_
執筆者:渡邉雅之
*本ニュースレターに関するご相談などがありましたら、下記にご連絡ください。
弁護士法人三宅法律事務所
弁護士渡邉雅之
TEL 03-5288-1021
FAX 03-5288-1025
Email_m-watanabe@miyake.gr.jp
_
令和2年(2020年)11月27日に開催された第159回個人情報保護委員会においては、「改正法に関連する政令・規則等の整備に向けた論点について(仮名加工情報)」についての審議がなされました。
2020年改正個人情報保護法において、「個人情報」と「匿名加工情報」の中間的な制度として、他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工した個人に関する情報である「仮名加工情報」が創設されます(2022年4月〜6月の間に施行予定)。
仮名加工情報を作成するための「加工基準」や、仮名加工情報に係る「削除情報等」(仮名加工情報の作成に用いられた個人情報から削除された情報や加工の方法に関する情報)の漏えいを防止するための安全管理措置の基準等については、委員会規則で定めることとしています。
公表された個人情報保護委員会の資料では、今後、個人情報保護委員会規則で定められる、�@仮名加工情報を作成するための加工基準、�A仮名加工情報に係る削除情報等の安全管理措置の基準について方向性が示されています。
本ニュースレターでは、「仮名加工関連情報」に関する個人情報保護委員会規則の方向性について記載した個人情報保護委員会の資料(以下「委員会資料」という。)の内容を中心に解説いたします。
_
以下のPDFファイル形式のニュースレターもご覧ください。
【最新情報:改正個人情報保護法】 仮名加工情報
「仮名加工情報」の規律の詳細については、「Q&A改正個人情報保護法(2020 年8月 21 日全面改訂版)」の53頁以下の「Q7 個人情報保護法に「仮名加工情報」が新たに設けられますが、どのような情報で、どのような規律が適用されますか。」をご覧ください。また、改正条文には本ニュースレター末尾をご覧ください。
1.改正法における仮名加工情報の規制の概要
仮名化された個人情報は、一定の安全性を確保しつつも、匿名加工情報よりも詳細な分析を比較的簡便な加工方法で実施し得るものであり、それを利活用しようとするニーズが高まっています。
しかしながら、現行個人情報保護法においては、仮名化された個人情報であっても、通常の個人情報としての取扱いに係る義務が一律に課される(以下の規律)ことから、企業からは負担の軽減を求める声がありました。
〇個人情報に該当する場合に課される規律
・利用目的の制限
・ 利用目的の通知・公表
・ 安全管理措置
・ 第三者提供の制限
・ 開示・利用停止等の請求対応 等
※ 個人データ、保有個人データに係る規律を含む
_
「仮名加工情報」は、本人と紐づいて利用されることがない限りは、個人の権利利益が侵害されるリスクが相当程度低下することになるので、�@本人を再識別をしないこと、内部分析に限定するという条件(改正法35条の2第6項から8項)で、新たな目的で利用可能となり、利用目的の変更の制限(法15条2項)が適用除外され、�A漏えい等の報告等(改正法22条の2)、および、�B開示や利用停止等の個人の各種請求の対応(法27条から34条)も適用除外されます。
他方、加工前の「個人情報」は残したまま、これまで通り利用が可能です。
〇改正法における仮名加工情報の概要
(出所)個人情報保護委員会作成資料
2.検討すべき主な論点
仮名加工情報の創設の趣旨は、一定の安全性を確保しつつ、データとしての有用性を加工前の個人情報と同等程度に保つことができるように、匿名加工情報に比してより簡便な加工により得られる新たな個人情報の類型を設けることで、イノベーションの促進を図る点にあります。
削除情報等(仮名加工情報の作成に用いられた個人情報から削除された情報や加工の方法に関する情報)の安全管理措置の趣旨は、削除情報等は、仮名加工情報との照合により、特定の個人を識別するために利用されることが懸念されることから、これが漏えいし第三者に取得されることの無いよう、適切な管理を求める点にあります。
委員会資料は、こうした「仮名加工情報」・「削除情報等」の制度趣旨を踏まえ、以下の事項を検討する必要があるとしています。
�@ 仮名加工情報を作成するための加工基準
�A 仮名加工情報に係る削除情報等の安全管理措置の基準
_
3.仮名加工情報を作成するための加工基準
(1)基本的な考え方
