トピックス

2020.05.19
NEWS

【改正個人情報保護法】「保有個人データ」の対応強化(短期保有個人データの例外廃止・開示のデジタル化・利用停止、消去、第三者提供の停止の請求に係る要件の緩和)

 
令和2年( 2020 年) 3月 10 日に閣議決定され国会に提出された「 個人情報の保護に関する法律等の一部を改正する法律案 」 が同年6月5日に国会で成立いたしました(同年6月12日に公布されました(令和2年法律第44号))。

これに伴い、「
改正個人情報保護法Q&A(法案成立改訂版)」を作成いたしましたのでご覧ください(令和2年6月12日に公布されたことに伴い微修正いたしました。)。

Q&A改正個人情報保護法(改正法成立)(クリーン)
Q&A改正個人情報保護法(改正法成立)(修正履歴)

令和2年( 2020 年) 3月 10 日、「 個人情報の保護に関する法律等の一部を改正する法律案 」 が閣議決定され、 国会 に提出されました 。
本トピックでは改正の注目点である『「保有個人データ」の対応強化(短期保有個人データの例外廃止・開示のデジタル化・利用停止、消去、第三者提供の停止の請求に係る要件の緩和)』について解説いたします。
※個人情報保護委員会の「「個人情報の保護に関する法律等の一部を改正する法律案」の閣議決定について」において、法律案、新旧対照表、概要資料等が公表されています。
 
〇下記は、「Q&A改正個人情報保護法」の抜粋です。他の改正項目はこちらもご覧ください。
Q&A改正個人情報保護法

執筆者:渡邉雅之
本ニュースレターに関するご相談などがありましたら、下記にご連絡ください。
弁護士法人三宅法律事務所
弁護士渡邉雅之
03-5288-1021
Email: m-watanabe@miyake.gr.jp


Q「保有個人データ」に関しては①短期保存データの保有個人データ化、②開示請求のデジタル化、③利用停止請求権等の要件の緩和がなされるそうですが、どのような改正が具体的になされますか。
 
 
【改正条文】
第2条第7項
この法律において「保有個人データ」とは、個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの又は一年以内の政令で定める期間以内に消去することとなるもの以外のものをいう。
 
(開示)
第28条 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データの電磁的記録の提供による方法その他の個人情報保護委員会規則で定める方法による開示を請求することができる。
2 個人情報取扱事業者は、前項の規定による請求を受けたときは、本人に対し、政令で定める方法同項の規定により当該本人が請求した方法(当該方法による開示に多額の費用を要する場合その他の当該方法による開示が困難である場合にあっては、書面の交付による方法)により、遅滞なく、当該保有個人データを開示しなければならない。ただし、開示することにより次の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。
 一~三(略)
3 個人情報取扱事業者は、第一項の規定による請求に係る保有個人データの全部若しくは一部について開示しない旨の決定をしたとき、当該保有個人データが存在しないとき、又は同項の規定により本人が請求した方法による開示が困難であるときは、本人に対し、遅滞なく、その旨を通知しなければならない。
4・5(略)
 
