2022年企業法務の展望

第5回 改正個人情報保護法(2022年4月1日施行)のポイントと実務対応リスト - プラポリの改訂、外的環境の把握、仮名加工情報

IT・情報セキュリティ

目次

  1. はじめに
  2. まず行うべきなのは「個人情報」の正確な理解と「データマッピング」
  3. 改正個人情報保護法 対応事項リスト
  4. プライバシーポリシーの改訂
  5. 安全管理措置に追加された「外的環境の把握」
  6. 二重オプトアウト規制によるビジネスモデルの転換
  7. 個人情報を加工して仮名加工情報を作成する場合の利用目的
  8. おわりに(特定分野ガイドラインの改訂)

2022年4月1日に迫った改正個人情報保護法の施行。2021年の末に実施したBUSINESS LAWYERSのアンケート 1 では、対応が順調に進んでいるとする回答が見られた一方、約8割方の企業では対応遅延や未対応という状況にあることがわかりました。

本稿では杉浦健二弁護士が、改正個人情報保護法が実務に与える影響について、対応事項リストも用いて概観したうえで、個人データの安全管理措置に新たに追加された「外的環境の把握」など、いくつかの注目すべきポイントについて解説します。

凡例
本稿における主な略称は以下のとおりです。 ※なお本稿で参照する個人情報保護法の条文番号は、令和2年改正法における条文番号とあわせて、令和3年改正法における条文番号をカッコ書きで記載しています。

はじめに

 令和2年改正法と令和3年改正法は、いずれも令和4年4月1日に施行されることになっていますが 2、うち令和3年改正法は、主として行政機関や独立行政法人等を対象としたもので一般的な企業にとっては比較的影響が大きくないと思われます 3。そこで本稿では令和2年改正法の内容を中心に、実務上対応を要する事項について解説します。

まず行うべきなのは「個人情報」の正確な理解と「データマッピング」

 改正法対応を行うための大前提として、個人情報の定義を正確に理解しておく必要があります。この理解がずれると、適切な改正対応が行い得なくなるためです(改正法への対応以前に、現行法についても適切な対応ができていなかった可能性も生じます)。

 個人情報とは、ごく端的にいえば、生存する個人に関する情報であって、特定の個人を識別することができるすべての情報を指します(法2条1項1号)4。クッキーなど、それ単体では特定の個人を識別できないオンライン識別子であっても、氏名などの会員情報と紐づけられている場合(または容易に照合することができる場合)は、オンライン識別子を含む情報全体が個人情報に該当します。なお氏名に到達できることは個人情報の要件ではなく、顔画像などで特定の個人を識別できる場合も個人情報に該当する点には留意が必要です 5

 次に自社における個人情報のデータマッピングを行います。個人情報のデータマッピングとは、個人情報の取得(収集)ルート、利用・保管方法(保管サーバの所在国や管理委託先を含む)、第三者に提供している場合は提供先の第三者などを明らかにし、いわば自社における個人情報をめぐる事実関係を「見える化」する作業です。データマッピングにより、適用法令を遵守できているか、改正法対応にあたって何を行うべきかを確認します。なおデータの取得や管理状況は随時変動するため、データマッピングは定期的に確認・更新することが肝要です。

PIAの取組の促進について -PIA の意義と実施⼿順に沿った留意点-

データマッピングの一例として、個人情報保護委員会「PIAの取組の促進について -PIA の意義と実施⼿順に沿った留意点-
(2021年6⽉30⽇)11頁 図表3を引用

