中小企業の法律相談
福岡の弁護士、近江法律事務所が提供している法律コラムです。
2022年4月施行の改正個人情報保護法 -事業者が特に注意すべき改正点-
改正の概要
改正個人情報保護法は、令和2年の改正と令和3年の改正の一部が2022年4月1日に同時施行となり、条文の条数もこれまでとずれが生じるなどして、少し注意が必要です。
もっとも、令和3年の改正は、これまで行政機関個人情報保護法、独立行政法人個人情報保護法で規定していた公的分野の個人情報保護について、個人情報保護法に一本化するとともに、条例に委ねてバラバラだった地方公共団体等における個人情報の取り扱いについて全国共通ルールを設定する(この部分の施行は2023年になるといわれています)という、公的分野のドッキングが目的ですから、事業者の方は、令和2年改正の方に注目すべきかと思います。
令和2年改正は、①個人の権利の在り方、②事業者の守るべき責務の在り方、③事業者による自主的な取り組みを促す仕組みの在り方、④データの利活用の在り方、⑤ペナルティの在り方、⑥法の域外適用・越境移転の在り方の6つの観点から改正がされています。
①については、本人からの利用停止等の請求や開示請求の拡充、オプトアウトにより第三者提供できる個人データの制限、③については認定個人情報保護団体制度の充実、④については仮名加工情報の創設や個人関連情報の第三者提供規制、⑤については法定刑の引上げ、⑥については個人データの国外への提供の際の本人への情報提供の充実など、事業者にとって関心を持つべき改正もされておりますが、やはり、まずは「事業者の守るべき責務」として改正された点を押さえておくことが肝要です。
そこで、以下では、②の観点での改正点について解説することとします。
個人データの漏えい等が発生し、または発生したおそれがある場合の個人情報保護委員会への報告及び本人への通知の義務化(個人情報保護法第26条)
(1)報告、通知の対象となる事態はどのようなもの?
対象となる事態は、①要配慮個人情報が含まれる個人データの漏えい等、②不正に利用されることにより財産的損害が生じるおそれがある個人データの漏えい等、③不正の目的をもって行われたおそれがある個人データの漏えい等、④個人データに係る本人の数が千人を超える漏えい等とされています(個人情報保護法施行規則第7条)。
具体例としては、従業員の健康診断等の結果を含む個人データが漏えいした場合(①の例)、ECサイトからクレジットカード番号を含む個人データが漏えいした場合(②の例)、不正アクセスにより個人データが漏えいした場合(③の例)、システムの設定ミス等によりインターネット上で個人データの閲覧が可能な状態となり、当該個人データに係る本人の数が千人を超える場合(④の例)などが、ガイドライン(通則編)に挙げられています。
(2)誰が報告、通知するのか(特に委託の場合)?
報告、通知義務の主体は、当該個人データの取り扱いをしている個人情報取扱業者になりますが、個人データの取り扱いを委託している場合は、原則として委託元も委託先も報告、通知義務を負うことになっています。もっとも、委託先が委託元に通知したときは、委託先の報告、通知義務は免除されることになっています。
(3)報告、通知には期限があるのか?
個人情報保護委員会への報告は、「速報」と「確報」の2段階となります。「速報」は、個人データの漏えい等の発生等を知った後に速やかに(3~5日以内に)行う報告で、「確報」は、知った後30日以内(不正の目的をもって行われたおそれがある個人データの漏えい等の場合は60日以内)に行う報告のことです。
本人への通知は、上記の報告と異なり、「漏えい等の事態の状況に応じて速やかに」となっており、柔軟な基準になっています。ガイドラインでは、「漏えい等のおそれが生じたものの、事案がほとんど判明しておらず、その時点で本人に通知したとしても、本人がその権利利益を保護するための措置を講じられる見込みがなく、却って混乱を生じるおそれがある場合」などを例に挙げ、そのような場合は、その時点では通知の必要がないと考えられるとしています。
(4)何を報告、通知するのか?
報告の内容は、「速報」も「確報」も、①概要、②漏えい等が発生し、またはそのおそれがある個人データの項目、③漏えい等が発生し、またはそのおそれがある個人データに係る本人の数、④原因、⑤二次被害の有無、⑥本人への対応実施状況、⑦公表状況、⑧再発防止のための措置、⑨その他参考となる事項です。「速報」ではその時点で把握していることで足りますが、「確報」ではすべてについて報告をしなくてはならないことになっています。
通知の内容は、本人の権利保護のために必要な範囲という枠組みであるため、上記のうち①、②、④、⑤、⑨と、委員会への報告よりは少ない項目となっています。
(5)本人への通知義務に例外はないのか?
「本人への通知が困難である場合」で、「本人の権利利益を保護するために必要な代替措置を講ずることによる対応をするとき」は、通知義務の例外とされています。保有する個人データの中に本人の連絡先が含まれていない場合において、問い合わせ窓口を用意して、その連絡先を公表するときなどがこれに当たります。
不適正な方法による個人情報の利用の禁止(個人情報保護法第19条)
改正前の法律では、個人情報の「適正な取得」は義務付けられていましたが、令和2年改正ではこれに加え、「違法又は不当な行為を助長し、又は誘発するおそれがある方法による個人情報の利用」を禁止しました。
ガイドライン(通則編)では、その具体例がいくつか挙げられていますが、相当悪質なものが多く、違法性や不当性について判断に迷うということはなさそうです。もっとも、「個人情報を提供した場合、提供先において個人情報保護法に違反する第三者提供がなされることを予見できるにもかかわらず、当該提供先に対して、個人情報を提供する場合」も例示されており、これなどは不適正利用に対する意識が低いと行ってしまう可能性のある利用形態ともいえるでしょう。
R04.03掲載