個人情報保護法改正のポイント解説~後編~

投稿日:2017/06/13

弁護士の高橋と中澤です。

5月30日に改正個人情報保護法が施行されました。

前回のブログで、改正の大きな柱は、①ビックデータ活用への対応②トレーサビリティの確保③グローバル化への対応であると述べました。前編(※)では、このうち①について解説しましたので、後編では②③について解説します。前編のブログとあわせてお読み頂ければ幸いです!

※前編のブログ記事はこちら

3.トレーサビリティの確保

(1)記録作成、保存義務

個人情報に関しては、過去にたびたび漏洩問題が発生しています。なかでも、2014年に発生したベネッセコーポレーションの顧客情報が名簿事業者経由で他事業者に漏えいした事件は、記憶に新しいことと思います。

上記事件では、顧客が自己の情報を提供していない第三者からDMが届いたことにより漏洩が発覚したとされていますが、そのような事態が発生した場合でも、個人情報がどの業者から漏れたのかを突き止めるのは大変なことです。また、複数の名簿業者が介在していることが多いため、どのような経緯で個人情報が売買されたかを辿ることも、個人の力では難しいと考えられます。

そこで、今般の改正では、必要に応じて個人情報の流通経路を辿ることができるようにし、また、不正に個人情報を提供した場合の罰則を設け、不正な個人情報の流通を抑止するための規定が設けられました。

具体的には、個人データの提供者は、個人データを第三者に提供したときは、当該個人データを提供した年月日、当該第三者の氏名又は名称等の記録を作成し、原則3年間保存しなければならないという規定が設けられました(法25条)。また、個人データの受領者は、第三者から個人データの提供を受ける際に、提供者の氏名や当該個人データ取得経緯等を確認し、当該確認にかかる事項及び当該個人データの提供を受けた年月日等の記録を作成し、原則3年間その内容を保存しなければならないという規定も設けられました(法26条)。[1]

このように個人データの提供側、受領側双方に対して、当該提供にかかる事項の記録、保存を義務付けることによって、トレーサビリティを確保する狙いがあります。

また、個人情報の不正な持ち出しについて厳格な対応を取るため、刑事罰も追加されました(法83条)。具体的には、個人情報データベース等を取り扱う事務に従事する者又は従事していた者が、不正な利益を図る目的で提供し、又は盗用する行為があった場合は、一年以下の懲役又は五十万円以下の罰金に処することとされています。

(2) オプトアウトの厳格化

現行の個人情報保護法においては、個人情報取扱事業者は、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、一定の事項について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているときは、当該個人データを第三者に提供することができることとされています(現行法23条2項)。

しかしながら、現行法の下では、いわゆる名簿業者の間で、本人が認識しないところでオプトアウト規定により転売(第三者提供)がなされている場合があり、オプトアウト規定が機能していないのではないかという問題がありました。

そこで、改正個人情報保護法においては、オプトアウト規定による第三者提供をしようとする場合、個人情報取扱事業者が、第三者に提供される個人データの項目、第三者への提供の方法等の情報を個人情報保護委員会へ届け出るとともに、個人情報保護委員会は、その内容を公表することが義務付けられました(法23条4項)。これによって、個人情報の取扱いについての透明性を高める狙いがあります。また、あらかじめ本人に通知し、又は本人が容易に知り得る状態に置く事項として、個人データの第三者への提供を停止することについての「本人の求めを受け付ける方法」という項目が追加されました(法23条2項5号)。

4.グローバル化への対応

(1)外国にある第三者への提供

現代社会では、国境を越えた物品や役務の提供が一般的になっており、個人情報に関しても例外ではありません。そこで、今般の改正では、外国に個人データを移転する場合の取扱いが規定されました。

まず、外国にある第三者に個人データを提供する場合には、原則として本人の同意が必要であることが明記されました(法24条)。また、この場合は国内への第三者提供について定めた法23条の適用が排除されていますので、いわゆる委託の例外[2]や共同利用[3]は適用できませんし、オプトアウトの方法によることもできません。 但し、当該規定には例外があり、①個人の権利利益を保護する上で我が国と同等の水準の国の第三者に提供する場合[4]、②個人データの取扱いについて個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者への提供の場合は、24条の対象ではなく、国内での個人情報の第三者提供と同等に取り扱われます。この場合は、法23条の原則に戻って、オプトアウト、共同利用、委託の例外といった規定が適用されます。

