ナレッジ

令和4年4月1日施行改正個人情報保護法について(前編)

~仮名加工情報の取扱い及び漏えい等の報告・本人への通知~

令和2年6月5日、「個人情報の保護に関する法律等の一部を改正する法律案」が可決、成立しました。本稿では、その改正のうち、「仮名加工情報の取扱い」及び「漏えい等の報告・本人への通知」について解説します。

1 総論

令和2年6月5日、第201回通常国会において「個人情報の保護に関する法律等の一部を改正する法律案」が可決、成立し、個人情報保護法(以下「法」)の改正(以下「令和2年改正」)がなされました。

この改正においては、個人情報の保護と有用性の確保のバランス等の観点から、主に以下の点において改正がなされています。

① 仮名加工情報の取扱いについての規律
② 個人情報の漏えい等が生じた場合における報告及び本人への通知についての規律
③ 外国にある第三者への個人情報を提供する際の規律
④ 個人関連情報の提供についての規律

本稿では、上記①ないし④及び経過措置のうち、①及び②についてポイントを絞って解説します。③及び④並びに経過措置については、令和4年4月1日施行改正個人情報保護法について(後編)をご覧ください。

2 仮名加工情報

(1) 仮名加工情報とは 1

平成27年の改正では、ビッグデータの適正な利活用に向けた環境整備のために「匿名加工情報」を創設しました。「匿名加工情報」とは、個人情報を加工し、個人を特定できるような項目を削除するなどして特定の個人を識別できないような形にし、しかも、もとの個人情報を復元できないようにした情報のことです。「匿名加工情報」の利用には、個人情報としての厳しいルールが適用されないというメリットがありましたが、匿名化するための加工の条件が厳しく、個人情報取扱事業者にとってやや使いづらいという問題もありました。

そこで個人情報取扱事業者においては、保有する個人情報を事業者内で取り扱うに当たり、安全管理措置の一環で、氏名等の記述を削除等の加工をすることにより加工後の情報単体では個人を特定することができないようにする、いわゆる「仮名化」が行われていました。

しかし、「仮名化」された情報は、当該情報単体では個人を特定することはできないものの、他の情報を照合すれば個人を特定することができます。そのため、「仮名化」されたものであっても、個人情報に該当するため、令和2年改正前の個人情報保護法では、個人情報として取り扱わざるを得ませんでした。

「仮名化」された情報は、加工後の情報単体では個人を特定することができないため、個人の権利利益の侵害のリスクは必ずしも高くはないといえます。しかし、個人情報としての取扱いが要求される以上、あらかじめ特定した利用目的の達成のために必要な範囲を超えて利用する場合には、本人の同意が必要となります(個人情報保護法16条1項)。これにより、事業者により個人情報の利活用は大きく制限を受けることになり、事業者内部での個人情報の利活用の妨げになる可能性がありました。

令和2年改正では、新たに仮名加工情報に関する規律が設けられ、利用目的の変更に際して本人の同意を不要とするなど、個人情報取扱事業者に課される義務の一部が緩和されました。

(2) 実務上の留意点

仮名加工情報の取扱いにおいては、個人情報取扱事業者に課される義務規定の一部が適用されない一方で、仮名加工情報取扱事業者2に課される特有の義務もいくつかあり、実務上の留意点については様々なものが挙げられます。(1)で述べたとおり、仮名加工情報に関する規律の制定に当たっては、「仮名化」された個人情報が、個人情報として取り扱われることにより、事業者内部での利活用の妨げになっていたという経緯があります。そのため、仮名加工情報は事業者内部での利用が前提となっており、①第三者への提供が原則として禁止されています(法41条6項、42条1項)。ここでは、第三者への提供の原則禁止のほか、②利用目的の変更、③想定される利用方法及び④要配慮個人情報の仮名化についてご紹介します。

