個人情報保護法一部改正法が可決成立

今日（６月５日）の参議院本会議で個人情報保護法一部改正法案が可決成立しました。改正法は公布の日から2年を超えない範囲で政令で定める日から施行ことになります。改正法は、データを活用するビジネスが拡大する中で、個人を保護する各種規制を強化する大きな方向性をもっています。企業活動に大きな影響を及ぼすと思われる主要な改正点は以下のとおりです。

目次

1.不適正な利用の禁止
2.漏洩報告
3.個人関連情報の第三者提供制限
4.個人の権利
5.仮名加工情報
6.域外適用
7.罰則等の強化

１．不適正な利用の禁止

違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならないことが義務づけられます。何をもって禁止対象となる不適正な利用となるかについては、今後ガイドラインで示されると思われます。

これと関連して、昨年12月に個人情報保護員会が公表した制度改正大綱では、個人データ取扱事業者がプライバシーポリシーなどで公表すべき事項として、個人情報取扱体制、講じている措置、処理の方法などを追加する方針が示されています。公表事項の範囲は政令に委任されているので、今回の法改正には含まれていません。不適正利用の禁止と相まって、個人情報の利用に関する情報提供と利用の態様について規制が強化されることになります。

２．漏洩報告

個人データのセキュリティ事故のうち、個人の権利利益を害するおそれが大きいものとして個人条保護委員会規則で定めるものについて、委員会への報告義務、本人への通知義務が新設されました。

３．個人関連情報の第三者提供制限

取得時点で個人を識別できないデータであっても、これを第三者に提供することにより、提供先の第三者において個人を識別することが可能で、これを個人データとして取得することが想定される場合、あらかじめ本人の同意を取得することが必要になります。

この規制が適用されるのは、個人関連情報データベース等を事業の用に供する者とされていますが、開示元と開示先との役割関係においてどのような状態がこの適用条件に該当するかについては、法律だけでは直ちに明らかではなく、今後ガイドラインで明らかにされるものと思われます。また、「個人関連情報データベース等」の詳細な定義は政令に委任されています。

この新設規制は、いわゆるサードパーティークッキーをはじめ、ネット上の行動を追跡する各種技術の利用、いわゆる広告ターゲティングなどデジタルマーケティングの許容範囲に大きな影響を及ぼす可能性があるので、政令、ガイドラインに注目する必要があります。

４．個人の権利

新たに電磁的記録、つまりデータの形での開示請求が認められます。

利用停止・消去については、これまで認められていた目的外利用、不適正な取得の場合のほか、上記の不適正な利用の禁止に違反する場合にも利用停止等を請求できることになります。

また、例えば、個人データの利用が不要になった場合、データ侵害が生じた場合など、本人の権利または正当な利益が害されるおそれがある場合には、利用停止等または第三者提供の停止を請求できることになります。

これらの権利行使ができる場合について、改正法は一般的な記述にとどまっているので、今後ガイドラインで詳しい条件が示されるものと思われます。

５．仮名加工情報

仮名加工情報については、個人情報保護法の規制の一部が適用されないこととされました。

６．域外適用

外国にある者が、国内にある者に向けられた物・サービスの提供に関連して、外国において個人情報等を取り扱う場合個人情報保護法が適用されることになりました。

７．罰則等の強化

個人情報保護委員会の命令に違反した法人に対する罰金額の上限が１億円に引き上げられるなど、罰則が強化されました。