改正個人情報保護法 対応事項リスト

 改正法について、日本国内の事業者(個人情報取扱事業者)が対応を要すると考える主なポイントをまとめたのが以下の表です。

【改正個人情報保護法 対応事項リスト】

番号 項目 条文(カッコ内は令和3年改正法) 改正のポイント 具体的に行う対応
保有個人データに関する公表等事項の追加 法27条(32条)1項、施行令8条(10条)1号 公表等事項において、新たに以下の事項が追加された。
  • 事業者の住所、法人である場合の代表者名
  • 本改正で追加された開示等(第三者提供記録の開示請求等)に応じる手続
  • 保有個人データの安全管理措置
プライバシーポリシー等への追記。ただし本人の求めに応じて遅滞なく回答する対応も可能。
個人データの安全管理措置に「外的環境の把握」が追加 法20条(23条)
※ガイドライン通則編の変更
安全管理措置の内容として「外国において個人データを取り扱う場合、当該外国の個人情報の保護に関する制度等を把握した上で、個人データの安全管理のために必要かつ適切な措置」が追加された(ガイドライン通則編10-7)。 自社が外国において個人データを取り扱っているかどうかを調査し、当該外国の個人情報の保護に関する制度等を把握したうえで、講ずべき安全管理措置を検討する。
利用目的の見直し 法15条(17条)
※ガイドライン通則編の変更
「本人から得た情報から、本人に関する行動・関心等の情報を分析する場合、……どのような取扱いが行われているかを本人が予測・想定できる程度に利用目的を特定しなければならない」とガイドラインが改訂された(ガイドライン通則編3-1-1)。 該当する場合は、プライバシーポリシー等における利用目的の変更。ただし変更内容によっては本人から同意取得が必要になる(法15条(17条)2項)。
共同利用を行う場合における通知等事項の追加 法23条(27条)5項3号 本人に通知するか容易に知り得る状態に置くべき事項として、新たに以下の事項が追加された。
  • 共同利用する個人データの管理責任者の住所、法人である場合の代表者名
プライバシーポリシー等への追記。
学術研究にかかる適用除外規定の精緻化 法23条(27条)1項5号6号7号ほか 個人データの第三者提供を本人同意なく行える場合として、学術研究機関等に関する事項が追記された。
現行法では学術研究機関等が学術研究目的で個人情報を取り扱う場合等について包括的な適用除外が定められていたところ(法76条1項3号)、各種義務を定める条項において例外規定として定める精緻化が行われた(ほかに16条(18条)3項、17条(20条)2項など)。なお安全管理措置や保有個人データの開示等については学術研究機関等についても適用されることとなった。
現行法の条文をプライバシーポリシー等に転記している場合等は、修正や追記を検討する。
(学術研究機関等における対応については本稿では省略する。)
個人関連情報提供時における同意取得の確認義務 法26条の2(31条) 提供先が個人関連情報を個人データとして取得することが想定されるときは、提供先において本人同意が得られていることを確認する義務が定められた。
  • 自社が個人関連情報を提供している場合、提供先が個人データとして取得することが想定されるときは、提供先から提供先が同意を得ていることを誓約する書面を受け入れる等、確認方法を確定する(ガイドライン通則編3-7-3-1)。あわせて、個人関連データの提供に関する契約書等において、提供先の同意取得義務に関する条項等の追記を行う。
  • 自社が第三者からcookie等の個人関連情報を個人データとして取得する場合、プライバシーポリシー等において本人から同意を取得するための条項を追記する等、同意取得フローを整理する(ガイドライン通則編3-7-2-3,末尾【付録】、パブコメ通則編405参照)。
外国にある第三者への個人データ提供時における情報提供義務 法24条(28条)
規則11条の2(16条)、11条の3(17条)、11条の4(18条)
EUおよび英国以外の外国にある第三者の提供は、法23条(27条)1項の場合を除いて①本人同意取得か②第三者が基準適合体制を整備していることを要するところ、
  1. 同意取得による場合、当該外国の名称、当該外国における個人情報の保護制度に関する情報(個人情報保護委員会令和4年1月24日付情報提供文書参照)、当該第三者が講ずる個人情報保護のための措置に関する情報を提供する義務が定められた(法24条(28条)2項、規則11条の3(17条))。
  2. 第三者が基準適合体制を整備していることを根拠とする場合、当該第三者における相当措置の継続的な実施を確保するために必要な措置を講ずるとともに、本人の求めに応じて当該必要な措置に関する情報を提供する義務が定められた(法24条(28条)3項、規則11条の4(18条))。
該当する場合、自社が①か②いずれの根拠に基づいて提供するのかを整理したうえで、プライバシーポリシー等への追記を行う。①に基づく場合は同意取得フローの整理、②に基づく場合は当該第三者による相当措置の実施状況等を定期的に(年に1回またはそれ以上の頻度で)確認する等の措置を講ずる体制を整えるともに、本人の求めがあった場合に提供する「当該必要な措置に関する情報」(法24条(28条)3項、規則11条の4(18条)3項)を準備しておく。
オプトアウト手続きの厳格化 法23条(27条)2項
  • オプトアウトにより提供を受けた個人データ(二重オプトアウト)
  • 偽りその他不正の手段(法17条(20条)1項)により取得した個人データ
  • をオプトアウトにより提供することが禁止された。
二重オプトアウトによる個人データ提供を行っている企業は、ビジネスモデルの変更を要する。なおオプトアウトを行う際、本人に通知するか容易に知り得る状態に置く事項が追加されている点に留意する(法23条(27条)2項1号4号8号)。
仮名加工情報の創設 法2条9項(5項)、35条の2(41条)、35条の3(42条) 「仮名加工情報」が創設された。仮名加工情報については、利用目的変更の制限や開示・利用停止等の請求対応、漏えい等報告義務が緩和される。 作成にあたっては一定の加工基準(規則18条の7(31条))を満たす必要があるほか、個人情報である仮名加工情報を作成後、利用目的を変更した場合は、当該仮名加工情報の利用目的の公表を要する(法35条の2(41条)4項、18条(21条)3項)。
漏えい報告の義務化 法22条の2(26条) 個人データの漏えい等が発生し、個人の権利利益を害するおそれが大きいものとして規則が定める一定の場合は、個人情報保護委員会への報告と本人への通知が法的義務となった。 社内規定や運用、プライバシーポリシー等の見直し。
保有個人データの開示等請求の対象追加と要件緩和 法28条(33条)2項 保有個人データの利用停止・消去等の要件が緩和されたほか、開示対象に第三者提供記録が追加された。また開示方法について、電磁的記録の提供を含めて本人が指示できるようになった。 社内規定や運用、プライバシーポリシー等の見直し。
短期保存データの廃止 法2条7項(16条4項) 6か月以内に消去する短期保存データも保有個人データに含められ、開示や利用停止等の対象となった。 社内規定や運用、プライバシーポリシー等の見直し。

