この記事は2023年3月29日に「The Finance」で公開された「改正個人情報保護法2020~2022年4月1日施行後1年間の企業の対応ポイント~【2023年3月更新】」を一部編集し、転載したものです。


令和2年改正個人情報保護法が2022年4月1日に施行されてから約1年が経過した。この間、企業は改正法を踏まえた実務を積み重ねてきている。本稿では、改正法対応において、多くの企業で共通して問題となっているポイントを簡潔にまとめることとする。

作成:2020/6/16
更新:2023/3/29

目次

  1. 利用目的の特定
  2. 外国の法制度調査(外的環境の把握・相当措置・情報提供)
  3. 漏えい等の発生時の対応
  4. Cookie関係の規制
  5. 仮名加工情報の共同利用

利用目的の特定

改正個人情報保護法2020~2022年4月1日施行後1年間の企業の対応ポイント~【2023年3月更新】
(画像=Irene/stock.adobe.com)

令和2年改正法の通則ガイドラインにおいて、利用目的の特定(個人情報保護法(以下「法」)17条1項)について、「本人が、自らの個人情報がどのように取り扱われることとなるか、利用目的から合理的に予測・想定できないような場合は、この趣旨に沿ってできる限り利用目的を特定したことにはならない。」との解釈が示された。具体的には、「本人から得た情報から、本人に関する行動・関心等の情報を分析する場合、個人情報取扱事業者は、どのような取扱いが行われているかを本人が予測・想定できる程度に利用目的を特定しなければならない」と例示された。
例えば、閲覧履歴や購買履歴等の情報を分析することによって本人の趣味・嗜好に応じたターゲティング広告を配信するケースでは、「広告配信のために利用いたします。」では特定として不十分であり、「取得した閲覧履歴や購買履歴等の情報を分析して、趣味・嗜好に応じた新商品・サービスに関する広告のために利用いたします。」としなければならない。ポイントは、情報分析をするようなケースでは、何を分析のインプットとしているのか、情報の項目を特定しなければならないという点にある。
閲覧履歴や購買履歴等を分析してターゲティング広告する施策は多くの企業において実施されているが、プライバシーポリシー等において上記のような利用目的になっていない企業も多く見られるところである。注意が必要である。

外国の法制度調査(外的環境の把握・相当措置・情報提供)

改正法の通則ガイドライン(及び金融分野ガイドライン8条6項)において、「外的環境の把握」が義務となった。これは、「外国において個人データを取り扱う場合に、当該外国の個人情報の保護に関する制度等を把握すること」であり、「外的環境を把握した上で、個人データの安全管理のために必要かつ適切な措置を講じなければならない」という義務がある。
また、外国にある第三者に個人データを提供する際、Data Transfer Agreement(DTA)等を締結するなどして「相当措置」を講ずることにより、外国移転の規制をクリアし、国内にある第三者と同様に提供することが可能となるが(法27条1項)、この場合、以下の2点を年に1回確認しなければならないことになった(施行規則18条1項)。
 1. 移転先の第三者による相当措置の実施状況
 2. 移転先の第三者の所在する外国における相当措置の実施に影響を及ぼすおそれのある制度の有無
また、本人の同意に基づいて外国にある第三者に個人データを提供する場合、「当該外国における個人情報の保護に関する制度」を事前に本人に情報提供する義務がある(施行規則17条2項)。

以上のとおり、外国に個人データを保管したり、外国に個人データを提供したりする場合などに、(1)外国の法制度の調査を行い、(2)それに基づいた安全管理措置やDTAを実施・締結する必要がある。
まず、(1)については個人情報保護委員会が40か国の法制度の報告書を公開しているから、これを確認すれば足りる。それ以外の国についても、筆者が所属する法律事務所をはじめいくつかの組織が法制度の情報を公開しているから、これを確認するのが早い。
その上で、(2)については、政府による個人情報へのアクセス(Government Access(GA))及びデータの国内保存義務(Data Localization)がある国については、それを踏まえた個人情報の取扱いが必要となる。例えば、データを暗号化又は仮名化して提供する、GAがあった際の対応をマニュアル化しておくなどの対応が考えられる。
施行から1年が経過した2023年4月以降、毎年1回の確認が必要となるから、単にDTAを締結するだけで放置することがないよう、注意が必要である。