仮名加工情報は、「他の情報と照合しない限り特定の個人を識別することができないように」個人情報を加工して得られる情報であるため、加工によりそれ単体では特定の個人を識別できないようにする必要があります。また、仮名加工情報である個人データが漏えい等発生時の報告義務の対象外とされているのは、加工により本人の権利利益が侵害されるリスクが相当程度低減されていることを踏まえたものです。
さらに、イノベーションの促進という制度趣旨を踏まえると、仮名加工情報の加工基準は、事業者にとって分かりやすい明確なものである必要があります。
なお、匿名加工情報の加工基準が参考になる一方で、仮名加工情報との差異、具体的には、匿名加工情報は、加工により元の個人情報を「復元できない」ようにすることが求められるのに対し、仮名加工情報は、他の情報との照合により元の個人情報が復元されることは許容されているため、その加工基準は、より簡便なもので足りるという点も踏まえる必要があります。
以上を踏まえ、委員会資料は、仮名加工情報の加工基準は、単体識別性を失わせる観点や本人の権利利益の侵害リスクを低減させる観点を踏まえつつ、基準として明確なものとなるよう検討すべきではないか、と提案しています。
(2)方向性
ア 単体識別性を失わせる観点
委員会資料では、単体で特定の個人を識別できないようにする観点から、委員会規則において、以下の加工基準を定め、ガイドラインにおいて、具体例を示すこととしてはどうか、と提案されています。
個人情報に含まれる特定の個人を識別することができる記述等の全部又は一部を削除又は置換すること
個人情報に含まれる個人識別符号の全部を削除又は置換すること
_
【想定される加工の例】
・ 会員ID、氏名、年齢、性別、利用サービスの名称が含まれる個人情報を加工する場合:
1)氏名を削除する。
・ 氏名、年齢、性別、旅券番号、旅行先国が含まれる個人情報を加工する場合:
1)氏名を削除する。
2)旅券番号を削除する。
_
イ 権利利益の侵害リスクを低減させる観点
それ自体では特定の個人を識別できないように加工された情報については、基本的には、それが漏えいした場合に個人の権利利益の侵害が生じるリスクは相当程度低減されていると考えられます。
もっとも、例えば、クレジットカード番号については、カードの保有者が特定できていない状態でも、不正利用により、個人の財産的被害が生じる可能性があります。
そこで、委員会資料では、漏えい時に個人の権利利益の侵害が生じるリスクを低減する観点から、個人情報保護委員会規則において、以下の加工基準を定め、ガイドラインにおいて、具体例を示すこととしてはどうか、と提案されています。
個人情報に含まれる記述等のうち、当該記述等が不正に利用されることにより、財産的被害が発生するおそれがあるものを削除又は置換すること
(例:クレジットカード番号、インターネットバンキングのID・パスワード等)
_
【想定される加工の例】
・ 会員ID、氏名、年齢、性別、購買履歴、クレジットカード番号が含まれる個人情報を加工する場合
1)氏名を削除する。
2)クレジットカード番号を削除する。
_〇仮名加工情報と匿名加工情報の加工基準の差異
_
仮名加工情報
匿名加工情報
定義
他の情報と照合しない限り特定の個人を識別することができないように加工された個人に関する情報
(改正法2条9項)
特定の個人を識別することができず、加工元の個人情報を復元することができないように加工された個人に関する情報(改正法2条11項)
加工基準
特定の個人を識別することができる記述等の全部又は一部の削除又は置換
特定の個人を識別することができる記述等の全部又は一部の削除又は置換(規則19条1号)
個人識別符号の全部の削除又は置換
個人識別符号の全部の削除又は置換(規則19条2号)
_
—
個人情報と当該個人情報に措置を講じて得られる情報を連結する符号の削除又は置換
(規則第19条第3号)
—
特異な記述等の削除又は置換
(規則第19条第4号)
_
—
その他の個人情報データベース等の性質を勘案した適切な措置
(規則第19条第5号)
不正利用されることにより、財産的被害が生じるおそれのある記述等の削除又は置換
—
※クレジットカード番号は、通常、1号又は5号の基準に基づき削除されると考えられる。
(出所)個人情報保護委員会作成資料
_
4.仮名加工情報に係る削除情報等の安全管理措置の基準
(1)基本的な考え方
改正法では、「仮名加工情報を作成したとき」、又は「仮名加工情報及び当該仮名加工情報に係る削除情報等を取得したとき」は、事業者は、仮名加工情報に係る削除情報等の漏えいを防止するための安全管理措置を講じなければならないとしています(改正法35条の2第2項)。
