業者に対する本人の権利

1｜個人情報取扱事業者の現行法における責務
個人情報取扱事業者の責務としては、まずは(1)個人情報の適正な取得である。適正な取得とは、利用目的を限定（法15条）し、個人情報の取得に当たっては、あらかじめ利用目的を公表するか、当人に通知しなければならない（法18条）。また、人種、信条、社会的身分などの要配慮個人情報（法第2条第3項）については、取得に当たって本人の同意を得なければならない（法第17条第2項）。(2)個人データ保護のための安全管理措置を講じなければならず（法第20条）、従業員や委託先を適切に監督しなければならない（法第21条、第22条）。また、(3)個人データは正確かつ最新の内容に保つとともに、利用の必要性がなくなった時は消去するよう努めなければならない（法第19条）。（図表5）

2｜開示請求をはじめとする本人権利の強化
改正法案は、本人からの開示請求および利用停止請求についての権利を強化した。要配慮個人情報以外の個人情報は、必ずしも本人の同意を得て取得されたものではない。また、仮に同意のもとで取得されたものだとしても、個人情報提供後に個人情報取扱事業者による情報管理等が適切に取り扱われることの確保が必要である。

この観点から、本人が利用停止請求などの権利を行使する前提となる、個人データ開示請求権が重要となる。今回の改正では開示請求の方法について改正がなされた。現行法では書面による提供を求めることが原則とされているが、改正法案では電磁的方法で開示を求める方法も明示的に認め、本人が開示の方法を指定できることとした（改正法案第28条第1項）。ただし、本人の指定した方法では多額の費用を要する場合などには、個人情報取扱事業者は書面によりデータを提供することができる（同条第2項）。

事業者の保有する個人データの利用停止または消去（利用停止等）を求められる場合も拡大した。個人情報は違法または不当な行為を助長し、誘発するおそれがある方法により利用してはならない（改正法案第16条の2）として、これに反する個人データの利用停止を求めることができることとした（改正法案第30条第1項）。また、個人情報取扱事業者が、保有個人データを利用する必要がなくなったとき、あるいは、個人データの漏洩等により本人の利益が害されるおそれがあるときは、個人データの利用停止、または第三者への提供停止（後述）を求めることができる（改正法案第30条第5項）。（図表6）

3｜個人データ漏洩時の事業者の責務の強化
個人データの漏えい、滅失、毀損その他の個人データの安全確保にかかる事態であって、個人の権利・利益を害するおそれが大きいものとして、個人情報保護委員会規則に定める事態が発生した場合は、個人情報保護委員会へ報告する（改正法案第22条の2第1項）とともに、原則として、本人に通知しなければならない（同条第2項）とされた。

個人の権利・利益を害するおそれがあるとして報告・通知の対象となるのは、一定数以上の個人データ漏洩、あるいは要配慮個人情報の漏洩等が定められることが想定されている⁸。

⁸ 前掲注6改正大綱ｐ15参照。

4｜残された課題：同意の撤回とデータポータビリティ
ＧＤＰＲでは、合法的な個人データの取得方法はいくつか定められている（ＧＤＰＲ第6条第1項）。仮に、個人データの取得が本人の同意によるものであった場合には、本人はいつでも同意の撤回が可能である（ＧＤＰＲ第7条第3項）。同意が撤回された場合には、事業者はデータを利用停止・削除しなければならない。そのため、事業者は、契約の締結や履行に必要な情報であることを根拠として取得、あるいは事業者の正当な利益のためという根拠に基づいて取得（ＧＤＰＲ第6条第1項（ｂ）（ｆ））するなど、同意以外にも取得根拠をもって個人情報を取得することが多い。

また、本人が事業者の保有する個人データを、類似サービス業者などに移転する権利も保有する（ＧＤＰＲ第20条。データポータビリティの権利）。この権利が行使されると、事業者は他の事業者にデータを電子的に移転しなければならない。

このようにＧＤＰＲでは、個人データを本人が事業者にあたかも預託しているような法的構成になっている。個人データを保有する事業者は、自己の正当な利益に基づくか、あるいは契約履行上必要といえなければ、個人データを本人の意に反して保有し続ける権利はない。

改正法案は、本人が利用停止請求できる場合を拡大するなど権利強化を行ったが、同意の撤回という考え方を導入しなかった。そもそもＧＤＰＲでは同意取得自体が明確な説明に基づいて、自由に与えられるものでなければならないとされ（ＧＤＰＲ第7条第2項、第4項）、自由に与えられた同意と認められるかどうかについて、厳格な姿勢をとっている⁹。このあたり、日本でも今後の課題となる可能性はある。