(利用停止等)
第30条 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データが第16条若しくは16条の2の規定に違反して取り扱われているとき、又は第17条の規定に違反して取得されたものであるときは、当該保有個人データの利用の停止又は消去(以下この条において「利用停止等」という。)を請求することができる。
2~4(略)
5 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データを当該個人情報取扱事業者が利用する必要がなくなった場合、当該本人が識別される保有個人データに係る第22条の2第1項本文に規定する事態が生じた場合その他当該本人が識別される保有個人データの取扱いにより当該本人の権利又は正当な利益が害されるおそれがある場合には、当該保有個人データの利用停止等又は第三者への提供の停止を請求することができる。
6 個人情報取扱事業者は、前項の規定による請求を受けた場合であって、その請求に理由があることが判明したときは、本人の権利利益の侵害を防止するために必要な限度で、遅滞なく、当該保有個人データの利用停止等又は第三者への提供の停止を行わなければならない。ただし、当該保有個人データの利用停止等又は第三者への提供の停止に多額の費用を要する場合その他の利用停止等又は第三者への提供の停止を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
7(略)
【改正の方向性】
1.6月以内に消去することとなる個人データの保有個人データ化
本人の開示等の請求対象となる「保有個人データ」について、保存期間により限定しないこととされ、現在除外されている6か月以内に消去する短期保存データも「保有個人データ」に含められることになる。
2.保有個人データの開示請求のデジタル化
本人が、電磁的記録の提供を含め、開示方法を指示できるようにされ、請求を受けた個人情報取扱事業者は、原則として、本人が指示した方法により開示するよう義務付けられる。ただし、当該方法による開示に多額の費用を要する場合その他の当該方法による開示が困難である場合にあっては、書面の交付による方法による開示を認めることとし、その旨を本人に対し通知することが義務付けられる。
3.利用停止、消去、第三者提供の停止の請求に係る要件の緩和
個人の権利利益の侵害がある場合を念頭に、保有個人データの利用停止・消去の請求、第三者提供の停止の請求に係る要件が緩和され、個人の権利の範囲を広げられる。ただし、事業者の負担軽減等の観点から、利用停止・消去又は第三者提供の停止を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わる措置を取る場合は、請求に応じないことを例外的に許容する。

第1.保有個人データとは?

 「個人データ」とは、「個人情報データベース等」(下記(3)参照)を構成する個人情報をいいます(保護法2条4項)。
 「保有個人データ」とは、「個人データ」のうち、「個人情報取扱事業者」が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データ(6月以内に消去することとなるもの等を除く。)をいいます(保護法2条5項)。
 「個人データ」のうち、「保有個人データ」であるものは例えば以下のものです。
  • 自社の事業活動に用いている顧客情報
  • 事業として第三者に提供している個人情報
  • 従業者等の人事管理情報
 
 「保有個人データ」に該当しない「個人データ」としては例えば以下のものです。
  • 委託を受けて、入力、編集、加工等のみを行っているもの
 
 「個人データ」(「保有個人データ」を含む。)に該当する場合、「個人情報取扱事業者」には以下の義務等が課されます。
  • データ内容の正確性の確保(保護法19条)
  • 安全管理措置(同法20条)
  • 従業者の監督(同法21条)
  • 委託先の監督(同法22条)
  • 第三者提供の制限(同法23条)
  • 外国にある第三者への提供の制限(同法24条)
  • 確認・記録義務(同法25条・26条)
 
 「保有個人データ」に該当する場合、「個人情報取扱事業者」には以下の義務等が課されます。
  • 保有個人データに関する事項の公表(保護法24条)
  • 開示(同法25条)
  • 訂正等(同法26条)
  • 利用停止等・第三者提供の停止(同法27条)
  • 理由の説明(同法28条)
  • 開示等の求めに応じる手続(同法29条)
  • 手数料(同法30条)

第2.6月以内に消去することとなる個人データの保有個人データ化(法2条7項)

出所:個人情報保護委員会「個人情報保護をめぐる国内外の動向」(令和元年11月25日)
 
1 現行個人情報保護法
 現行法上、開示等の対象となる保有個人データについては、1年以内の政令で定める期間以内に消去することとなるものが除外されており(個人情報保護法2条7項)、政令で定める期間については、同法施行令5条の規定により「6月」とされている。
すなわち、現行法上、6月以内に消去することとなる個人データは、「保有個人データ」の定義から除かれており、個人情報取扱事業者は、開示や利用停止等の請求に応ずる義務がない。
立法当時このように定められた背景は、短期間で消去される個人データについては、データベースに蓄積されて取り扱われる時間が限られており、個人の権利利益を侵害する危険性が低く、また、本人の請求を受けて開示等が行われるまでに消去される可能性も高いことから、個人情報取扱事業者に請求に対応するコストを負担させることの不利益が、本人に開示等を請求する権利を認めることの利益を上回るものと考えられたためである。
 