※本表は改正法への主な対応事項のみをピックアップしたものであり、対応が必要となるすべての事項を網羅したものではありません。
なお改正法への対応のみならず、各ガイドラインやQ&Aの追加・改訂への対応も行う必要があります。


 データマッピングにより整理した自社の個人情報をめぐる事実関係にあわせて、この表を確認いただくことで、主要な対応事項をピックアップいただけるのではないかと考えます。紙幅の都合上、すべての項目について詳細に解説することはできませんが、今回は上記のなかからいくつかの注目すべきトピックを紹介します。

プライバシーポリシーの改訂

 プライバシーポリシー等において公表等が求められる事項が追加されました(表①、表②)。
 このうち、事業者の住所や法人代表者名は、プライバシーポリシー等から自社ウェブサイトの会社概要ページにおける記載にリンクを張る等の方法でも足り 6、また共同利用する場合における個人データの管理責任者の住所や法人代表者名(表④)についても、プライバシーポリシーに直接追記する方法のほか、当該情報が記載された会社概要ページへのリンクを張る方法でも足りると解されます 7これらの事業者情報については、更新ずれの発生を防ぐ意味でも、会社概要ページへのリンクを張る方法が便宜といえそうです

 また、令和3年改正法では、個人データの第三者提供を本人の同意を得ずに行える場合として、学術研究機関等に関する例外が追記されています(表⑤。法23条(27条)1項5号6号7号)。現在のプライバシーポリシー等において「個人情報保護法が例外として認める場合のほか、本人の同意を得ずに個人データを第三者に提供しません。」等と記載している場合はよいのですが、現行法(23条1項)における例外事由をそのままプライバシーポリシー等で転記している場合は、更新を検討する必要が生じます。令和3年改正法では、提供先の第三者が学術研究機関等にあたる場合、一定の要件を満たせば本人同意取得を要しないと条文上で定められており(法23条(27条)7号)、この改正事項は自社が学術研究機関等に該当しない場合でも影響が生じる点にも留意が必要でしょう。

