当事務所のHPはこちらです。https://ambitious.gr.jp/

【個人情報保護法4】改正個人情報保護法の要点3

この記事は約4分で読めます。

1.はじめに

 第3回では、個人情報の保護に関する法律(以下「個人情報保護法」といいます)の改正で、事業者の皆様にとって本丸となる「事業者の守るべき責務の在り方」のうち「個人情報保護委員会への報告及び本人への通知」をご説明いたしました。

 今回は、「事業者の守るべき責務の在り方」のうち「不適正な方法による利用の禁止」と「データ利活用に関する施策の在り方」をご説明いたします。

2.不適正な方法による利用の禁止

 旧法は、個人情報の「取得」は適正な手段によらなければならないと定めていましたが、取得後の個人情報の「利用」は特定した利用目的の範囲内で利用しなければならないと定めるにとどまりました。そのため、特定した利用目的の範囲内での利用であれば、不適正な方法であったとしても、直ちに個人情報保護法には違反することにはなりませんでした。

 また、裁判所による公告等により公開されている個人情報を集約してデータベース化して、インターネット上で公開する場合(「破産者マップ」が問題となりましたし、「新・破産者マップ」は現在も問題となっています)に、直ちに個人情報保護法に違反するとはいえず、個人情報保護法の不備が顕れました。

 そのため、個人情報保護法やその他の法令に直ちに違反するとはいえないものの、個人情報保護法やその他の法令の趣旨や公序良俗に反する等、社会通念上適性とは認められない態様での利用を禁止するため、不適正な方法による利用の禁止が定められることになりました。

 その他の具体例は、個人情報の保護に関する法律についてのガイドライン(以下「ガイドライン」といいます)の通則編(以下「ガイドライン通則編」といいます)に事例が紹介されていますので、併せてご参照ください(ガイドライン通則編40ページ)。

 
3.データ利活用に関する施策の在り方

(1)仮名加工情報の創設

 旧法は、事業者間におけるデータの利活用を促進するため、特定の個人を識別することができないように個人情報を加工し、当該個人情報を復元することができないようにした情報である「匿名加工情報」を規定していました。

 しかし、事業者が必ずしも匿名加工情報を利活用できていなかったり、比較的簡便な加工方法での利活用のニーズが高まったりしました。

 そこで、現行法は、他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工した情報である「仮名加工情報」を創設しました。仮名加工情報は、個人情報と匿名加工情報の中間的な情報であると言われています。

 今回は、「事業者の守るべき責務の在り方」のうち「個人情報保護委員会への報告及び本人への通知」に関する改正ついて、深堀してご説明いたしました。次回は、「事業者の守るべき責務の在り方」のうち「不適正な利用の禁止」や「データ利活用に関する施策の在り方」を中心にご説明いたします。

(2)仮名加工情報の適正な加工

 まず、仮名加工情報を作成するときは、他の情報と照合しない限り特定の個人を識別することができないように加工しなければなりません(現行法41条1項)。具体的には、以下の基準に従い、加工しなければなりません(施行規則31条)。具体的には、以下の措置を講じなければなりません。

  • ア 特定の個人を識別することができる記述等の削除・置き換え
  • イ 個人識別符号の削除・置き換え
  • ウ 不正に利用されることにより財産的被害が生じるおそれのある記述等の削除

 クレジットカード番号や送金機能・決済機能のあるウェブサービスのログインID・パスワード等の不正に利用されることにより財産的被害が生じるおそれのある記述等も、全てを削除するか、他の記述等に置き換えなければなりません。

(3)削除情報等の安全管理措置

 次に、仮名加工情報を作成したときは、削除された記述等や他の記述等に置き換えられた記述等(以下「削除情報等」といいます)の漏えいを防止するために、規則で定める基準に従い、必要な措置を講じなければなりません(現行法41条2項)。具体的には、以下の基準に従い、措置を講じなければなりません(施行規則32条)。

  • ア 削除情報等を取り扱う者の権限及び責任の明確化
  • イ 削除情報等の取扱いに関する規程類の整備・当該規程類に従った削除情報等の適切な取扱い・削除情報等の取扱状況の評価及びその結果に基づき改善を図るために必要な措置の実際
  • ウ 削除情報等を取り扱う正当な権限を有しない者による削除情報等の取扱いを防止するために必要かつ適切な措置の実施

(4)仮名加工情報の取扱い

 続いて、仮名加工情報を取扱うときは、以下の内容を遵守して取り扱わなければなりません。仮名加工情報に特有のものがありますので、ご確認ください。

  • ア 利用目的の範囲内での利用(現行法41条3項)
  • イ 利用目的の公表(現行法41条4項)
  • ウ 利用する必要がなくなった場合の消去(現行法41条5項)
  • エ 第三者提供の禁止(現行法第41条6項)
  • オ 識別行為の禁止(現行法41条7項)
  • カ 本人への連絡等の禁止(現行法41条8項)

(5)適用除外

 なお、仮名加工情報には、①関連性を有すると合理的に認められる範囲での利用目的の変更、②漏えい等の報告等、③本人からの開示等の請求等に関する規定は、適用されません(現行法41条9項)。

4.最後に

 今回は、「事業者の守るべき責務の在り方」のうち「不適正な方法による利用の禁止」と「データ利活用に関する施策の在り方」をご説明いたしました。次回は、「法の域外適用・越境移転の在り方」を中心にご説明いたします。


弁護士 田上 淳一