他方、現行法上、匿名加工情報を作成した事業者は、匿名加工情報に係る加工方法等情報(匿名加工情報の作成に用いられた個人情報から削除した情報や加工の方法に関する情報)の漏えいを防止するための安全管理措置を講じなければならないとされています(法36条2項)。
上記の各情報の安全管理措置の目的は、いずれも、当該情報の漏えいによる個人の権利利益の侵害を防止することにあります。また、安全管理措置の対象となる情報は、いずれも、加工前の個人情報から削除した情報や加工の方法に関する情報です。
そこで、委員会資料では、仮名加工情報に係る削除情報等については、匿名加工情報に係る加工方法等情報と同程度の安全管理措置を求めるべきではないか、と提案されています。
_
〇匿名加工情報に係る加工方法等情報の安全管理措置の基準
個人情報の保護に関する法律施行規則(平成28年10月5日個人情報保護委員会規則第3号)
_
(加工方法等情報に係る安全管理措置の基準)
第20条 法第36条第2項の個人情報保護委員会規則で定める基準は、次のとおりとする。
一 加工方法等情報(匿名加工情報の作成に用いた個人情報から削除した記述等及び個人識別符号並びに法第36条第1項の規定により行った加工の方法に関する情報(その情報を用いて当該個人情報を復元することができるものに限る。)をいう。以下この条において同じ。)を取り扱う者の権限及び責任を明確に定めること。
二 加工方法等情報の取扱いに関する規程類を整備し、当該規程類に従って加工方法等情報を適切に取り扱うとともに、その取扱いの状況について評価を行い、その結果に基づき改善を図るために必要な措置を講ずること。
三 加工方法等情報を取り扱う正当な権限を有しない者による加工方法等情報の取扱いを防止するために必要かつ適切な措置を講ずること。
_
(2)方向性
委員会資料は、匿名加工情報に係る加工方法等情報の安全管理措置の内容を踏まえ、仮名加工情報に係る削除情報等については、委員会規則において、以下の基準に基づく安全管理措置を求めることとしてはどうか、と提案しています。
削除情報等を取り扱う者の権限及び責任を明確に定めること
削除情報等の取扱いに関する規程類を整備し、当該規程類に従って削除情報等を適切に取り扱うとともに、その取扱いの状況について評価を行い、その結果に基づき改善を図るために必要な措置を講ずること
削除情報等を取り扱う正当な権限を有しない者による削除情報等の取扱いを防止するために必要かつ適切な措置を講ずること
委員会資料は、上記の基準を踏まえて具体的に講ずべき安全管理措置については、事業者ごとに様々であると考えられることから、ガイドラインにおいて、具体例を示すこととしてはどうか、と提案しています。
〇講じなければならない措置の具体例(イメージ)
講じなければならない措置
具体例
削除情報等を取り扱う者の権限及び責任の明確化
削除情報等の安全管理措置を講ずるための組織体制の整備
(ア)削除情報等の取扱いに関する規程類の整備、
(イ)当該規程類に従った適切な取扱い、
(ウ)削除情報等の取扱状況の評価及びその結果に基づき改善を図るために必要な措置の実施
削除情報等の取扱いに係る規程等の整備とこれに従った運用
従業員の教育
削除情報等の取扱状況を確認する手段の整備
削除情報等の取扱状況の把握、安全管理措置の評価、見直し及び改善
削除情報等を取り扱う正当な権限を有しない者による削除情報等の取扱いを防止するために必要かつ適切な措置
削除情報等を取り扱う権限を有しない者による閲覧等の防止
機器、電子媒体等の盗難等の防止
電子媒体等を持ち運ぶ場合の漏えい等の防止
削除情報等の削除並びに機器、電子媒体等の廃棄
削除情報等へのアクセス制御
削除情報等へのアクセス者の識別と認証
外部からの不正アクセス等の防止
情報システムの使用に伴う削除情報等の漏えい等の防止
(出所)個人情報保護委員会作成資料
_
〇改正条文
(定義)
第2条
9 この法律において「仮名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報をいう。
一 第1項第1号に該当する個人情報
当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
二 第1項第2号に該当する個人情報
当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
10_ この法律において「仮名加工情報取扱事業者」とは、仮名加工情報を含む情報の集合物であって、特定の仮名加工情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の仮名加工情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの(第35条の2第1項において「仮名加工情報データベース等」という。)を事業の用に供している者をいう。ただし、第5項各号に掲げる者を除く。