 あわせて、短期保存データの廃止(表⑫)、開示等の対象となる保有個人データの範囲や開示方法(表⑪)についても、プライバシーポリシー等で現行法の条文をそのまま記載している場合は改訂が必要となります。保有個人データの利用停止や消去等の要件も緩和されたので(表⑪)、プライバシーポリシー等を改訂する必要があるでしょう。
 もちろんプライバシーポリシー等の形式的な改訂のみならず、社内の運用についても変更する必要があるため、担当部署における周知や社内規程の変更もあわせて実施する必要があります。

安全管理措置に追加された「外的環境の把握」

 改正法のなかでも特に影響が大きいと思われるのが、事業者に講ずべき義務が課せられている個人データの安全管理措置の内容について、ガイドラインで新たに「外的環境の把握」が追加され 8、かつ、外的環境の把握を含む保有個人データの安全管理措置について、本人の知り得る状態に置かなければならないと定められたことです(表②、表①。法27条(32条)1項、施行令8条(10条)1号)。
 外的環境の把握とは、「個人情報取扱事業者が、(1)外国において個人データを取り扱う場合、(2)当該外国の個人情報の保護に関する制度等を把握した上で、(3)個人データの安全管理のために必要かつ適切な措置」を講じることを指すとされています 9
 (1)「外国において個人データを取り扱う場合」とは、たとえば以下の場合が該当します 10

  • 外国にある支店・営業所に個人データを取り扱わせる場合(Q&A Q10-23)
  • 外国にある支店等や従業者が、日本国内に所在するサーバに保存されている個人データにアクセスして、これを取り扱う場合(Q-A Q10-23)
  • 外国にある第三者に個人データの取扱いを委託する場合(自社の委託先が外国にある第三者に個人データの取扱いを再委託する場合を含む。Q&A Q10-24)
  • 外国にある個人情報取扱事業者が、国内にある者に対する物品または役務の提供に関連して、国内にある者を本人とする個人データを取り扱う場合(Q&A Q10-22)
  • 外国に居住してテレワークをしている従業者に個人データを取り扱う業務を担当させる場合(Q&A Q10-23)
  • 個人情報取扱事業者自らが外国に設置し、自ら管理・運営するサーバに個人データを保存する場合(Q-A Q12-3)
  • 外国にあるクラウドサービス提供事業者が個人データを取り扱わないこととなっている場合において、当該クラウドサービスを利用し、その管理するサーバに個人データを保存する場合(Q&A Q10-25)

 上記のうち、特に注意を要するのが外国のクラウドサービスを利用している場合です。近年は多くの事業者が、外国事業者が提供するクラウドサービスを利用しているところ、Q&Aでは、この場合に事業者が果たすべき安全管理措置として「クラウドサービス提供事業者が所在する外国の名称」と「個人データが保存されるサーバが所在する外国の名称」のいずれについても明らかにし、当該外国の制度等を把握したうえで講じた措置の内容を本人の知り得る状態に置く必要があるとしています 11。外国にある第三者に対して個人データを提供している場合(個人データの取扱いを委託している場合や共同利用している場合を含みます。法24条(28条))のみならず、外国のクラウドサービスを利用して個人データを保存しているすべての個人情報取扱事業者が対象となる点には留意を要します。

 (2)「当該外国の個人情報の保護に関する制度等」については、個人情報保護委員会が、令和4年1月24日付で、米国や中国、ロシアなどの31の国と地域における制度等の調査結果として「情報提供文書」を公表しましたので 12、こちらを参照することが便宜と考えられます。他方、これらの国と地域に含まれない外国の個人情報保護制度については事業者が自ら調査を要することになりますが、調査の範囲や程度については「情報提供文書」を参考とすればよいでしょう。

