2020年改正個人情報保護法の解説～ＥＵの一般データ保護規則（ＧＤＰＲ）との比較も含めて　|ニッセイ基礎研究所

3｜個人データ漏洩時の事業者の責務の強化
個人データの漏えい、滅失、毀損その他の個人データの安全確保にかかる事態であって、個人の権利・利益を害するおそれが大きいものとして、個人情報保護委員会規則に定める事態が発生した場合は、個人情報保護委員会へ報告する（改正法第22条の2第1項）とともに、原則として、本人に通知しなければならない（同条第2項）とされた。

個人の権利・利益を害するおそれがあるとして報告・通知の対象となるのは、一定数以上の個人データ漏洩、あるいは要配慮個人情報の漏洩等が定められることが想定されている⁹。
令和元年度の個人データの漏洩は4520件であり、その多くが書類及びインターネットの誤送付、書類及び電子媒体の紛失である¹⁰。個人情報漏洩案件の多くが、単純ミスに基づくもののようである。この観点から、たとえば要配慮個人情報が含まれる書面やメールの送付などについては、ダブルチェックを徹底するなどの対策をとることが望ましい。また、サイバー攻撃による情報流出も同様に、委員会への報告・本人への通知が必要となる。

ところで、本人へ通知するときには、賠償の話は避けて通れない。そもそも本人宛通知のための対応要員確保や、コールセンターの設置費用なども想定される。損害保険会社の提供するサイバー保険への加入も一考しておく必要があるだろう¹¹。

⁹ 前掲注7改正大綱ｐ15参照。
¹⁰ 個人情報保護委員会「令和元年度　年次報告」ｐ14　https://www.ppc.go.jp/files/pdf/020612_annual_report_r1.pdf　
¹¹ 日本損害保険協会HP　https://www.sonpo.or.jp/cyber-hoken/about/　参照。

4｜残された課題：同意の撤回とデータポータビリティ
ＧＤＰＲでは、合法的な個人データの取得方法はいくつか定められている（ＧＤＰＲ第6条第1項）。仮に、個人データの取得が本人の同意によるものであった場合には、本人はいつでも同意の撤回が可能である（ＧＤＰＲ第7条第3項）。同意が撤回された場合には、事業者はデータを利用停止・削除しなければならない。そのため、事業者は、契約の締結や履行に必要な情報であることを根拠として取得、あるいは事業者の正当な利益のためという根拠に基づいて取得（ＧＤＰＲ第6条第1項（ｂ）（ｆ））するなど、同意以外にも取得根拠をもって個人情報を取得することが多い。

また、本人が事業者の保有する個人データを、類似サービス業者などに移転する権利も保有する（ＧＤＰＲ第20条。データポータビリティの権利）。この権利が行使されると、事業者は他の事業者にデータを電子的に移転しなければならない。

このようにＧＤＰＲでは、個人データを本人が事業者にあたかも預託しているような法的構成になっている。個人データを保有する事業者は、自己の正当な利益に基づくか、あるいは契約履行上必要といえなければ、個人データを本人の意に反して保有し続ける権利はない。
改正法は、本人が利用停止請求できる場合を拡大するなど権利強化を行ったが、同意の撤回という考え方を導入しなかった。そもそもＧＤＰＲでは同意取得自体が明確な説明に基づいて、自由に与えられるものでなければならないとされ（ＧＤＰＲ第7条第2項、第4項）、自由に与えられた同意と認められるかどうかについて、厳格な姿勢をとっている¹²。このあたり、日本でも今後の課題となる可能性はある。

ただ、ＥＵでの議論にもみられるが、同意のみに依存した個人情報の利用というのは、どこまで行っても限界がある。同意取得に当たって、事業者が詳細に内容を説明しようとすればするほど、本人の理解は進まず、同意の有効性の程度が下がる（＝説明文を読むのが面倒であり、読まずに同意にチェックしてしまう）ことが想定される。同意要件を突き詰めるのではなく、不適正な個人情報利用を具体的に制限していく方向性のほうが望ましいと思われる。

また改正法はデータポータビリティの権利は認めていない。実務的には、データベースに登録されている個人データを、他の事業者に移転するというのは事業者間で共通のデータベースシステムがない以上、個人情報取扱事業者サイドに大きな障害あるいはコストの発生が容易に想定される。そのため、現状においては、慎重に議論すべきであると思われる。

なお、日本においても情報銀行構想など、情報を本人のコントロールする財産として取り扱う考え方はすでに導入されているともいえる。

¹² 消費者委員会のＨＰでは、ＥＵのＧＤＰＲの同意取得の要件についてのガイドラインおよび仮訳が閲覧可能である。https://www.ppc.go.jp/files/pdf/doui_guideline.pdf