_
(仮名加工情報の作成等)
第35条の2 個人情報取扱事業者は、仮名加工情報(仮名加工情報データベース等を構成するものに限る。以下同じ。)を作成するときは、他の情報と照合しない限り特定の個人を識別することができないようにするために必要なものとして個人情報保護委員会規則で定める基準に従い、個人情報を加工しなければならない。
2 個人情報取扱事業者は、仮名加工情報を作成したとき、又は仮名加工情報及び当該仮名加工情報に係る削除情報等(仮名加工情報の作成に用いられた個人情報から削除された記述等及び個人識別符号並びに前項の規定により行われた加工の方法に関する情報をいう。以下この条及び次条第3項において読み替えて準用する第7項において同じ。)を取得したときは、削除情報等の漏えいを防止するために必要なものとして個人情報保護委員会規則で定める基準に従い、削除情報等の安全管理のための措置を講じなければならない。
3 仮名加工情報取扱事業者(個人情報取扱事業者である者に限る。以下この条において同じ。)は、第16条の規定にかかわらず、法令に基づく場合を除くほか、第15条第1項の規定により特定された利用目的の達成に必要な範囲を超えて、仮名加工情報(個人情報であるものに限る。以下この条において同じ。)を取り扱ってはならない。
_
〇第16条の不適用【下記条文取り消し線部は適用されません】
(利用目的による制限)
第16条 個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。
2 個人情報取扱事業者は、合併その他の事由により他の個人情報取扱事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはならない。
3 前二項の規定は、次に掲げる場合については、適用しない。
一 法令に基づく場合
二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
_
4 仮名加工情報についての第18条の規定の適用については、同条第1項及び第3項中「、本人に通知し、又は公表し」とあるのは「公表し」と、同条第4項第1号から第3号までの規定中「本人に通知し、又は公表する」とあるのは「公表する」とする。
〇第18条(取得に際しての利用目的の通知等)の読み替え(改正35条の2第4項)
第18条 個人情報取扱事業者仮名加工情報取扱事業者は、個人情報仮名加工情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。
2 個人情報取扱事業者仮名加工情報取扱事業者は、前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書その他の書面(電磁的記録を含む。以下この項において同じ。)に記載された当該本人の個人情報仮名加工情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報仮名加工情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示しなければならない。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合は、この限りでない。
3 個人情報取扱事業者仮名加工情報取扱事業者は、利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければならない。
4 前3項の規定は、次に掲げる場合については、適用しない。
一 利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
二 利用目的を本人に通知し、又は公表することにより当該個人情報取扱事業者仮名加工情報取扱事業者の権利又は正当な利益を害するおそれがある場合
三 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき。
四 取得の状況からみて利用目的が明らかであると認められる場合
_
5 仮名加工情報取扱事業者は、仮名加工情報である個人データ及び削除情報等を利用する必要がなくなったときは、当該個人データ及び削除情報等を遅滞なく消去するよう努めなければならない。この場合においては、第19条の規定は、適用しない。
_
〇参考
(データ内容の正確性の確保等)
第19条 個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない。