2 情報化社会の進展による状況の変化
 しかしながら、情報化社会の進展により、短期間で消去される個人データであっても、その間に漏えい等が発生し、瞬時に拡散する危険が現実のものとなっている。このように、短期間で消去される個人データについても、個人の権利利益を侵害する危険性が低いとは限らない。
また、既に消去されていれば、請求に応じる必要もないことから、個人情報取扱事業者に請求に対応するコストを負担させることの不利益が、本人に開示等を請求する権利を認めることの利益を上回るとはいえないものと考えられる。
なお、現在でも、プライバシーマークにおいて審査基準の根拠とされている「JIS Q 15001 個人情報保護マネジメントシステム-要求事項」においては、6か月以内に消去する個人情報も含め、開示等の求めに原則応じることとされており、事業者において自主的に個人情報保護法の水準を超えた対応が行われている。
 
JIS Q 15001における関係規定の概要
(付属書A:A.3.4.4.1、付属書B:B.3.4.4.1 )
・保有個人データには該当しない場合でも、本人からの開示等(※)の求めに応じることができる権限を有する個人情報については、保有個人データと同様に取り扱う。
・上記本人からの開示等の求めに応じることができる権限を有する個人情報には、政令で定める期間(6カ月)以内に消去する個人データが含まれる。
※利用目的の通知、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三
者への提供の停止の請求など
 
3 改正法
改正法では、「保有個人データ」の定義から、「一年以内の政令で定める期間以内に消去することとなるもの以外のもの」との部分が削除されることにより、6月以内に削除するものも「保有個人データ」に該当することとされた。
本規定の改正は、公布の日から起算して2年を超えない範囲内で政令で定める日に施行される(改正法附則1条本文)。
 
第3.保有個人データの開示請求のデジタル化(法28条)
1 現行法 
現行法では、本人への開示方法は、書面の交付による方法(開示の請求を行った者が同意した方法があるときは、当該方法)とされている(法28条2項、同法施行令9条)。
 
2 改正の背景
(1) 開示請求のデジタル化の必要性
  開示の提供形式について、現行個人情報保護法では、「書面の交付による方法」を原則としつつ、「開示の請求を行った者が同意した方法があるときは、当該方法」とされている(同法施行令9条)。
開示請求の対象となる保有個人データについては、情報技術の進展により、膨大な情報を含む場合があるところ、当該保有個人データを印字した書面を交付された本人にとっては、検索も困難であり、その内容を十分に認識することができないおそれがある。
特に、当該保有個人データが音声や動画である場合は、その内容を書面上に再現すること自体が困難である。このように、書面による開示では、当該保有個人データの取扱状況を十分に明らかにすることができず、これを前提に訂正等並びに利用停止等及び第三者提供の停止の請求を行うことが困難なケースがある。また、開示された個人データを本人が利用する場面で、電磁的形式である方が利便性が高い場合も少なくない。
(2) GDPRのデータポータビリティの権利
EUのGDPRにおいても、事業者は、本人の求めに応じて、保有する個人データを提供する義務が課せられているが、特定の条件を満たす場合には、本人が他の用途で利用しやすい電子的形式で、本人又は本人が望む他の事業者に、個人情報を提供する義務が課されており「データポータビリティの権利」と称されている(GDPR第20条)。なお、本人が望む他の事業者に直接個人情報を提供させることができるのは、技術的に実行可能な場合に限定されている。
(3) デジタル手続法の成立
 2019年通常国会で「民間手続における情報通信技術の活用の促進等を謳った情報通信技術の活用による行政手続等に係る関係者の利便性の向上並びに行政運営の簡素化及び効率化を図るための行政手続等における情報通信の技術の利用に関する法律等の一部を改正する法律」(いわゆる「デジタル手続法」)が成立したこと等を踏まえ、個人情報保護法における開示の際の電磁的形式による提供についても、利用者の利便を考慮しつつ、明確化をすべきであると考えられる。
 