 以上を把握したうえで、(3)「個人データの安全管理のために必要かつ適切な措置」をとっていくことになりますが、EUまたは英国 13 のほか、EUの十分性認定の取得国または地域 14 やAPECのCBPRシステム 15 の参加エコノミー 16(民間部門)である場合、「情報提供文書」では個人情報の保護について「概ね我が国と同等の保護が期待できる」としていることに鑑みると 17、基本的には日本国内における安全管理措置と同等の措置を講じることで、個人情報保護法上の要請には応えられていると解してよいのではないかと考えます。
 他方、事業者に対し政府の情報収集活動への協力義務を課す制度(ガバメント・アクセス)など、本人の権利利益に重大な影響を及ぼす可能性のある制度が存する外国において個人データを取り扱う場合は、当該外国において個人データを取り扱う必要性や取り扱う個人データの内容等を踏まえた、相応の安全管理措置が求められるものと考えます 18

 改正法では、以上の外的環境の把握を含めた保有個人データの安全管理措置を実施したうえで、本人の知り得る状態に置かなければならない旨が定められました(表①。法27条(32条)1項、施行令8条(10条)1号)19。もっとも、ここにいう本人の知り得る状態とは、本人の求めに応じて遅滞なく回答する場合を含むとされているため(法27条(32条)1項)、保有個人データの安全管理措置の概括的な内容のみをプライバシーポリシー等で公表し、具体的な内容については、本人の求めがあった場合に遅滞なく回答するといった対応も可能と考えます 20
 また保有個人データの安全管理措置のうち「本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置くことにより当該保有個人データの安全管理に支障を及ぼすおそれがあるもの」、たとえば営業秘密に係る事項など 21 については、プライバシーポリシー等で公表する義務や、本人の求めがあった場合に回答する義務を負わない点もあわせて押さえておきたいところです(施行令8条(10条)1号)22

 なお本稿では紙幅の都合で詳しく触れられませんが、EUまたは英国を除く外国にある第三者へ個人データを提供する場合、原則として①本人から同意を取得するか②提供先の第三者が規則において定められた基準適合体制を整備していることを要するところ、改正法では、これらの場合における本人への情報提供義務の充実等が図られています(改正の概要は表⑦に記載。法24条(28条)、規則11条の2(16条)、11条の3(17条)、11条の4(18条))。

二重オプトアウト規制によるビジネスモデルの転換

 個人データを含むデータベース等を取り扱っている事業者のなかには、他社(一次提供者)からオプトアウトに基づいて個人データの第三者提供を受けたうえで、自社の顧客に対してさらにオプトアウトを根拠として提供するビジネスを行っている企業もあるところ、改正法では新たに二重オプトアウトが禁止されたことにより(表⑧)、ビジネスモデルの見直しを余儀なくされている可能性もあります 23。このような事業者が二重オプトアウト規制の適用を受けないようにするためには、たとえば一次提供者から自社が個人データの提供を受けるのではなく、一次提供者と自社の顧客間で直接個人データの提供を行うための場(プラットフォーム)を提供する立場に業態を変更すること等も考えられます。

個人情報を加工して仮名加工情報を作成する場合の利用目的

 改正法で新たに創設された仮名加工情報を活用することで、利用目的の変更の制限等が適用除外となるため(法35条の2(41条)9項、15条(17条)2項)、当初の個人情報取得時の利用目的以外の目的(内部分析のための利用など)での利用が可能となります。
 なお、自社が保有する個人情報を加工して仮名加工情報を作成したからといって、ただちに現在の利用目的とは異なる利用目的での利用ができるわけではなく、あくまで現在の利用目的を変更し、仮名加工情報の利用目的として公表したうえで、はじめて仮名加工情報を変更後の利用目的のもとで利用することができるようになる点には留意を要します 24
 自社が保有する個人情報をもとに作成した仮名加工情報を、当初の利用目的とは異なる利用目的で利用するための具体的な手続きの流れを以下に記載します。

自社が保有する個人情報を加工して作成した仮名加工情報について、当初の利用目的とは異なる利用目的で利用するための手続き

現在保有する個人情報の一部を削除する等の加工をして、仮名加工情報を作成する。(作成の元となった個人情報等を保有している場合、作成された仮名加工情報は、個人情報である仮名加工情報にあたる 25。法35条の2(41条)第1項、規則18条の7(31条))