_
6 仮名加工情報取扱事業者は、第23条第1項及び第2項並びに第24条第1項の規定にかかわらず、法令に基づく場合を除くほか、仮名加工情報である個人データを第三者に提供してはならない。この場合において、第23条第5項中「前各項」とあるのは「第35条の2第6項」と、同項第3号中「、本人に通知し、又は本人が容易に知り得る状態に置いて」とあるのは「公表して」と、同条第6項中「、本人に通知し、又は本人が容易に知り得る状態に置かなければ」とあるのは「公表しなければ」と、第25条第1項ただし書中「第23条第1項各号又は第5項各号のいずれか(前条第1項の規定による個人データの提供にあっては、第23条第1項各号のいずれか)」とあり、及び第26条第1項ただし書中「第23条第1項各号又は第5項各号のいずれか」とあるのは「法令に基づく場合又は第23条第5項各号のいずれか」とする。
_
〇仮名加工情報である個人データの第三者提供に関する読み替え規定
(第三者提供の制限)
第23条 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
一 法令に基づく場合
二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
2 個人情報取扱事業者は、第三者に提供される個人データ(要配慮個人情報を除く。以下この項において同じ。)について、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出たときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。ただし、第三者に提供される個人データが要配慮個人情報又は第17条第1項の規定に違反して取得されたもの若しくは他の個人情報取扱事業者からこの項本文の規定により提供されたもの(その全部又は一部を複製し、又は加工したものを含む。)である場合は、この限りでない。(⇒適用なし)
一 第三者への提供を行う個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人。以下この条、第26条第1項第1号及び第27条第1項第1号において同じ。)の氏名
二 第三者への提供を利用目的とすること。
三 第三者に提供される個人データの項目
四 第三者に提供される個人データの取得の方法
五 第三者への提供の方法
六 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。
七 本人の求めを受け付ける方法
八 その他個人の権利利益を保護するために必要なものとして個人情報保護委員会規則で定める事項
3・4(略)
5 次に掲げる場合において、当該仮名加工情報である個人データの提供を受ける者は、前各項第35条の2第6項の規定の適用については、第三者に該当しないものとする。
一 個人情報取扱事業者仮名加工情報取扱事業者(個人情報取扱事業者である者に限る。)が利用目的の達成に必要な範囲内において仮名加工情報である個人データの取扱いの全部又は一部を委託することに伴って当該仮名加工情報である個人データが提供される場合
二 合併その他の事由による事業の承継に伴って仮名加工情報である個人データが提供される場合
三 特定の者との間で共同して利用される仮名加工情報である個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される仮名加工情報である個人データの項目、共同して利用する者の範囲、利用する者の利用目的並びに当該仮名加工情報である個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いて公表しているとき。
6 個人情報取扱事業者仮名加工情報取扱事業者(個人情報取扱事業者である者に限る。)は、前項第三号に規定する仮名加工情報である個人データの管理について責任を有する者の氏名、名称若しくは住所又は法人にあっては、その代表者の氏名に変更があったときは遅滞なく、同号に規定する利用する者の利用目的又は当該責任を有する者を変更しようとするときはあらかじめ、その旨について、本人に通知し、又は本人が容易に知り得る状態に置かなければ公表しなければならない。
(外国にある第三者への提供の制限)