3.改正法
(1)開示請求の方法(法28条1項)(改正)
本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データの電磁的記録の提供による方法その他の個人情報保護委員会規則で定める方法による開示を請求することができることとされた(下線部分は改正法による追加部分)。
 
(2)開示方法(法28条2項)
 現行法では、保有個人データの開示は書面の交付による方法が原則である(法28条2項、同法施行令9条)が、改正法では、当該本人が請求した方法(当該方法による開示に多額の費用を要する場合その他の当該方法による開示が困難である場合にあっては、書面の交付による方法)により遅滞なく、当該保有個人データを開示することとされた。
 
(3)施行期日
本規定の改正は、公布の日から起算して2年を超えない範囲内で政令で定める日に施行される(改正法附則1条本文)。
 
第4.利用停止、消去、第三者提供の停止の請求に係る要件の緩和
1 利用停止等を巡る状況
個人情報保護法上、利用停止等(利用の停止又は消去)についての個人の権利行使には一定の制約が課されている。
利用停止・消去の請求」に応じる義務を課されているのは、①個人情報を目的外利用したとき(同法16条違反)や、②不正の手段により取得した場合(同法17条違反)に限られている(同法30条1項)。
第三者提供の停止の請求」に応じる義務が課されるのは、「法の規定に違反して第三者提供されている場合」(同法23条1項、24条1項違反)に限られている(同法30条3項)。
この点については、個人情報保護委員会への相談ダイヤルに寄せられる意見や、タウンミーティングにおける議論でも、消費者からは、自分の個人情報を事業者が利用停止又は消去等を行わないことへの強い不満が見られるところである。
 
2 JIS Q 15001個人情報保護マネジメントシステム-要求事項
日本において比較的多くの事業者が活用している民間の取組であるプライバシーマークにおいて審査基準の根拠とされている「JIS Q 15001個人情報保護マネジメントシステム-要求事項」においては、本人の保有個人データの利用停止、消去又は第三者提供の停止の請求を受けた場合は、原則として応じる義務があることとされており、自主的に個人情報保護法の水準を超えた対応が行われている。
〇個人情報保護法30条
(利用停止等)
第三十条 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データが第十六条の規定に違反して取り扱われているとき又は第十七条の規定に違反して取得されたものであるときは、当該保有個人データの利用の停止又は消去(以下この条において「利用停止等」という。)を請求することができる。
2 個人情報取扱事業者は、前項の規定による請求を受けた場合であって、その請求に理由があることが判明したときは、違反を是正するために必要な限度で、遅滞なく、当該保有個人データの利用停止等を行わなければならない。ただし、当該保有個人データの利用停止等に多額の費用を要する場合その他の利用停止等を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
3 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データが第二十三条第一項又は第二十四条の規定に違反して第三者に提供されているときは、当該保有個人データの第三者への提供の停止を請求することができる。
4 個人情報取扱事業者は、前項の規定による請求を受けた場合であって、その請求に理由があることが判明したときは、遅滞なく、当該保有個人データの第三者への提供を停止しなければならない。ただし、当該保有個人データの第三者への提供の停止に多額の費用を要する場合その他の第三者への提供を停止することが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
5 個人情報取扱事業者は、第一項の規定による請求に係る保有個人データの全部若しくは一部について利用停止等を行ったとき若しくは利用停止等を行わない旨の決定をしたとき、又は第三項の規定による請求に係る保有個人データの全部若しくは一部について第三者への提供を停止したとき若しくは第三者への提供を停止しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。
 
〇JIS Q 15001個人情報保護マネジメントシステム-要求事項
A.3.4.4.7 保有個人データの利用又は提供の拒否権
組織が,本人から当該本人が識別される保有個人データの利用の停止,消去又は第三者への提供の停止(以下,この項において“利用停止等”という。)の請求を受けた場合は,これに応じなければならない。また,措置を講じた後は,遅滞なくその旨を本人に通知しなければならない。ただし,A.3.4.4.5 のただし書きa)~c) のいずれかに該当する場合は,利用停止等を行う必要はないが,そのときは,本人に遅滞なくその旨を通知するとともに,理由を説明しなければならない。
〇A.3.4.4.5 のただし書きa)~c)
a) 本人又は第三者の生命,身体,財産その他の権利利益を害するおそれがある場合
b) 当該組織の業務の適正な実施に著しい支障を及ぼすおそれがある場合
c) 法令に違反する場合
 
