展望 2020年の企業法務

第9回 個人情報保護法改正の動向と、企業の実務に与える影響に注目を - 情報・セキュリティ分野(前編)

IT・情報セキュリティ

目次

  1. 情報・セキュリティ関連分野における2020年の動き
  2. 個人情報保護法の改正
    1. 「不適正な利用の禁止」と「利用目的の公表」
    2. 開示の電子化、および利用停止、削除、第三者提供の停止
    3. 「個人関連情報」概念の新設と、提供先において個人データとなることが想定される場合の同意取得
    4. 仮名加工情報
    5. その他

 2019年は、就職情報サイト「リクナビ」によるいわゆる「内定辞退率」問題をはじめ、個人情報やクッキー(Cookie)などのデータの取り扱いについて大きな注目が集まりました。
 2020年は「個人情報保護法の改正」や「デジタル・プラットフォーム事業者に対する規制に向けた動き」など大きなトピックが見込まれる情報・セキュリティ関連分野について、企業法務に関わる展望を牛島総合法律事務所の影島 広泰弁護士が解説します。

 前編にあたる本稿では、同分野において2020年に見込まれる動向の概要と、個人情報保護法の改正について解説しています。

「デジタル・プラットフォーム事業者への規制」「改正サイバーセキュリティ基本法」「海外の個人情報保護法制」に関する動向について解説した、本稿の後編「第10回 法制の動向を見据え、社内で収集・蓄積されているデータの棚卸しを - 情報・セキュリティ分野(後編)」もぜひご参考ください。

情報・セキュリティ関連分野における2020年の動き

 情報・セキュリティ関連分野において、2020年に一番大きなトピックになると考えられるのが、個人情報保護法の改正です。ウェブの閲覧履歴や位置情報を取得・蓄積・分析してマーケティングに利用するなど、データの利活用に向けた企業の動きが加速していますが、個人情報保護法の改正はこれに大きな影響を与えると考えられます。2020年1月14日まで、個人情報保護委員会が公表した「個人情報保護法 いわゆる3年ごと見直し 制度改正大綱(以下、改正大綱)」に対するパブリックコメントが行われ、その後、2020年3月10日に「個人情報の保護に関する法律等の一部を改正する法律案(以下、改正法案)」が閣議決定され、第201回通常国会に提出されました。

 また、デジタル・プラットフォーム事業者(以下「PF事業者」といいます)に対しては、2019年12月17日に、公正取引委員会が、消費者から個人情報等を取得・利用することに対して独占禁止法の優越的地位の濫用を適用する旨の「デジタル・プラットフォーム事業者と個人情報等を提供する消費者との取引における優越的地位の濫用に関する独占禁止法上の考え方」を公表するとともに、「企業結合審査に関する独占禁止法の運用指針(企業結合ガイドライン)」および「企業結合審査の手続に関する対応方針(企業結合手続対応方針)」を改定しました。
 さらに、2020年2月18日には、PF事業者のうちでも大規模なオンラインモール等(「特定デジタルプラットフォーム」)を対象とする新法「特定デジタルプラットフォームの透明性及び公正性の向上に関する法律案」が閣議決定され、通常国会に提出されました。

 サイバーセキュリティの分野では、今後のオリンピック開催に合わせ海外からのサイバー攻撃が激化することが懸念されています。これに備えて、2019年4月1日にサイバーセキュリティ基本法の改正法が施行されており、官民学を横断する「サイバーセキュリティ協議会」が設置されて、情報共有がはじまっています。

 海外に目を向けると、2020年5月27日に、タイの個人データ保護法(Personal Data Protection Act、PDPA)が1年間の猶予期間を終了し、企業に対する適用が始まります。タイには多くの日本企業が進出していますので、同日までに対応を進める必要があります。

 7月1日には、カリフォルニア州消費者プライバシー法(California Consumer Privacy Act、CCPA)の規則が施行され、enforcementが開始されます。「消費者プライバシー法」という名称から想像されるところとは異なり、従業員の個人情報やB to Bの文脈での取引先の担当者の個人情報もその対象となっていますので、カリフォルニア州の居住者の個人情報を取り扱っている企業は対応が必要となる可能性があります 1

 EUでは、eプライバシー規則案が、どのような内容で可決成立するかに注目です。eプライバシー規則案は、2019年11月22日に、EU理事会の常任委員会(Permanent Representatives Committee of the Council of the European Union)によって否決されており、今後、案の改定が行われる予定であるためです。

