2020年個人情報保護法改正法案の解説－ＥＵの一般データ保護規則（ＧＤＰＲ）との比較も含めて

保険研究部研究理事兼ヘルスケアリサーチセンター長松澤登

■要旨

2003年に制定された個人情報保護法については3年ごと見直しがされることとなっており、最終2015年改正（2016年1月以降順次施行）後3年経過したことから、個人情報保護委員会で2019年1月より審議が開始され、2019年12月に改正大綱が公表された。

これを受け、2020年通常国会に改正案が付議され、現在、国会に上程されている。改正のポイントは以下のとおりである。

まず、クッキーなどのオンライン識別子を利用して、匿名のままデータを加工するが、その加工データを提供した先で個人情報に該当することとなる場合には、提供先が本人からあらかじめ、このことについての同意を得なければならないこととされた。

次に、個人情報取扱事業者において、個人データが適切に取り扱われることを確保するための前提である、本人からの開示請求に対して、電子的に情報提供することも可能とすることとした。また、個人データの利用停止等の請求ができる場合を拡大した。さらに重大な漏洩事案が発生した場合、個人情報保護委員会への報告と本人への通知を義務付けることした。

また、オプトアウト方式（本人からは事後に提供停止を請求できる）による個人データの第三者提供について、提供できるデータの範囲を限定するなどの改正が行われる。さらに、すでに個人情報取扱事業者間で個人データのやり取りを行った場合に記録をすることが求められているが、改正法案ではその記録について本人が開示請求できることとした。

最後に、仮名加工情報という新たな個人データの利用方法を認めることとした。個人データから個人を識別できる情報を削除することで、個人情報保護法の一定の規制を受けず、データを利活用できるとするものである。

ＥＵの個人情報保護法制であるＧＤＰＲほど厳格ではないが、個人データ保護に関する規律が強化される一方で、仮名加工情報を認めるなど、バランスの取れた改正案となっている。

■目次

1――はじめに
2――個人データを利用する事業者への規制適用
　　1｜個人情報取扱事業者の定義
　　2｜個人情報の範囲とこれまでの議論
　　3｜提供先で個人情報になるデータ提供規制の導入
　　4｜残された課題：オンライン識別子の取り扱い
3――個人情報取扱事業者に対する本人の権利
　　1｜個人情報取扱事業者の現行法における責務
　　2｜開示請求をはじめとする本人権利の強化
　　3｜個人データ漏洩時の事業者の責務の強化
　　4｜残された課題：同意の撤回とデータポータビリティ
4――個人データの第三者提供に関する規律
　　1｜現行法で第三者提供を行うための三つの方法
　　2｜オプトアウトの規制強化
　　3｜第三者提供にかかるトレーサビリティの確保
5――新たに導入される仮名加工情報
　　1｜仮名加工情報の意味・定義
　　2｜仮名化による規制適用除外
6――おわりに

日付	タイトル	執筆者	媒体
2025/06/24	サイバー対処能力強化法の成立－能動的サイバー防御	松澤登	基礎研レポート
2025/06/16	株式併合による非公開化－JAL等によるAGPのスクイーズアウト	松澤登	研究員の眼
2025/06/13	株主提案による役員選任議案－フジメディア・ホールディングス	松澤登	研究員の眼
2025/06/10	江戸時代の堂島米市場－先物取引所の先駆け	松澤登	研究員の眼

日付

タイトル

執筆者

媒体

2025/06/24

サイバー対処能力強化法の成立－能動的サイバー防御

松澤登

基礎研レポート

2025/06/16

株式併合による非公開化－JAL等によるAGPのスクイーズアウト

松澤登

研究員の眼