第24条 個人情報取扱事業者は、外国(本邦の域外にある国又は地域をいう。以下同じ。)(個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるものを除く。以下この条及び第26条の2第1項第2号において同じ。)にある第三者(個人データの取扱いについてこの節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置(第3項において「相当措置」という。)を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者を除く。以下この項及び次項並びに同号において同じ。)に個人データを提供する場合には、前条第1項各号に掲げる場合を除くほか、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。この場合においては、同条の規定は、適用しない。
2・3(略)
_
(第三者提供に係る記録の作成等)
第25条 個人情報取扱事業者仮名加工情報取扱事業者(個人情報取扱事業者である者に限る。)は、仮名加工情報である個人データを第三者(第2条第5項各号に掲げる者を除く。以下この条及び次条(第26条の2第3項において読み替えて準用する場合を含む。)において同じ。)に提供したときは、個人情報保護委員会規則で定めるところにより、当該仮名加工情報である個人データを提供した年月日、当該第三者の氏名又は名称その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければならない。ただし、当該仮名加工情報である個人データの提供が第23条第1項各号又は第5項各号のいずれか(前条第1項の規定による個人データの提供にあっては、第23条第1項各号のいずれか)法令に基づく場合又は第23条第5項各号のいずれかに該当する場合は、この限りでない。
2(略)
_
(第三者提供を受ける際の確認等)
第二十六条 個人情報取扱事業者仮名加工情報取扱事業者(個人情報取扱事業者である者に限る。)は、第三者から仮名加工情報である個人データの提供を受けるに際しては、個人情報保護委員会規則で定めるところにより、次に掲げる事項の確認を行わなければならない。ただし、当該仮名加工情報である個人データの提供が第23条第1項各号又は第5項各号のいずれか法令に基づく場合又は第23条第5項各号のいずれかに該当する場合は、この限りでない。
一 当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人)の氏名
二 当該第三者による当該仮名加工情報である個人データの取得の経緯
2〜4(略)
_
7 仮名加工情報取扱事業者は、仮名加工情報を取り扱うに当たっては、当該仮名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該仮名加工情報を他の情報と照合してはならない。
8 仮名加工情報取扱事業者は、仮名加工情報を取り扱うに当たっては、電話をかけ、郵便若しくは民間事業者による信書の送達に関する法律(平成14年法律第99号)第2条第6項に規定する一般信書便事業者若しくは同条第9項に規定する特定信書便事業者による同条第2項に規定する信書便により送付し、電報を送達し、ファクシミリ装置若しくは電磁的方法(電子情報処理組織を使用する方法その他の情報通信の技術を利用する方法であって個人情報保護委員会規則で定めるものをいう。)を用いて送信し、又は住居を訪問するために、当該仮名加工情報に含まれる連絡先その他の情報を利用してはならない。
9 仮名加工情報、仮名加工情報である個人データ及び仮名加工情報である保有個人データについては、第15条第2項、第22条の2及び第27条から第34条までの規定は、適用しない。
_
〇仮名加工情報、仮名加工情報である個人データ及び仮名加工情報である保有個人データに適用がない規定
第15条第2項(利用目的の変更の範囲)
第22条の2(漏えい等の報告等)
第27条(保有個人データに関する事項の公表等)
第28条(開示)
第29条(訂正等)
第30条(利用停止等)
第31条(理由の説明)
第32条(開示等の請求等に応じる手続)
第33条(手数料)
第34条(事前の請求)
_
(仮名加工情報の第三者提供の制限等)
第35条の3 仮名加工情報取扱事業者は、法令に基づく場合を除くほか、仮名加工情報(個人情報であるものを除く。次項及び第3項において同じ。)を第三者に提供してはならない。
2 第23条第5項及び第6項の規定は、仮名加工情報の提供を受ける者について準用する。この場合において、同条第5項中「前各項」とあるのは「第35条の3第1項」と、同項第1号中「個人情報取扱事業者」とあるのは「仮名加工情報取扱事業者」と、同項第3号中「、本人に通知し、又は本人が容易に知り得る状態に置いて」とあるのは「公表して」と、同条第六項中「個人情報取扱事業者」とあるのは「仮名加工情報取扱事業者」と、「、本人に通知し、又は本人が容易に知り得る状態に置かなければ」とあるのは「公表しなければ」と読み替えるものとする。