情報・セキュリティ関連分野における2020年の主な動き

日時 地域 動向の内容
1月14日 日本 個人情報保護法「改正大綱」のパブリックコメント締切り
2月18日 日本 特定デジタルプラットフォームの透明性及び公正性の向上に関する法律案の閣議決定、国会提出へ
3月10日 日本 個人情報保護法の改正法案の閣議決定、国会提出へ
3月ころ 日本 サイバーセキュリティ基本法にもとづく「サイバーセキュリティ協議会」の構成員募集
5月27日 タイ 個人データ保護法(PDPA)の適用開始
7月1日 米国カリフォルニア州 消費者プライバシー法(CCPA)のenforcement開始
2020年中? EU eプライバシー規則案のEU理事会での審議

個人情報保護法の改正

 個人情報保護法は、2017年5月に改正法が施行されましたが、その際の改正附則において、施行後3年ごとに「個人情報の保護に関する国際的動向、情報通信技術の進展、それに伴う個人情報を活用した新たな産業の創出及び発展の状況等を勘案し」、検討・見直しをすることとされました。2020年に予定されている改正は、この改正附則が定めるスケジュールに従ったものということになります。

 2019年12月13日に個人情報保護委員会が公表した「改正大綱」に対するパブリックコメントが2020年1月14日まで行われ、その後2020年3月10日に「改正法案」が閣議決定されて国会に提出されましたので、本項では改正法案と改正大綱をベースに、企業法務から注目すべき点を検討します。

「不適正な利用の禁止」と「利用目的の公表」

 改正法案と改正大綱にあげられている項目のなかで、多くの企業における個人情報の取扱いに大きな影響があると考えられるものとして、まず、「不適正な利用の禁止」「利用目的の公表」があります。

 まず、改正法案では、「不適正な利用の禁止」として、「個人情報取扱事業者は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない」とされています(改正法案16条の2)。これは、破産者マップの事件 2 などを念頭に置いた改正であるとされていますが、「違法又は不当な行為を助長し、又は誘発するおそれがある方法」が具体的にどのような内容を指すのか、法律の文言では明らかになっていません。今後公表されるであろうガイドラインの記載ぶりによっては、企業の個人情報の取扱い全般にとても大きな影響を与える可能性があります。

 現行の個人情報保護法では、個人情報を「取得」する場面では「適正な取得」が義務づけられていますが(個人情報保護法17条1項)、「利用」する場面での「適正な利用」については、個人情報取扱事業者の義務としては明確には定められていません 3。今後、個人情報の「不適切な利用」が「禁止」されることになれば、社内の個人情報の利用について棚卸しして「不適正」であると評価されないかを確認するとともに、今後新しく個人情報の利用を始める際には、それの利用が不適正ではないか確認するフローを作る必要が出てくるかもしれません

 また、改正大綱では、「保有個人データに関する公表事項の充実」として「個人情報取扱事業者の適正な取扱いを促す観点から、個人情報の取扱体制や講じている措置の内容、保有個人データの処理の方法等の本人に説明すべき事項を、法に基づく公表事項(政令事項)として追加することとする」とされています。これは、施行令の改正によるものですので、今回の改正法案には盛り込まれていません 4 が、大きな影響があると考えられます。

 現行の個人情報保護法では、個人情報について利用目的を通知等することが義務づけられている(個人情報保護法18条1項、2項)ほか、保有個人データについて下表の4項目を「本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない」とされています(個人情報保護法27条1項、個人情報保護法施行令8条)。今後、保有個人データの情報提供義務の対象に、「個人情報の取扱体制や講じている措置の内容」と「保有個人データの処理の方法」等が追加されることになりそうです

公表が必要な事項

現行法 改正大綱
個人情報
  • 利用目的

  • 保有個人データ
  • 事業者の氏名または名称
  • 利用目的
  • 開示等の請求に応じる手続
  • 苦情の申出先
個人情報
  • 利用目的

  • 保有個人データ
  • 事業者の氏名または名称、住所、代表者の氏名
  • 利用目的
  • 開示等の請求に応じる手続
  • 苦情の申出先
  • 個人情報の取扱体制や講じている措置の内容
  • 保有個人データの処理の方法等

 これらの公表事項は、実務的には、プライバシーポリシーに記載して公表しておくという対応を取るのが一般的です。

 また改正大綱に基づき追加される項目のうち「個人情報の取扱体制や講じている措置の内容」は、すでに個人情報保護法のガイドラインに従って安全管理措置を講じているはずですから、その内容を記載すればよいことになるはずです。