3 GDPRにおける消去権(忘れられる権利)・プロファイリングに係る権利
EUのGDPR(EU一般データ保護規則)については、旧来の「EUデータ保護指令」の下では規定のなかった、消去権(忘れられる権利)、プロファイリングに係る規定が新たに設けられており、概要は次のとおりである。
消去権(忘れられる権利)については、本人は、一定の場合に、事業者に対して、当該本人に関する個人データを不当に遅滞なく消去させる権利が認められている(GDPR17条)。もっとも、表現の自由及び情報伝達の自由の権利の行使に取扱いが必要な場合等、適用の例外も規定されている。
【事業者が消去の義務を負う場合の例】(GDPR17条1項)
  • 個人データの収集や取扱いの目的に関して、当該個人データが必要なくなった場合
  • 本人が個人データの取扱いについての同意を撤回し、かつ、当該取扱いに関して他の法的根拠がない場合
  • 本人が、第21 条第1項に基づいて個人データの取扱いに対して異議を申し立て、かつ、取扱いに関して優先する他の法的根拠がない場合、又は、ダイレクトマーケティングを目的とした取扱いに対して異議を申し立てる場合
  • 個人データが不法に取り扱われた場合
  • 個人データがEU 法又はEU 加盟国の国内法の義務の遵守のために消去されなければならない場合
【適用されない場合の例】(GDPR17条3項)
  • 表現の自由及び情報の自由の権利の行使に取扱いが必要な場合
  • 事業者が従うEU 法又はEU 加盟国の国内法の義務の遵守のために取扱いが必要な場合、又は公共の利益等のために取扱いが必要な場合
  • 公共の利益の目的、科学的若しくは歴史的研究目的又は統計目的の達成のために取扱いが必要な場合
 
また、プロファイリングについては、大きく分けて、異議を申し立てる権利(GDPR21条)と、自動的な意思決定に服さない権利(GDPR22条)が規定されている。
異議を申し立てる権利は、「公共の利益又は公的権限の行使のために行われる業務の遂行」又は「正当な利益の追求」を法的根拠とする、プロファイリングそのものを含む個人データの取扱いに対して、異議を申し立てる権利(GDPR第21条第1項)であり、この権利を行使された事業者は、本人の利益を超越する、個人データの取扱いに係る正当化根拠等を示せない限り、プロファイリングそのものを含む個人データの取扱いを止めなければならないとされている。
なお、「正当な利益の追求」によらず、「本人同意」を法的根拠としたとしても、同意を撤回されれば削除権の対象となる(GDPR第17条第1項(b))。なお、ダイレクトマーケティングを目的とする個人データの取扱いに関しては、事業者の事情(取扱いに係る正当な根拠の有無)にかかわらず、この権利の行使の対象となる(GDPR第21条第2項)。
また、自動的な意思決定に服さない権利(GDPR第22条)については、プロファイリングを含むもっぱら(solely)自動的な個人データの取扱いに基づく意思決定に服さない権利とされ、プロファイリングそのものではなく、意思決定に服さない権利が規定されている。なお、本人との契約の締結又は履行に必要な場合等は対象外であり、また、人が介在すればこの権利の対象とはならないとされている。
 