〇個人情報でない仮名加工情報に関する準用・読み替え規定
_
第23条(第三者提供の制限等)
5 次に掲げる場合において、当該個人データ仮名加工情報(個人情報であるものを除く。以下同じ。)の提供を受ける者は、前各項第35条の3第1項の規定の適用については、第三者に該当しないものとする。
一 個人情報取扱事業者仮名加工情報取扱事業者が利用目的の達成に必要な範囲内において個人データ仮名加工情報の取扱いの全部又は一部を委託することに伴って当該個人データ仮名加工情報が提供される場合
二 合併その他の事由による事業の承継に伴って個人データ仮名加工情報が提供される場合
三 特定の者との間で共同して利用される個人データ仮名加工情報が当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データ仮名加工情報の項目、共同して利用する者の範囲、利用する者の利用目的並びに当該個人データ仮名加工情報の管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いて公表しているとき。
6 個人情報取扱事業者仮名加工情報取扱事業者は、前項第3号に規定する個人データ仮名加工情報の管理について責任を有する者の氏名、名称若しくは住所又は法人にあっては、その代表者の氏名に変更があったときは遅滞なく、同号に規定する利用する者の利用目的又は当該責任を有する者を変更しようとするときはあらかじめ、その旨について、本人に通知し、又は本人が容易に知り得る状態に置かなければ公表しなければならない。
_
3 第20条から第22条まで、第35条並びに前条第7項及び第8項の規定は、仮名加工情報取扱事業者による仮名加工情報の取扱いについて準用する。この場合において、第20条中「漏えい、滅失又は毀損」とあるのは「漏えい」と、前条第7項中「ために、」とあるのは「ために、削除情報等を取得し、又は」と読み替えるものとする。
_
〇個人情報でない仮名加工情報に関する準用・読み替え規定
_
(安全管理措置)
第20条 個人情報取扱事業者仮名加工情報取扱事業者は、その取り扱う個人データ仮名加工情報(個人情報であるものを除く。)の漏えい、滅失又は毀損の防止その他の個人データ仮名加工情報(個人情報であるものを除く。)の安全管理のために必要かつ適切な措置を講じなければならない。
_
(従業者の監督)
第21条 個人情報取扱事業者仮名加工情報取扱事業者は、その従業者に個人データ仮名加工情報(個人情報であるものを除く。)を取り扱わせるに当たっては、当該個人データ仮名加工情報(個人情報であるものを除く。)の安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。
_
(委託先の監督)
第22条 個人情報取扱事業者仮名加工情報取扱事業者は、個人データ仮名加工情報(個人情報であるものを除く。)の取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データ仮名加工情報(個人情報であるものを除く。)の安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。
_
(個人情報取扱事業者による苦情の処理)
第35条 個人情報取扱事業者仮名加工情報取扱事業者は、個人データ仮名加工情報(個人情報であるものを除く。)の取扱いに関する苦情の適切かつ迅速な処理に努めなければならない。
2項略
_
第35条の2第7項・第8項
7 仮名加工情報取扱事業者は、仮名加工情報(個人情報であるものを除く。)を取り扱うに当たっては、当該仮名加工情報の作成に用いられた個人情報に係る本人を識別するために、削除情報等を取得し、又は当該仮名加工情報を他の情報と照合してはならない。
8 仮名加工情報取扱事業者は、仮名加工情報(個人情報であるものを除く。)を取り扱うに当たっては、電話をかけ、郵便若しくは民間事業者による信書の送達に関する法律(平成14年法律第99号)第2条第6項に規定する一般信書便事業者若しくは同条第9項に規定する特定信書便事業者による同条第2項に規定する信書便により送付し、電報を送達し、ファクシミリ装置若しくは電磁的方法(電子情報処理組織を使用する方法その他の情報通信の技術を利用する方法であって個人情報保護委員会規則で定めるものをいう。)を用いて送信し、又は住居を訪問するために、当該仮名加工情報に含まれる連絡先その他の情報を利用してはならない。
_