ただ、ＥＵでの議論にもみられるが、同意のみに依存した個人情報の利用というのは、どこまで行っても限界がある。同意取得に当たって、事業者が詳細に内容を説明しようとすればするほど、本人の理解は進まず、同意の有効性の程度が下がる（＝説明文を読むのが面倒であり、読まずに同意にチェックしてしまう）ことが想定される。同意要件を突き詰めるのではなく、不適正な個人情報利用を具体的に制限していく方向性のほうが望ましいと思われる。

また改正案にはデータポータビリティの権利は認められていない。実務的には、データベースに登録されている個人データを、他の事業者に移転するというのは事業者間で共通のデータベースシステムがない以上、個人情報取扱事業者サイドに大きな障害あるいはコストの発生が容易に想定される。そのため、現状においては、慎重に議論すべきであると思われる。

なお、日本においても情報銀行構想など、情報を本人のコントロールする財産として取り扱う考え方はすでに導入されているともいえる。

⁹ 消費者委員会のＨＰでは、ＥＵのＧＤＰＲの同意取得の要件についてのガイドラインおよび仮訳が閲覧可能である。https://www.ppc.go.jp/files/pdf/doui_guideline.pdf　

4――個人データの第三者提供に関する規律

1｜現行法で第三者提供を行うための三つの方法
個人情報取扱事業者がその保有する個人データを第三者に提供するには、三つの方法がある。まずは(1)本人の同意を得る方法である。たとえば企業グループ内で個人データを相互に提供しあい、総合的なサービスを提供しようとする場合など、個人情報取得時に本人より同意を取得することが行われている。このように同意した人のデータのみが提供されることをオプトインという¹⁰。

次に、(2)あらかじめ本人の同意を得ることはせず、オプトアウトでの個人データを第三者提供する方法である。オプトアウトとは、本人の請求があれば、第三者提供を停止することを前提として、本人からあらかじめ同意を取得せず、個人データを第三者に提供するものである。このことを可能とする条件として、一定の個人データを第三者に提供することを本人が容易に知りうる状況に置くとともに、個人情報保護委員会に届け出を行うことである（法第23条第2項。図表7）。なお、要配慮個人情報については、オプトアウトの方法による第三者提供はできない。

そして、(3)匿名加工情報を利用する場合である。匿名加工情報とは、個人を特定できる情報を削除するとともに、個人識別符号を削除すること、および特殊な情報（例えば数の少ない難病にり患しており、その情報だけで個人が特定できる情報）は分類項目を大きくするか、数字を丸めるなどなどを通じて、特定の個人を識別ができないように加工し、個人情報として復元できないものをいう（法第2条第9項）。このように加工された情報はすでに個人情報と見ることはできないため、そもそも個人データの第三者提供制限の枠外となる。

匿名加工情報はビッグデータを第三者に提供するために考えられ、2015年改正で導入された規律である。

¹⁰ ただし、日本における同意取得は、現実的に拒否できる選択肢がないなど、ＧＤＰＲが要求するような、本人が情報提供されたうえでの任意の同意ということがむつかしいケースが散見される。

2｜オプトアウトの規制強化
今回の法改正では上記二つ目の方法である、オプトアウトについての規律が変更された。これは主に、いわゆる名簿屋に関して、業界内で個人データが転売されたり、また、名簿屋の主体が濫用的に営業停止したり、居所が不明になったりと不適正な取り扱いが確認されたため、それらの弊害に対応するための規制改正が行われるものである¹¹。

まず、オプトアウトできる個人データは、偽りその他不正の手段により取得したものであってはならない（法第17条、改正法案第23条第2項）。オプトアウトにより取得した個人データを、再度オプトアウトにより第三者提供することも禁止されることなった（同項）。このことにより、名簿屋間の名簿の転売は禁止される。

また、オプトアウトしようとする個人情報取扱事業者は、氏名・名称、住所、法人にあっては代表者の氏名を個人情報保護委員会に届け出しなければならなくなった（改正法案第23条第2項）。これらを変更したときも届け出が必要である（同第3項）。また、オプトアウトする個人データを取得した方法も届け出事項とされた。

¹¹ 前掲注6改正大綱Ｐ12参照。

3｜第三者提供にかかるトレーサビリティの確保
現行法では、個人データの第三者提供にあたって、提供をする側の記録（法第25条第1項）、提供を受ける側の記録（法第26条第3項）の作成が求められてきた。しかし、これは個人情報保護委員会にとってのトレーサビリティであって、本人のトレーサビリティではないとの批判があった¹²。そのため、改正法では、本人がこれらの記録について開示請求ができることとした（改正法案第28条第5項）。