 これに対し、「保有個人データの処理の方法」については、大きな影響があると考えられます。

 多くの日本企業のプライバシーポリシーでは、利用目的が、個人情報の項目や利用の態様等を区別することなく、ずらっと列挙されています(下表参照)。

多くの日本企業によるプライバシーポリシー例

当社はお客様の個人情報を以下の目的で利用します。
(1)商品発送のため
(2)お客様に最適な商品をご提案するため
(3)当社及び当社の提携先の商品・サービスのご案内のため

 改正大綱によれば、処理の方法を記載することになりますので、これでは足りないことになります。たとえば、以下のような記載に変更することになるかもしれません(詳細は、改正法令およびガイドラインによって定まりますので、以下は本稿執筆時点での予想に過ぎません)。

予想される変更後のプライバシーポリシー例

当社はお客様の個人情報を以下の目的で利用します。
(1)お客様の氏名、住所、電話番号を以下の目的で利用します。
 ・ご購入いただいた商品の発送、アフターサービスの提供のため

(2)お客様の当社ウェブサイトの閲覧履歴、購買履歴を蓄積して分析し、以下の目的で利用します。
 ・お客様に最適な商品をウェブサイト上でご提案するため
 ・当社および当社の提携先の◯◯商品・サービスのご案内のため

 これを行うためには、社内・グループ企業内での個人情報の取扱いをすべて調査し、一覧表(台帳)にするなどして、それぞれの個人データをどのような方法で処理しているのかを棚卸しする必要が出てくるでしょう

開示の電子化、および利用停止、削除、第三者提供の停止

 改正法案によれば、保有個人データについての開示請求につき、電磁的記録(電子データ)の提供による方法等での開示が請求できるとされました(改正個人情報保護法案28条1項)

 現行法では、書面での開示が原則とされていますが(個人情報保護法28条2項、個人情報保護法施行令9条)、改正法案によれば、本人が、電磁的記録の提供を含め、開示方法を指示できるようにするとされているのです。

 電子データでの開示をするためには、システム的な対応が必要になるケースもあると考えられます。改正法案28条2項では「当該方法による開示に多額の費用を要する場合その他の当該方法による開示が困難である場合にあっては、書面の交付による方法」によるとされていますので、どのような場合がこの例外にあたるのかをガイドラインを含めて見極め、システム上の対応を要するのであれば、早めに対応を進める必要が出てくるでしょう。

 なお、ここで注意したいのが、「私の保有個人データをすべて開示して下さい」という請求があった場合の対応です。2018年12月25日に個人情報保護委員会のQ&A「Q6−5」が以下のとおり改正されているからです。

改正前のQ&A 現行のQ&A
個人情報取扱事業者は、開示を請求している本人に対して、対象となる保有個人データを特定するに足りる事項の提示を求めることができます。したがって、本人開示を請求する範囲を一部に特定してもらい、本人が特定した範囲で開示をすれば足ります。 個人情報取扱事業者は、開示を請求している本人に対して、対象となる保有個人データを特定するに足りる事項の提示を求めることができます。したがって、本人が、この求めに応じて、開示を請求する範囲を一部に特定した場合には、本人が特定した範囲で開示をすれば足ります。

 改正前のQ&Aでは、開示を請求する範囲を一部に特定してもらうことができるように読めましたが、そのような読み方は誤っているとされ、現在のQ&Aでは本人にそのような要請をすることができないとされています。文言上はわずかな修正ですが、実務上は大きな違いになっていますので注意が必要です。クッキーなどに保存されている識別子や位置情報などは、システムを利用している担当者ですら、「その人」の情報がどれなのかを特定することが困難であるケースも多いと思われます。「私の保有個人データをすべて電子データで開示して下さい」と言われた場合にどのように対応するのかは、保有個人データの定義、開示の例外規定の解釈、システム対応等を含めた難しい判断が要求されることになるかもしれません 5

 また改正法案では、利用停止権、削除権、第三者提供の停止について、要件が緩和されるとされています。

 現行法では、内容が事実でないときの訂正、追加または削除請求(個人情報保護法29条)と、個人情報保護法16条違反(目的外利用)または個人情報保護法17条違反(適正取得違反)のときの利用の停止・消去請求(以下「利用停止等」といいます)のみが認められており(個人情報保護法30条1項)、また、第三者提供の際に同意を得ていない場合には、第三者提供の停止を請求できます(個人情報保護法30条3項)。その範囲が広がるのです。

