個人情報保護法及び電気通信事業法の改正
個人情報保護法及び電気通信事業法の改正
- (3)2020年改正の概要
- a.はじめに
- 図4が2020年改正の概要である。
- 情報通信技術の進展が著しいことから、個人情報保護法は3年毎の見直し規定を設けており、2020年改正はそれに基づくものである。その関係で、この間の状況変化や運用経験を踏まえて、個人情報の利活用の促進と個人の権利保護とのより高次元での両立を目指して制度の作り込みを図るような改正内容となっている。
- b.個人の権利保護の強化
- 個人の権利保護について、いくつかの点で強化された。図4のとおりであるが、いくつかについて補足を含めて取り上げる。
- まず、利用停止・消去等の個人の請求権が行使可能な場合が拡大された。従来、適正な取得や目的外利用の場合に限って認められていたが、「個人情報取扱事業者は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない。」という2020年改正で追加された規定(19条)に反した場合も利用停止・消去等の請求権が行使できることとなった(35条1項)。上記19条の規定は、官報で公告された破産者の住所氏名を、地図上にマッピングする形でインターネットで公開する「破産者マップ」などと称される一群のサイトが問題化したことなどを受けて設けられたものである。
出展:個人情報保護委員会(2020)「概要資料」を元に筆者作成
- 保有個人データの開示方法について、従来は書面の交付が原則であったところ、電磁的記録の提供を含め、本人が指示できるようになった(33条1項)。電磁的記録の形で開示を受けることができれば、これを他の用途に用いることが容易となるという意味において、データポータビリティ権に通じるものだとも評価しうる。
- 個人データの第三者提供を行うには、原則として本人の事前同意(オプトイン)が必要であるが、その例外として、住宅地図業者が住宅地図を制作して販売するために個人情報を収集する場合のように、第三者提供を利用目的とする場合において、所定の条件を充たしていれば、オプトアウト(事後の申し出による除外)によって第三者提供を行うことが認められている(27条2項。書籍教材111頁)。この規定については、いわゆる名簿屋に利用されるなど個人情報の保護の観点から批判も強く、2020年改正では規律が厳格化された。特に、従来は、この規定によって第三者提供されたものをさらにこの規定に基づいて別の第三者に提供することが可能だったが、こうした行為は禁止された。
- 第三者提供に関連して、2019年に生じたいわゆるリクナビ事件を受けて、提供元では個人情報に当たらないが、提供先において提供された情報と元から保有する情報とを照合して特定個人の識別が可能となる場合について、提供元に、本人同意が得られていることの確認義務が課された(31条)。「個人関連情報」(2条7項)の規律であり、第三者提供の規律の脱法行為を封じる趣旨である。
- 漏えい等の事故が発生した場合の個人情報保護委員会への報告及び本人への通知が、努力義務から法的な義務とされた(26条)。
- 個人情報保護のための個人情報取扱事業者の義務遵守を担保するための措置も強化された。1つは、個人情報保護委員会による命令違反に対する罰則が強化され、法人の場合には最大1億円の罰金が課せるようになった(184条)。もう1つは、海外事業者に対する監督措置につき、強制力のある措置(罰則によって担保された報告徴収・命令)がとれるようになった(171条)。
- c.データ利活用のための「仮名加工情報」概念の新設
- 匿名加工情報ほどではないが、個人情報に一定の加工を施し、他の情報と照合しない限り特定個人を識別できないようにした情報を「仮名加工情報」として、個人情報よりも柔軟な規律のもとで利用できるようにした(2条5項、41条、42条)。匿名加工情報が第三者に提供して利活用されることを想定しているのに対し、仮名加工情報は、当該事業者の内部で、マーケティングや研究開発に利用することが想定されている。