4――個人データの第三者提供に関する規律

1｜現行法で第三者提供を行うための三つの方法
個人情報取扱事業者がその保有する個人データを第三者に提供するには、三つの方法がある。まずは(1)本人の同意を得る方法である。たとえば企業グループ内で個人データを相互に提供しあい、総合的なサービスを提供しようとする場合など、個人情報取得時に本人より同意を取得することが行われている。このように同意した人のデータのみが提供されることをオプトインという¹³。

次に、(2)あらかじめ本人の同意を得ることはせず、オプトアウトでの個人データを第三者提供する方法である。オプトアウトとは、本人の請求があれば第三者提供を停止することを前提として、本人からあらかじめ同意を取得せず、個人データを第三者に提供するものである。このことを可能とする条件としては、一定の個人データを第三者に提供することを本人が容易に知りうる状況に置くとともに、個人情報保護委員会に届け出を行うことである（法第23条第2項。図表7）。なお、要配慮個人情報については、オプトアウトの方法による第三者提供はできない。>

そして、(3)匿名加工情報を利用する場合である。匿名加工情報とは、個人を特定できる情報を削除するとともに、個人識別符号を削除すること、および特殊な情報（例えば数の少ない難病にり患しており、その情報だけで個人が特定できる情報）は分類項目を大きくするか、数字を丸めるなどを通じて、特定の個人を識別ができないように加工し、個人情報として復元できないものをいう（法第2条第9項）。このように加工された情報はすでに個人情報と見ることはできないため、そもそも個人データの第三者提供制限の枠外となる。

匿名加工情報はビッグデータを第三者に提供するために考えられ、2015年改正で導入された規律である。

¹³ ただし、日本における同意取得は、現実的に拒否できる選択肢がないなど、ＧＤＰＲが要求するような、本人が情報提供されたうえでの任意の同意ということがむつかしいケースが散見される。

2｜オプトアウトの規制強化
今回の法改正では上記二つ目の方法である、オプトアウトについての規律が変更された。これは主に、いわゆる名簿屋に関して、業界内で個人データが転売されたり、また、名簿屋の主体が濫用的に営業停止したり、居所が不明になったりと不適正な取り扱いが確認されたため、それらの弊害に対応するための規制改正が行われたものである¹⁴。

まず、オプトアウトできる個人データは、偽りその他不正の手段により取得したものであってはならない（法第17条、改正法第23条第2項）。オプトアウトにより取得した個人データを、再度オプトアウトにより第三者提供することも禁止されることなった（同項）。このことにより、名簿屋間の名簿の転売は禁止される。

また、オプトアウトしようとする個人情報取扱事業者は、氏名・名称、住所、法人にあっては代表者の氏名を個人情報保護委員会に届け出しなければならない（改正法第23条第2項）。これらを変更したときも届け出が必要である（同第3項）。また、オプトアウトする個人データを取得した方法も届け出事項とされた。

オプトアウトの規定に則って提供されていない名簿の取得は、個人データの不正取得となる可能性が高い。個人データの単なる不正取得には罰則はない（本人から利用停止等は求められうる）ものの、言うまでもなく、出所不明の名簿を事業に利用することは厳に慎まなければならない。このことは経営陣が認識するだけではなく、従業員まで徹底しておく必要がある。

¹⁴ 前掲注７改正大綱p12参照。

3｜第三者提供にかかるトレーサビリティの確保
現行法では、個人データの第三者提供にあたって、提供をする側の記録（法第25条第1項）、提供を受ける側の記録（法第26条第3項）の作成が求められてきた。しかし、これは個人情報保護委員会にとってのトレーサビリティであって、本人のトレーサビリティではないとの批判があった¹⁵。そのため、改正法では、本人がこれらの記録について開示請求ができることとした（改正法第28条第5項）。

また、上述の個人データの利用停止等の事由（利用に必要性がなくなる、あるいは本人の正当な利益が害される等）が、第三者提供情報について認められる場合には、利用停止等を求めることができる（改正法第30条第5項）。

¹⁵ 前掲注７改正大綱ｐ13参照。

5――新たに導入される仮名加工情報

1｜仮名加工情報の意味・定義
個人データから、氏名等を削除することで、個人データの規律がかからないようにする方法としては、すでに匿名加工情報の制度がある。匿名加工情報は上述の通り、第三者提供を前提としており、氏名等の削除のほか、データをある程度丸めないといけないなど、法的な安定性にかけ、使い勝手が悪いとの評価があった¹⁶。