 改正法案では、まず、利用停止等については、目的外利用、適正取得違反の場合だけではなく、不適正な利用の禁止(改正法案16条の2)に違反した場合にも認められることになります(改正法案30条1項)。

 さらに、以下の場合には、利用停止等または第三者への提供の停止を請求できることとされます(改正法案30条5項)。

  1. 当該個人情報取扱事業者が利用する必要がなくなった場合
  2. 漏えい等の報告等の事態(改正法案22条の2第1項本文)が生じた場合
  3. その他、本人の権利または正当な利益が害されるおそれがある場合

 利用する必要がなくなった保有個人データについて、利用停止等の請求がされることになりますので、不要なデータの削除等が行えるよう、業務フローやシステム対応が必要になるケースが出てくると考えられます。

 なお、後述するように、「仮名加工情報」は開示等の対象になりませんので、開示等の負担を軽減するために、仮名加工するという対応もあり得ると予想されます。

「個人関連情報」概念の新設と、提供先において個人データとなることが想定される場合の同意取得

 現行法では、あるデータを第三者に提供する際に、提供先において個人データにあたらないとしても、提供元において容易照合性により個人情報(個人データ)にあたるのであれば、それは個人データの提供にあたるとされています(いわゆる「提供元基準」)。

 これに対し、逆に、提供元においては容易照合性がなく個人データにあたらない場合には、個人データの第三者提供にはあたらないという解釈が企業実務上とられていたように思われます 6(提供元基準を取ることの理由の1つに、提供先における容易照合性で違法性を判断するのは予見可能性を害するという点があげられていた 7 ことが大きかったと考えられます)。

 しかし、改正大綱では、「いわゆる提供元基準を基本としつつ、提供元では個人データに該当しないものの、提供先において個人データになることが明らかな情報について、個人データの第三者提供を制限する規律を適用する」とされました

 それを踏まえ、改正法案では、以下のとおり「個人関連情報」という概念が新設され(改正法案26条の2)、第三者提供の際の規制が導入されています。

  • 個人関連情報
    生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないもの
  • 個人関連情報データベース等:
    個人関連情報を含む情報の集合物であって、特定の個人関連情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の個人関連情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの

 個人関連情報については、以下の規制が導入されます。

  1. 個人関連情報の第三者提供の制限等(改正法案26条の2)
    個人関連情報取扱事業者(個人関連情報データベース等……を事業の用に供している者であって、改正法案2条5項各号に掲げる者を除いたもの)は、第三者が個人関連情報(個人関連情報データベース等を構成するものに限る)を個人データとして取得することが想定されるときは、改正法案23条1項各号に掲げる場合を除くほか、次に掲げる事項について、あらかじめ個人情報保護委員会規則で定めるところにより確認することをしないで、当該個人関連情報を当該第三者に提供してはならない

一 当該第三者が個人関連情報取扱事業者から個人関連情報の提供を受けて本人が識別される個人データとして取得することを認める旨の当該本人の同意が得られていること

二 外国にある第三者への提供にあっては、前号の本人の同意を得ようとする場合において、個人情報保護委員会規則で定めるところにより、あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報が当該本人に提供されていること

 つまり、提供先において「個人データとして取得することが想定されるとき」には、提供先において、「個人関連情報の提供を受けて本人が識別される個人データとして取得することを認める」旨の本人の同意が得られていることを確認 8 しなければ、第三者提供してはならないとされます。

 現在でも、提供先において個人情報として取り扱われることがわかっていながら提供することは、プライバシー権の不当な侵害にあたる可能性があるとして同意を取得するとしている企業も多くあります。そのような企業は対応を変更する必要はありませんが、そのような考えを採っていなかった企業においては注意が必要です。

 たとえば、ある企業が、パブリックDMPから、汎用的なIDに紐付けされた属性情報を取得して、自社が保有する会員情報に当該属性情報を付加しようとする場合、受領側の企業において、当該属性情報についてDMPベンダから提供を受けて個人データとして取得することを認める旨の本人の同意が必要となり、提供元のDMPベンダにおいては、その同意を確認しなければ提供してはならない義務が生じることになります。

 企業の法務部では、DMPやマーケティング・オートメーション(MA)ツールにおいて、どのようなデータがやりとりされているのかを把握していないケースも多いと思われますが、改正法案どおりに個人情報保護法が改正された場合は、そうしたデータについて調査の必要が生じると考えられます