また、上述の個人データの利用停止等の事由（利用に必要性がなくなる、あるいは本人の正当な利益が害される等）が、第三者提供情報について認められる場合には、利用停止等を求めることができる（改正法案第30条第5項）。

¹² 前掲注6改正大綱ｐ13参照。

5――新たに導入される仮名加工情報

1｜仮名加工情報の意味・定義
個人データから、氏名等を削除することによって、個人データの規律がかからないようにする方法としては、すでに匿名加工情報の制度がある。匿名加工情報は上述の通り、第三者提供を前提としており、氏名等の削除のほか、データをある程度丸めないといけないなど、法的な安定性にかけ、使い勝手が悪いとの評価があった¹³。

また、社内で利用するにあたっても、上述の開示の対象になったり、安全管理措置を講じたりするなどの負荷が重いとの問題意識もあった。そこで、個人データから氏名や個別識別符号を削除し、データを特定個人に紐づけられない形にすることで、仮名加工情報として法の定める規制を受けず、利活用を行えることとした。このように個人の識別を要しない場合に簡易な取扱を認めることは、すでにＧＤＰＲでも採用されている（ＧＤＰＲ第11条）。

匿名加工情報は第三者に提供するに際して加工が行われるが、仮名加工情報は社内利用を前提として加工が行われる。改正法案も仮名加工情報は第三者提供してはならない（改正法案第35条の2第6項）とする。

仮名加工に当たっては、識別できないように氏名等の情報を削除するとともに、復元するために必要となる削除情報等は　必要な安全措置をとらなければならない（改正法案35条の2第1項第2項）。

¹³ 前掲注6改正大綱Ｐ21参照。

2｜仮名化による規制適用除外
まず(1)個人データについては収集時の利用目的から目的を変更した場合、個人への通知が必要となるが、仮名加工情報については公表のみでよい（改正法案第35条の2第3項）。そのほか、漏洩時の本人への報告（改正法案第22条の2）、保有個人データにかかる一定の事項（個人情報取扱事業者の氏名等）の公表、本人からの開示請求（法第28条）、本人からの訂正請求（法第29条）、利用停止（法第30条）などの規律は仮名加工情報には適用がない。

したがって、顧客動向の分析を担当するマーケティング部署などが、個人データ管理部門である事務所管から仮名加工情報としてデータを受け取れば、本人からの開示請求や利用停止請求とはかかわりなく、分析の基礎データとして利用することができる。

6――おわりに

今回の改正案は、本人からの開示請求から始まる自分の個人データに関する権利を強化するなど、個人情報保護の規律を強化する一方で、仮名加工情報といったデータの利活用にも配慮したバランスの取れたものになっていると思われる。

ところで、今回の新型コロナ感染対策に当たっては、位置情報等の活用が話題となった。携帯会社や店舗等の保有する位置情報や基地局情報、屋外あるいは店内の映像情報を、一部の国の政府が取得・活用して、感染者の濃厚接触者を見つけだし、検査を受けさせ、陽性であれば隔離するということが行われた。

このことはかなりの難問を我々に突き付けている。位置情報という生活の行動、特定の場所にいたということによる趣味趣向、あるいは特定のデモに参加したといった情報すら、防疫という理由があれば、政府に渡してしまうということでよいのかという問題である。日本では、現在までのところ、新型コロナ感染により、欧米ほどの死者を出すことはなかったが、たとえば米国並みの死者が出たとしたならどうなのか。様々な状況を想定しつつ、十分に時間をかけて議論すればよいと思う。海外で成功したからという理由のみで、それに倣うべきという単純な議論ではない。日本の現状にあった考察が求められる。

日本では、駅前の人出の通常時からの減少具合を伝えるとき、ニュースでは必ず「同意を得た個人から取得した位置情報」であることを明確にしてから報道していた。その意味で個人情報がよく守られているのではないかと考える。

片方で、ＥＵのＧＤＰＲやカリフォルニア州の消費者プライバシー法など厳格な個人情報保護法制を入れる国・地域があり、もう片方で、国家や大企業が個人情報を自由に利用できる国・地域がある。どの方向に向かうのか、どこかでバランスをとるのか、新型コロナ禍後の世界がどうなるかは予断を許さないが、グローバル化が止められないとするならば、重大な課題として議論をしていくべきものと思う¹⁴。

¹⁴ 今回改正では、法の適用対象となるのが、日本国内にある個人の情報を取り扱う事業者を対象とすることとしている（改正法案第75条）。海外にある事業者が日本国内にいる個人に関する個人情報保護法違反の場合の執行の問題は残るが、海外当局との協力が求められる（前掲注6改正大綱ｐ29参照）。