ア 第三者への提供の禁止

仮名加工情報3について、「個人情報である仮名加工情報」の場合は、仮名加工情報である個人データを、「個人情報でない仮名加工情報」の場合は仮名加工情報を、原則として第三者に提供することはできません(「個人情報である仮名加工情報」について法41条6項、「個人情報でない仮名加工情報」について法42条1項)。これは、本人の同意を得ることなく、第三者に提供することが可能とされている匿名加工情報(法2条6項)の建付けとは大きく異なる点です。

例外として、法令に基づく場合には第三者への提供が可能となるほか、「個人情報である仮名加工情報」については法41条6項により読み替えられ、又は「個人情報ではない仮名加工情報」については法42条2項により準用される、法27条5項の規定により、(i) 委託の場合、(ii) 事業の承継の場合および(iii) 共同利用の場合については、提供先事業者は第三者に当たらないこととなるため、これらの場合に限って、法41条6項又は法42条1項の規定にかかわらず、当該提供先事業者に対して仮名加工情報の提供が可能です。

このように仮名加工情報は第三者への提供が原則として禁止されていることから、第三者への提供を前提として個人情報を利用したいのであれば、法27条1項に従い個人データとして第三者に提供するか、匿名加工情報や統計情報として第三者に提供するかを検討することになるでしょう。

イ 利用目的の変更

個人情報を取り扱うに当たり、個人情報取扱事業者4は、その利用目的をできる限り特定しなければならず(法17条1項)、あらかじめ本人の同意を得ないで、特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱うことはできません(法18条1項)。

一方、「個人情報である仮名加工情報」については、利用目的の公表(法41条4項、21条1項)や、法令に基づく場合を除く仮名加工情報の利用目的外での利用の禁止(法41条3項)が義務付けられています。しかし、仮名加工情報については利用目的の変更の制限の規定(法17条2項)5が適用されない(法41条9項)結果、仮名加工情報については、変更後の利用目的をできる限り特定して公表しさえすれば、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて利用目的の変更を行うことが可能になります。

また、「個人情報でない仮名加工情報」については、そもそも個人情報ではなく、個人情報に関する規律の適用がないことから、上記の利用目的についての制限には服さないものとされています。

ウ 想定される利用方法

仮名加工情報は、上記アで述べたとおり、利用目的の変更が比較的自由に行えることから、個人情報を取得した際には想定していなかった利用目的での利用を行いたい場合には、利用目的を変更し、これを公表すれば足りることになります(法41条4項、21条3項)。

具体的な利用の場面として、以下のようなケースが想定されています6

① 当初の利用目的には該当しない目的や、該当するか判断が難しい新たな目的での内部分析を行うケース(データセット中の特異な値が重要とされる、医療・製薬分野における研究用データセットとして用いるケースや、不正検知等の機械学習モデルの学習用データセットとして用いるケースなど)
② 利用目的を達成した個人情報について、将来的に統計分析に利用する可能性があるため、仮名加工情報として加工した上で保管するケース

エ 要配慮個人情報の仮名化

これまで説明したとおり、仮名加工情報は利用目的の変更が比較的容易に行えることから企業が保有する個人情報の利活用の幅が大きく広がる可能性があります。では、個人情報の中でも特に取扱いに配慮が必要な要配慮個人情報7を仮名加工情報とすることはできるのでしょうか。

仮名加工情報は、本人の識別が禁止されるなど、仮名加工情報の取扱いによって本人の権利利益が侵害されるおそれが極めて小さいため、要配慮個人情報を含む個人情報から仮名加工情報を作成することは許容されるとされています8。令和2年改正後の個人情報保護法においても、法律上要配慮個人情報から仮名加工情報を作成することを禁止する条項はありません。

以上より、要配慮個人情報から仮名加工情報を作成することは可能です。

これにより、例えば要配慮個人情報が多分に含まれるであろう医療や治験等の分野で取得された個人情報について、取得時には利用目的が医療行為の提供や治験の実施等に限定されている場合が多いと考えられますが、仮名加工情報とすることにより新たな利用目的を設定・公表し、利用することが可能となることが指摘されています9