作成した仮名加工情報については、作成の元になった個人情報に関して特定されていた利用目的が引き継がれる。(Q&A Q14-14・Q14-15)

仮名加工情報については、利用目的の変更制限に関する法15条(17条)2項が適用されないため、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えた利用目的の変更が可能。

仮名加工情報の利用目的を変更した後は、変更後の利用目的を公表する必要がある。(法35条の2(41条)4項により読み替える法18条(21条)3項4項。ガイドライン仮匿編2-2-3-1-2)

 変更後の利用目的を公表する際は、その利用目的が仮名加工情報に関するものであることを明確にする必要があります(Q&A Q14-15)。たとえばプライバシーポリシー等では、個人情報の利用目的にあわせて、仮名加工情報の利用目的を以下のように併記することが考えられます。

仮名加工情報に関する利用目的の記載例

【個人情報の利用目的】
当社は、お客様の個人情報を以下の目的で利用します。
  • 当社Webサービス◯◯における商品の発送、関連するアフターサービス、新商品・サービスに関する情報のお知らせのため
【仮名加工情報の利用目的】
当社は、個人情報保護法の定めに従い、お客様の個人情報を他の情報と照合しない限り特定の個人を識別することができないように加工した仮名加工情報を、以下の目的で利用します。
  • お客様に応じたサービスのご提案を行うために当社が開発を委託する機械学習モデルの学習用データセットとして用いるため

おわりに(特定分野ガイドラインの改訂)

 本稿では、改正法が実務に与える影響を概観し、いくつかのポイントを解説しました。
 なお、個人情報保護法の改訂にあわせて、各特定分野のガイドライン 26 も改正案が公表されていますので、自社のビジネスが関係する特定分野についてはあわせて参照しておく必要があります(「電気通信事業における個人情報保護に関するガイドライン及びその解説」27、「放送受信者等の個人情報保護に関するガイドライン及び解説」28、「『金融分野における個人情報保護に関するガイドライン』及び『金融分野における個人情報保護に関するガイドラインの安全管理措置等についての実務指針』」29、「信用分野における個人情報保護に関するガイドライン」30 など)。

 本稿が改正法対応実務に携わる皆様の一助となれるようでしたら幸いです。


  1. BUSINESS LAWYERS「改正個人情報保護法への対応状況は? 読者アンケートに見る2022年の重要トピック(2)」(2022年2月17日公開) ↩︎

  2. ただし、デジタル社会の形成を図るための関係法律の整備に関する法律51条による改正に係る部分(地方関係)の施行期日は、同法の公布日(令和3年5月19日)から起算して2年を超えない範囲内で別途定められることとなっています。 ↩︎

  3. もっとも令和3年改正法の施行に伴い、条文番号が大幅に変更になる点については、一般的な事業者にとっても影響が大きいといえます。 ↩︎

  4. 特定の個人を識別することができる情報には、他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含みます。また生存する個人に関する情報のうち個人識別符号が含まれるものも個人情報にあたります(法2条1項1号2号、2項)。 ↩︎

  5. ガイドライン通則編 2-1 ↩︎

  6. パブコメ通則編 446 ↩︎

  7. 「本人が容易に知り得る状態」について、ガイドライン通則編 3-6-3(※4)、3-6-2-1(※2)参照。 ↩︎

  8. ガイドライン通則編 10-7 ↩︎

  9. ガイドライン通則編 10-7 ↩︎

  10. Q&A Q10-22 ↩︎

  11. Q&A Q10-25。ただし、個人データが保存されるサーバが所在する国を特定できない場合には、サーバが所在する外国の名称に代えて、①サーバが所在する国を特定できない旨およびその理由、および、②本人に参考となるべき情報(たとえば、サーバが所在する外国の候補が具体的に定まっている場合における当該候補となる外国の名称等)を本人の知り得る状態に置く必要があるとしています。 ↩︎

  12. 個人情報保護委員会ウェブサイト「外国における個人情報の保護に関する制度等の調査」(令和4年1月24日)における情報提供文書。なお個人情報委員会によれば、すでに公表した31の国と地域に加えて、イスラエルを含む9つの国または地域に関する個人情報保護制度の調査結果についても令和3年度中に公表する予定とのことです(令和4年2月10日付「外国における個人情報の保護に関する制度等の調査について」)。 ↩︎