仮名加工情報

 改正法案では、新たに「仮名加工情報」という概念が生まれました

仮名加工情報
次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報(改正法案2条9項)

一 改正法案2条1項1号に該当する個人情報 当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む)

二 改正法案2条1項2号に該当する個人情報 当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む)

 仮名加工情報については、概要、以下のような規制が及びます。

個人情報等 非個人情報等
個人情報 仮名加工情報 匿名加工情報
利用目的
(規制対象)
△※1
(規制対象)
×
(規制なし)
×
(規制なし)
安全管理措置(データ、加工方法等)
(規制対象)

(規制対象)

(規制対象)
×
(規制なし)
消去の努力義務
(努力義務)
◯※2
(努力義務)
×
(規制なし)
×
(規制なし)
第三者提供への同意取得義務
(同意)
-※3
(同意は不要※4)
×
(規制なし)
識別行為の禁止
(禁止)

(禁止)
×
(規制なし)
漏えい時の報告
(改正法案22条の2により義務化)
× × ×
開示請求・利用停止請求等
(改正法案30条により規制強化)
×
(規制対象外)
×
(規制対象外)
×
(規制なし)

※1 個人情報保護法15条2項(利用目的の変更を「関連性」ある範囲に限る)の適用がなく(改正法案35条の2第9項)、変更の後の利用目的を「公表」(個人情報保護法18条3項の読み替え)すればよいとされています。
※2 「仮名加工情報である個人データ及び削除情報等」が対象です(改正法案35条の2第5項)。
※3 仮名加工情報は第三者提供できず、個人データとして第三者提供することになります(法令に基づく提供は可能)(改正法案35条の2第6項)。
※4「第三者に提供される匿名加工情報に含まれる個人に関する情報の項目及びその提供の方法について公表するとともに、当該第三者に対して、当該提供に係る情報が匿名加工情報である旨を明示」する必要があります(個人情報保護法37条)。


 以上のとおり、仮名加工情報についても利用目的の特定・公表が必要とされていることから(改正法案35条の2第3項、第4項)「元となる個人情報」の利用目的との関係が問題となりますが、個人情報保護法15条2項が定める利用目的の変更の規制(「変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない」)については対象外となります(改正法案35条の2第9項)。したがって、過去に収集して社内に蓄積されている個人データについて、従前の利用目的にとらわれずに様々な分析に活用できるようになると考えられます。

 また、特定分野ガイドラインにおいて利用目的が限定されているケースでも、仮名加工情報は有用な手段となり得るかもしれません。たとえば、「金融分野における個人情報保護に関するガイドライン」5条では、機微(センシティブ)情報は、「法令等に基づく場合」や「保険業その他金融分野の事業の適切な業務運営を確保する必要性から、本人の同意に基づき業務遂行上必要な範囲で機微(センシティブ)情報を取得、利用又は第三者提供する場合」などに利用が限定されています。仮に、同ガイドライン5条の規制が仮名加工情報に及ばないことになれば、たとえば保険契約の申込書の情報をAIで分析するようなケースで取扱いが容易になる可能性があるのです。

 2020年2月12日に公示された改正大綱のパブリックコメント 9 において、仮名加工情報(改正大綱では「仮名化情報(仮称)」とされていました)のメリットがわかりにくいという趣旨の意見が相当数ありましたが、上記の利用目的の変更の点が、利活用という側面からみた大きなメリットといえると考えられます。

その他

 そのほか、一般的な企業においては、以下の改正に留意が必要です。

(1)漏えい時の報告の義務化(改正法案22条の2)
 現行法(平成 29 年個人情報保護委員会告示第1号)では、個人データを漏えいした際には、個人情報保護委員会に報告するよう「努める」とされていました(努力義務)。改正法案では、「個人情報保護委員会規則で定めるもの」が発生したときには、報告することが義務づけられます。

(2)外国にある第三者に個人データを提供する際の情報提供義務
  1. 本人の同意による移転の場合:
    「あらかじめ」以下の情報を提供する義務があります(改正法案24条2項)。
    (i) 当該外国における個人情報の保護に関する制度
    (ii) 当該第三者が講ずる個人情報の保護のための措置
    (iii) その他当該本人に参考となるべき情報

  2. 覚書等による移転 10 の場合:
    「本人の求めに応じて」以下の情報を提供する義務があります(改正法案24条3項)。
    ・当該必要な措置に関する情報