4 中間整理における意見
 「個人情報保護法いわゆる3年ごと見直しに係る検討の中間整理[1](以下「中間整理」という。)の意見募集では、多岐にわたる意見が寄せられた。利用停止や消去の義務化を求める意見や、利用停止等に関して個人の権利の範囲を広げる方向について検討することは十分に可能でないかとの意見があった。一方で、経済界からは、「現行制度の下での自主的対応で十分である」、「EUのGDPRも参考にしつつ、保護と利活用のバランスを考慮した範囲にするなど慎重に検討すべき」、「請求権行使の例外規定を設ける必要がある」、「利用停止と消去・削除については切り分けて検討すべき」、「諸外国の実態を踏まえるべき」等様々な意見のほか、利用停止等に関して個人の権利の範囲を広げる方向性や、個人が自らの個人情報にコントロールを有することについて、支持する意見もあった。
 
5 改正条文
(1)利用停止等・第三者提供の停止の請求ができる場合の追加(法30条5項)(新設)
本人は、個人情報取扱事業者に対し、①当該本人が識別される保有個人データを当該個人情報取扱事業者が利用する必要がなくなった場合、②当該本人が識別される保有個人データに係る第22条の2第1項本文に規定する事態(個人データの漏えい等)が生じた場合、③その他当該本人が識別される保有個人データの取扱いにより当該本人の権利又は正当な利益が害されるおそれがある場合には、当該保有個人データの利用停止等又は第三者への提供の停止を請求することができる。
(2)利用停止等・第三者提供の停止・代替措置(法30条6項)(新設)
 個人情報取扱事業者は、前項の規定による請求を受けた場合であって、その請求に理由があることが判明したときは、本人の権利利益の侵害を防止するために必要な限度で、遅滞なく、当該保有個人データの利用停止等又は第三者への提供の停止を行わなければならない。
ただし、個人情報取扱事業者は、当該保有個人データの利用停止等又は第三者への提供の停止に多額の費用を要する場合その他の利用停止等又は第三者への提供の停止を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、利用停止等又は第三者提供の停止に応じなくてもよい。
 
〇利用停止・消去の請求ができる場合(下線部分の場合が改正で追加)
①個人情報を目的外利用した場合(法16条違反)(法30条1項)
②不正の手段により取得した場合(法17条違反)(法30条1項)
③当該本人が識別される保有個人データを当該個人情報取扱事業者が利用する必要がなくなった場合(法30条5項)
④当該本人が識別される保有個人データに係る法22条の2第1項本文に規定する事態(個人データの漏えい等)が生じた場合(法30条5項)
その他当該本人が識別される保有個人データの取扱いにより当該本人の権利又は正当な利益が害されるおそれがある場合(法30条5項)
 
※③から⑤の場合は、当該保有個人データの利用停止等又は第三者への提供の停止に多額の費用を要する場合その他の利用停止等又は第三者への提供の停止を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは利用停止・消去に応じなくてよい。
 
 
〇第三者提供の停止の請求ができる場合(下線部分の場合が改正で追加)
①「法の規定に違反して第三者提供されている場合」(法23条1項、24条1項違反)(法30条3項)
②当該本人が識別される保有個人データを当該個人情報取扱事業者が利用する必要がなくなった場合(法30条5項)
当該本人が識別される保有個人データに係る法22条の2第1項本文に規定する事態(個人データの漏えい等)が生じた場合(法30条5項)
④その他当該本人が識別される保有個人データの取扱いにより当該本人の権利又は正当な利益が害されるおそれがある場合(法30条5項)

※②から④の場合は、当該保有個人データの利用停止等又は第三者への提供の停止に多額の費用を要する場合その他の利用停止等又は第三者への提供の停止を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは利用停止・消去に応じなくてよい。
 
(3)施行期日
本規定の改正は、公布の日から起算して2年を超えない範囲内で政令で定める日に施行される(改正法附則1条本文)。


第5.事業者への実務上の影響
 改正法により、事業者が特に影響を受けるのは、保有個人データの開示請求のデジタル化であろう。個人が預金取引履歴の開示など求めてきた場合、電磁的方法で提供できるようにしなければならない。
 また、事業者の顧客情報について「利用する必要がなくなった」ことを理由として利用停止・消去の請求がなされた場合、事業の運営上必要なことを金融機関の側で立証できるように整理しておかなければならなくなる。