  13. 「個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるもの」(法24条(28条)1項)。 ↩︎

  14. 2022年2月時点でアルゼンチン、イスラエル、ウルグアイ、英国、カナダ(民間部門)、韓国、スイス、ニュージーランド等。日本も十分性認定取得国に含まれます(ただし補完的ルールあり)(2022年2月時点)。 ↩︎

  15. The APEC Cross-Border Privacy Rules (CBPR) System/アジア太平洋地域における越境プライバシー保護ルール。 ↩︎

  16. オーストラリア、カナダ、韓国、シンガポール、台湾、フィリピン、米国、メキシコ。日本も参加エコノミーに含まれます(2022年2月時点) ↩︎

  17. 前掲注12)「情報提供文書」注釈 ↩︎

  18. 当該外国において個人データを取り扱うことが適切かどうかを含めた、慎重な対応が求められる場合もあると考えます。なお個人情報保護委員会「個人情報保護法いわゆる3年ごと見直し制度改正大綱」(令和元年12月13日)29頁は、「例えば、データ・ローカライゼーション政策との関係から、本人による個人データの消去の請求に越境移転先の事業者が対応することができないおそれや、外国政府による無制限なガバメント・アクセスによって、我が国で取得され越境移転された個人データが不適切に利用されるおそれがある。こうした国家管理的規制は、個人の権利利益の保護の観点から看過しがたいリスクをもたらすおそれがある。」と言及しています。 ↩︎

  19. ガイドライン(通則編)に沿って安全管理措置を実施しているといった内容の掲載や回答のみでは適切ではないとされています(ガイドライン通則編 3-8-1)。 ↩︎

  20. パブコメ通則編 456 ↩︎

  21. パブコメ通則編 447。なおガイドライン通則編 3-8-1は、本人の知り得る状態に置くことにより支障を及ぼすおそれがあるものの事例として「事例1)個人データが記録された機器等の廃棄方法、盗難防止のための管理方法、事例2)個人データ管理区域の入退室管理方法、事例3)アクセス制御の範囲、アクセス者の認証手法等、事例4)不正アクセス防止措置の内容等」をあげています。 ↩︎

  22. ガイドライン通則編では「本人の適切な理解と関与を促す観点から、保有個人データを取り扱っている外国の制度についても、本人の知り得る状態に置くといった対応が望ましい」とされています(ガイドライン通則編 3-8-1)。 ↩︎

  23. 一般財団法人情報法制研究所 個人情報保護法研究TF 企業データベース事業WG「個人情報保護法令和2年改正に伴う企業データベース事業への影響に関する検討(提言に向けた中間整理)」(2021年1月15日)13頁は、「令和2年改正が企業データベース事業について事業継続を困難にし、社会経済の健全な発展を阻害する可能性がある。」としています。 ↩︎

  24. 佐脇紀代志「一問一答 令和2年改正個人情報保護法」(商事法務、2020年)22頁。 ↩︎

  25. パブコメ匿名加工編5、9 ↩︎

  26. 個人情報保護委員会「特定分野ガイドライン」 ↩︎

  27. 総務省「電気通信事業における個人情報保護に関するガイドライン及びその解説の改正案に対する意見募集」(令和4年1月26日) ↩︎

  28. 放送分野の視聴データの活用とプライバシー保護の在り方に関する検討会(第5回)「放送受信者等の個人情報保護に関するガイドライン及び解説の改正案について」(令和4年1月19日) ↩︎

  29. 金融庁「『金融分野における個人情報保護に関するガイドライン』及び『金融分野における個人情報保護に関するガイドラインの安全管理措置等についての実務指針』の一部改正(案)に対する意見募集について」(令和3年12月22日) ↩︎

  30. 信用分野における個人情報保護に関するガイドラインの一部改正案に対する意見募集について」(令和3年12月22日) ↩︎

この特集を見ている人はこちらも見ています

無料会員登録で
リサーチ業務を効率化

1分で登録完了

無料で会員登録する