3 漏えい等の報告・本人への通知

(1) 漏えい等の報告・本人への通知の義務付け

個人情報保護法の令和2年改正により、新たに漏えい等が発生した場合の個人情報保護委員会への報告が義務付けられました(法26条1項)。また、個人情報保護委員会への報告が必要となる場合は、原則として本人への通知も必要になります(法26条2項)。

令和2年改正前は、告示10により速やかに個人情報保護委員会に報告するよう努めること、本人への連絡等の措置を講ずることが望ましいことが定められていましたが、法律上の義務ではなく、報告や連絡等をしなくとも罰則等の不利益を課せられることもありませんでした。

漏えい等が発生した場合に、個人情報保護委員会が事態を早急に把握し、必要な措置を講じる必要があることから、令和2年改正後の個人情報保護法により、個人情報保護委員会への報告が義務付けられたと説明されています11

また、本人が漏えい等の発生を認知することで、本人が自らの権利利益の保護に必要な措置を講じることができるよう、漏えい等が発生した場合に本人への通知が義務付けられたと説明されています12

(2) 実務上の留意点

ア 報告が義務付けられる個人データの漏えい等について

個人情報保護法26条1項及び個人情報保護法施行規則7条により、個人情報保護委員会への報告が義務付けられるのは、取り扱う個人データに以下の事態が生じた場合です。

① 要配慮個人情報が含まれる個人データの漏えい等が発生し、又は発生したおそれがある事態(個人情報保護法施行規則7条1号)
② 不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態(同条2号)
③ 不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態(同条3号)
④ 個人データに係る本人の数が千人を超える漏えい等が発生し、又は発生したおそれがある事態(同条4号)

上記報告義務の重要なポイントの一つ目は、①から③の場合には、対象となる個人データが1件であったとしても報告義務が発生する点です。①ないし③をみるとわかりますが、①ないし③は個人データの性質や漏洩の態様に着目していることがわかります。これは、漏えい等の質的な面に着目した規定となっており、漏えい等した個人データに係る本人の数にかかわりなく個人情報保護委員会への報告義務が課されています。

他方で、④は個人データの性質や漏えいの態様ではなく、漏えい等した個人データの量に着目するもので、漏えい等した個人データの性質や漏えいの態様にかかわらず個人情報保護委員会への報告義務が課されています。

そのため、漏えい等した個人データがどのようなものであるか、また漏洩等の態様はどのようなものであったかをきちんと検討し、報告義務の要否を判断する必要があります。例えば、外部からの不正なアクセスやサイバーインシデントによる漏えい等の場合には、通常は不正な目的をもって行われた可能性が高く、③に該当するものと考えられます。

イ 報告が義務付けられる「漏えい等」について

次のポイントは、報告の対象となる「漏えい等」です。

漏えい等とは、漏えい、滅失又は毀損をいいます(個人情報保護法施行規則7条1号)。「漏えい等」という用語から、漏えいについての報告の要否の検討はきちんと行うことが想定されますが、滅失や毀損も報告の対象となることも頭に入れておく必要があります。特にインシデントが発生した場合、個人情報保護委員会への届け出以外にも社内で行うべきことが様々ありますので、どうしても滅失や毀損を忘れてしまいがちです。

また近時のインシデントとの関係では、一時期猛威を振るったEmotet(エモテット)の感染と個人情報保護委員会への報告義務との関係に留意する必要があります。

Emotetは、いわゆるマルウェアといわれるコンピュータウィルスであり、感染した場合、アドレス帳などの情報が抜き取られる可能性があるとされています。

上記アに記載のとおり、漏えい等の「おそれ」がある場合には、個人情報保護委員会への報告が必要となりますが、Emotetの感染によりアドレス帳などの情報が抜き取られる可能性があるのであれば、感染それ自体が漏えい等の「おそれ」を生じさせるものに当たるとの判断も十分に考えられます。