なお、法人の場合、「外国にある第三者」とは法人格で判断されるため、グループ会社間でも外国法人であれば24条の対象となる可能性があるという点に注意が必要です。反対に、単に日本企業の自社サーバが外国にあるという場合には、「外国にある第三者」とはみなされません。つまり、個人データの提供者と別の法人格が外国にある場合には、「外国にある第三者」に該当することになります。

(2)国外適用

外国にある個人情報取扱事業者のうち、日本国内にある者に対する物品又は役務提供に関連してその者を本人とする個人情報を取得した者が、外国において当該情報を取り扱う場合にも、個人情報保護法の一部[5]が適用されることになりました(法75条)。

改正前は外国の事業者に個人情報保護法は適用されないと解されていましたが、企業活動や物流のグローバル化に伴い、外国に拠点を有する事業者がインターネットによる物品販売等に関連して日本の居住者等から個人情報を取得することが多くなったことから、かかる個人情報が外国でも適切に取り扱われるようにするために、国外適用の規定が今回の改正で設けられました。

具体的には、外国にある事業者に対しても個人情報保護法の一部が適用される場面として、個人情報保護委員会から出ているガイドライン(通則編)では以下のようなケースが挙げられています。

  • 日本に支店や営業所等を有する個人情報取扱事業者が外国にある本店において個人情報等を取り扱う場合
  • 日本において個人情報を取得した個人情報取扱事業者が海外に活動拠点を移転した後に引き続き個人情報等を取り扱う場合
  • 外国のインターネット通信販売事業者が、日本の消費者からその個人情報を取得し、商品を販売・配送する場合
  • 外国のメールサービス提供事業者が、アカウント設定等の為に日本の消費者からその個人情報を取得し、メールサービスを提供する場合

他方、日本国内にある者に対する物品又は役務提供に関連してその者を本人とする個人情報を取得することが国外適用の要件となっていることから、例えば、外国にあるホテルが、日本国内の旅行会社から宿泊者の個人情報の提供を受ける場合のように、個人情報の本人からではなく第三者から個人情報等の提供を受ける場合は、法75条は適用されないとされています。この場合は、日本の旅行会社が、本人から個人情報を取得する際に、前述の「外国にある第三者への提供」の規定に留意して必要な措置を講じることになります。(なお、外国にあるホテルが宿泊者から直接予約を受け付けるために、日本国内にある者から直接個人情報の提供を受けるような場合には、法75条により、当該外国のホテルに個人情報保護法の一部が適用されることになります。)

インターネットを介して一般消費者が外国の事業者と直接やりとりを行う機会が今後ますます増えてくると思いますので、このような国外適用の扱いが明確化されたことは、大きな改正点だと考えます。

執筆者によるコメント

img_up_tt-2

AZX Professionals Group
AZX総合法律事務所
弁護士 高橋 知洋

 

NK

AZX Professionals Group
AZX総合法律事務所
弁護士 中澤 賢

2回に渡って個人情報保護法の改正について解説してきましたが、いかがでしたか?今回の改正で匿名加工やグローバルな個人情報の取扱いが明確になったことから情報を利用したビッグデータの活用が今後より一層促進されることが期待されます。また、これに伴い自社のプライバシーポリシーを改定する必要がないか、個人情報の取扱いを変更する必要がないかなど見直しをして頂き、疑問点がございましたらお気軽にご連絡頂ければ幸いです。


♦ 脚注

[1] 詳細は個人情報保護委員会規則で定められています。

[2] 利用目的の達成に必要な範囲内で個人データの取扱いを委託することに伴って個人データを提供することは、第三者提供に当たらず、本人の同意は不要とされています(法23条5項1号)。

[3] 個人データを共同利用する場合であって、共同利用する者の範囲等一定の事項を本人に通知するか、本人が容易に知り得る状態に置いているときは、当該共同利用者に個人データを提供することが第三者提供に当たらず、本人の同意は不要とされています(法23条5項3号)。

[4] 本ブログ記事投稿時点において、個人情報保護委員会規則に定められている国はありません。

[5] 法15条、16条、18条(2項を除く)、19条から25条まで、27条から36条まで、41条、42条1項、43条及び76条の規定が適用されることになります(法75条)。なお、個人情報の取得行為の重要部分が日本国内において行われることから、法17条(適正取得)及び法18条2項(直接書面等による取得)の規定も適用されるものと解されています。


投稿日:2017/06/13