また、社内で利用するにあたっても、上述の開示の対象になったり、安全管理措置を講じたりするなどの負荷が重いとの問題意識もあった。そこで、個人データから氏名や個別識別符号を削除し、データを特定個人に紐づけられない仮名加工情報とすることで、個人データとしての規制を受けず、利活用を行えることとした。このように個人の識別を要しない場合に簡易な取扱を認めることは、すでにＧＤＰＲでも採用されている（ＧＤＰＲ第11条）。

匿名加工情報は第三者に提供するに際して加工が行われるが、仮名加工情報は社内利用を前提として加工が行われる。改正法も仮名加工情報は第三者提供してはならない（改正法第35条の2第6項）とする。

仮名加工に当たっては、識別できないように氏名等の情報を削除するとともに、復元するために必要となる削除情報等は必要な安全措置をとらなければならない（改正法35条の2第1項第2項）。

¹⁶ 前掲注7改正大綱Ｐ21参照。

2｜仮名化による規制適用除外
まず(1)個人データについては収集時の利用目的から目的を変更した場合、個人への通知が必要となるが、仮名加工情報については公表のみでよい（改正法第35条の2第3項）。そのほか、漏洩時の本人への報告（改正法第22条の2）、保有個人データにかかる一定の事項（個人情報取扱事業者の氏名等）の公表、本人からの開示請求（法第28条）、本人からの訂正請求（法第29条）、利用停止（法第30条）などの規律は仮名加工情報には適用がない。

したがって、顧客動向の分析を担当するマーケティング部署などが、個人データ管理部門である事務所管から仮名加工情報としてデータを受け取れば、本人からの開示請求や利用停止請求とはかかわりなく、分析の基礎データとして利用することができる。経営戦略策定の基礎データともなりうる仮名加工情報の活用については検討に値すると思われる。

6――おわりに

今回の改正法は、本人からの開示請求から始まる自分の個人データに関する権利を強化するなど、個人情報保護の規律を強化する一方で、仮名加工情報といったデータの利活用にも配慮したバランスの取れたものになっていると思われる。

注意すべきは、改正法は利活用のバランスをとりつつも、個人データの不正利用については厳格な立場をとっていることである。たとえば法人の役職員が個人情報保護委員会の命令に違反した場合や、個人情報データベースの不正提供を行った場合には、法人に1億円以下の罰金が科せられることとなった（改正法第83条、84条、87条1項1号）。

ところで、今回の新型コロナ感染対策に当たっては、位置情報等の活用が話題となった。携帯会社や店舗等の保有する位置情報や基地局情報、屋外あるいは店内の映像情報を、一部の国の政府が取得・活用して、感染者の濃厚接触者を見つけだし、検査を受けさせ、陽性であれば隔離するということが行われた。

このことはかなりの難問を我々に突き付けている。位置情報という生活の行動、特定の場所にいたということによる趣味趣向、あるいは特定のデモに参加したといった情報すら、防疫という理由があれば、政府に渡してしまうということでよいのかという問題である。日本では、現在までのところ、新型コロナ感染により、欧米ほどの死者を出すことはなかったが、たとえば米国並みの死者が出たとしたならどうなのか。様々な状況を想定しつつ、十分に時間をかけて議論すればよいと思う。海外で成功したからという理由のみで、それに倣うべきという単純な議論ではない。日本の現状にあった考察が求められる。

日本では、駅前の人出の通常時からの減少具合を伝えるとき、ニュースでは必ず「同意を得た個人から取得した位置情報」であることを明確にしてから報道していた。その意味で個人情報がよく守られているのではないかと考える。

片方で、ＥＵのＧＤＰＲやカリフォルニア州の消費者プライバシー法など厳格な個人情報保護法制を入れる国・地域があり、もう片方で、国家や大企業が個人情報を自由に利用できる国・地域がある。どの方向に向かうのか、どこかでバランスをとるのか、新型コロナ禍後の世界がどうなるかは予断を許さないが、グローバル化が止められないとするならば、重大な課題として議論をしていくべきものと思う^17,¹⁸。

¹⁷今回改正では、法の適用対象となるのが、日本国内にある個人の情報を取り扱う事業者を対象とすることとしている（改正法第75条）。海外にある事業者が日本国内にいる個人に関する個人情報保護法違反の場合の執行の問題は残るが、海外当局との協力が求められる（前掲注7改正大綱ｐ29参照）。
¹⁸ なお、報道によれば、自治体の個人情報保護条例のルールを共通化するといった議論が今後進められていくとのことである(2020年10月13日日本経済新聞朝刊第5面参照)。