実際、個人情報保護委員会が策定する個人情報保護法ガイドライン(通則編)において、「漏えい」が発生したおそれがある事態に該当し得る事例として、「個人データを格納しているサーバや、当該サーバにアクセス権限を有する端末において、情報を窃取する振る舞いが判明しているマルウェアの感染が確認された場合」が挙げられていることに十分留意する必要があるでしょう。

ウ 漏えい等の報告を行う期限

漏えい等の報告は、いわゆる速報(個人情報保護法施行規則8条1項)と確報(同条2項)に分かれます。

速報及び確報のいずれについても、報告すべき事項13は変わりません。速報と確報の大きな違いは、①速報においては報告すべき事項について、報告をしようとする時点において把握しているものに限られること、②報告の期限について、速報は漏えい等を知った後速やか個人情報保護委員会に報告しなければならないのに対し、確報は漏えい等を知った日から30日以内に報告すべきものとされている点です。ただし、確報の期限について、不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態(個人情報保護法施行規則7条3号)の場合には、漏えい等を知った日から60日以内に報告すべきとされています。

上記期限の起算点となる「漏えい等を知った日」とは、個人情報取扱事業者が法人である場合には、基本的にいずれかの部署が当該事態を知った時点を基準とするとされています 。また速報について、報告は漏えい等を知った後「速やか」に行う必要がありますが、この「速やか」の日数の目安については、概ね3~5日以内とされています。

そうすると、いずれかの部署が漏えい等を知ってから報告を行う部署(一般には法務部門がその役割を担うことが考えられます)に連絡が行くまでに、2、3日要してしまうと、速報の報告期限がかなり迫ってきてしまい、事実上報告期限までに個人情報保護委員会に報告することが困難となりかねません。

そのため、実務上は漏えい等又はそのおそれを発見した場合に速やかに関係部署に報告が上がるための体制を適切に構築しておく必要があります。

脚注

1 第二東京弁護士会「令和2年改正個人情報保護法の実務対応」76、77頁

2 仮名加工情報取扱事業者とは、仮名加工情報データベース等を事業の用に供している者(ただし、国の機関等を除く)をいう(法16条5項)。

3 仮名加工情報には、個人情報であるものと個人情報でないものが存在する。仮名加工情報は原則として個人情報に該当するが、例外的に仮名加工情報の取扱いの全部又は一部の委託を受けた場合等に伴って仮名加工情報の提供を受けた事業者においては、当該仮名加工情報と他の情報を照合して容易に個人を特定することができない場合が想定され、かかる場合に限り個人情報でない仮名加工情報となる。

4 個人情報取扱事業者とは、個人情報データベース等を事業の用に供している者(ただし、国の機関等を除く)をいう。

5 法17条2項は、利用目的の変更について変更前の利用目的と関連性を有すると合理的に認められる範囲でのみ変更を認めている。

6 佐脇紀代志「一問一答令和2年改正個人情報保護法」16頁

7 要配慮個人情報とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実等が含まれる個人情報をいう(法2条3項)。

8 上記佐脇20頁

9 上記第二東京弁護士会115頁

10 個人データの漏えい等事案が発生した場合等の対応について(平成29年個人情報保護委員会告示第1号)

11 上記佐脇37頁

12 上記佐脇37頁

13 報告すべき事項は、概要、漏えい等が発生し、又は発生したおそれがある個人データの項目及び個人データに係る本人の数、原因、二次被害又はそのおそれの有無及びその内容、本人への対応の実施状況、公表の実施状況、再発防止のための措置並びにその他参考となる事項である(個人情報保護法施行規則8条1項各号)。

PDFダウンロード

本記事のPDF版をダウンロードすることができます。「ダウンロード」ボタンをクリックまたはタップしてください。

令和4年4月1日施行改正個人情報保護法について【PDF, 786KB】
お役に立ちましたか?