(3)トレーサビリティの記録の開示請求
 個人データを第三者提供する際、あるいは第三者提供を受ける際には、一定の例外を除き、相手方の氏名や提供した個人データの項目などを記録しておく必要があります(個人情報保護法25条、26条、個人情報保護法施行規則13条、17条)。
 改正法案では、この記録が、開示請求の対象となります(改正法案28条5項)。記録する必要がある場面を見落としていないか、社内のデータ提供の確認を行った方がよいと考えられます。

(4)厳罰化
 概要、以下のとおり、一部の罰則が厳しくなります。たとえば、従業員が退職する際等に、顧客名簿を誰かに提供したりすると、法人には1億円以下の罰金が科せられる可能性があることになりますので、注意が必要です。
  1. 個人情報保護委員会の命令への違反
    現行法:6月以下の懲役、30万円以下の罰金(個人情報保護法84条)
    改正法案:1年以下の懲役、100万円以下の罰金(改正法案83条)

  2. 個人情報データベース等不正提供罪
    現行法:1年以下の懲役、50万円以下の罰金(個人情報保護法83条)
    改正法案:1年以下の懲役、50万円以下の罰金(改正法案84条)

  3. 検査忌避・虚偽報告等
    現行法:30万円以下の罰金(個人情報保護法85条)
    改正法案:50万円以下の罰金(改正法案85条)

  4. 法人両罰規定
    現行法:個人に対する罰金と同額(個人情報保護法87条1項)
    改正法案:①・② 1億円以下の罰金(改正法案87条1項1号)、③ 個人に対する罰金と同額(改正法案87条2項2号)
<追記>
2020年4月6日:下記2点の表現を改めました。
  • 1 「情報・セキュリティ関連分野における2020年の主な動き」表内から「デジタル・プラットフォーマー取引透明化法案」に関する表現を割愛しました。
  • 2-4 表下※1内の「相当の関連性」の記載を「関連性」に改めました。

  1. 2019年9月に可決成立した修正案により、雇用関係の情報および企業代表者の人事データ、またB to Bの文脈でのコミュニケーションや取引における一定の条項については、2021年1月1日まで適用除外するとされています。 ↩︎

  2. ITmedia NEWS「「破産者マップ」閉鎖、「関係者につらい思いさせた」」(2019年3月19日、2020年3月24日最終閲覧) ↩︎

  3. もちろん、目的外利用は禁止されていますし(個人情報保護法16条1項)、プライバシー権を侵害する態様での利用は不法行為となり得ます。また、個人情報保護法3条「基本理念」においては、「個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきものであることにかんがみ、その適正な取扱いが図られなければならない」とされています。 ↩︎

  4. 改正法案では、個人情報取扱事業者の住所および代表者の氏名が公表事項に追加されています(改正法案27条)。 ↩︎

  5. なお、現行の個人情報保護法では、6か月以内に消去することとなるものは、開示等の対象となる「保有個人データ」から除外されていますが(個人情報保護法2条7項、施行令5条)、改正法案ではこの除外がなくなることになっています(改正法案2条7項)。 ↩︎

  6. もっとも、この場合でも、プライバシー権の侵害にあたる可能性があるため、同意を得るという考え方も広く知られているように思われます。 ↩︎

  7. たとえば、2013年4月11日の内閣府規制改革会議「第2回創業等ワーキング・グループ議事概要」14頁における、消費者庁個人情報保護推進室長の「それぞれの事業者ですとか立場によって、これは同意が要るのだ、要らないのだというような、極めて判断が不明確になるということがございます」との発言や、鈴木正朝「Suica問題とは何であったのか」(レクシスネクシス・ジャパン「Business Law Journal 2014年5月号」41頁)における「提供先基準であると相手方の保有する情報如何で突然個人情報(個人データ)と評価され、不意打ちで違法となる可能性もある」との視点の提示など。 ↩︎

  8. 2-5.(3)でも説明するトレーサビリティのための確認記録義務(個人情報保護法26条2項、3項、4項)が準用されます。前述した予見可能性の問題は、確認記録義務を介することで解決していると理解すべきでしょう。 ↩︎

  9. 「個人情報保護法 いわゆる3年ごと見直し 制度改正大綱」に関する意見募集の結果について」(2020年2月12日、2020年2月20日修正、2020年3月24日最終閲覧) ↩︎

  10. 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン (外国にある第三者への提供編)」8頁(平成28年11月、平成31年1月一部改正) ↩︎

この特集を見ている人はこちらも見ています

無料会員登録で
リサーチ業務を効率化

1分で登録完了

無料で会員登録する