漏えい等の発生時の対応

(1)要配慮個人情報の漏えい等、(2)経済的な損失を伴うこととなるおそれのあるようなデータの漏えい等、(3)不正の目的をもって行われたおそれがある漏えい等、又は(4)1,000人分を超える漏えい等のいずれかが発生した場合又はその恐れがある場合には、個人情報保護委員会(又は金融庁)への報告及び本人への通知が義務となった(法26条)。
まず、金融庁への報告について、金融分野ガイドライン11条が改正され、上記(1)~(4)の場合には個人情報保護法に基づく報告が求められるほかは、「個人顧客に関する個人データ」が漏えい等した場合にのみ、各業法に基づく報告が義務づけられるとされた。これは、改正前と比較して、義務の対象が合理化されたといえる。例えば、改正前は、非顧客の個人データについても報告義務の対象とされていたから(旧金融分野実務指針2-6-1)、他の金融機関の担当者のメールアドレスを誤ってメールのCCに入れてしまったが本文や添付ファイル等に顧客情報が含まれていないようなケースでも、報告義務があった。ところが、改正後は、このような場合には、上記(1)~(4)に該当しない限り、報告は努力義務であるとされることになったのである。
他方、上記(1)~(4)に該当する場合、本人への通知が個人情報保護法における義務となったことには注意が必要である。過去の顧客や退職済みの従業員など最新の情報に更新されていないものも含め、漏えい等の対象となった本人全員に、個別の通知が必要とされているからである。通知すべき本人の数が多いといった理由では通知義務は免れないし、逆に、1人でも通知ができない本人がいれば、通知に代わるべき措置として公表が必要となる。実務上、本人への通知に膨大な工数がかかっているから、情報管理の重要性を社内に徹底したい。
なお、「高度な暗号化その他の個人の権利利益を保護するために必要な措置を講じたもの」は報告・通知の義務の対象外である(施行規則7条)。具体的には、以下の(a)及び(b)の要件を満たしているケースである(個人情報保護委員会Q&A「Q6-16」)。
 (a) 電子政府推奨暗号リストやISO/IEC 18033等に掲載されている暗号技術が用いられ、それが適切に実装されていること
 (b)(i)暗号化した情報と復号鍵を分離するとともに復号鍵自体の漏えいを防止する適切な措置を講じていること、(ii)遠隔操作により暗号化された情報若しくは復号鍵を削除する機能を備えていること、又は(iii)第三者が復号鍵を行使できないように設計されていること
システムの非機能要件を定義する際にこのような要件を盛り込んでおくことが、万が一の際の対応をスムーズにすることになる。

Cookie関係の規制

個人関連情報を第三者から受領して個人データと紐付けして利用する際には、本人からの同意が必要となった。また、この場合、個人関連情報を提供する側は、受領者側が本人から同意を取得しているかを確認する義務がある(法31条)。
また、令和2年改正法の施行と直接関係はないが、個人情報保護委員会のQ&Aにおいて、「複数の委託を受ける委託先は、各委託元から委託に伴って提供を受けた個人データを本人ごとに突合することはできません。」(Q&A「Q7-43」)、「委託に伴って委託元から提供された個人データを、独自に取得した個人データ又は個人関連情報と本人ごとに突合することはできません。」(Q&A「Q7-41」)ということが明確に記載された。
これにより、企業が、ある識別子(メールアドレスのハッシュ値のような場合には個人データであり、それ以外の場合には個人関連情報であると想定される。)をSNSなどの媒体社に提供し、媒体社側が保有する情報とマッチした場合に広告を出すようなサービスを利用する際には、自社において同意を取得したり、媒体社側で同意を取得していることを確認したりすることが必要となった。この点についても、対応が遅れている企業が多く見受けられるから注意したい。

仮名加工情報の共同利用

上記「Cookie関係の規制」で述べたとおり、個人データの取扱いを「委託」する場合、委託先は、各委託元から提供を受けた個人データを本人ごとに突合することはできない。また、既に取得済みの個人データを「共同利用」する際には、「本人が通常予期し得ると客観的に求められる範囲内」でなければならないとの制限がある(通則ガイドライン3-6-3(3))。

既に特定の事業者が取得している個人データを他の事業者と共同して利用する場合には、当該共同利用は、社会通念上、共同して利用する者の範囲や利用目的等が当該個人データの本人が通常予期し得ると客観的に認められる範囲内である必要がある。その上で、当該個人データの内容や性質等に応じて共同利用の是非を判断し、既に取得している事業者が法第17条第1項の規定により特定した利用目的の範囲で共同して利用しなければならない。

ところが、仮名加工情報の共同利用においては、以下の通りそのような制限はない(仮名加工情報・匿名加工情報ガイドライン2-2-3-3(3))。

仮名加工情報である個人データの共同利用における利用する者の範囲や利用目的等は、作成の元となった個人情報の取得の時点において通知又は公表されていた利用目的の内容や取得の経緯等にかかわらず、設定可能である。

したがって、仮名加工情報に加工した上で、共同利用を行えば、複数の企業から集めたデータについて、顧客IDなどを用いて突合した上で利用することができる。
ただし、識別行為が禁止されているため(法41条7項)、データを統計的に分析するようなケース以外では利用することが難しいという限界がある。個人データ、仮名加工情報、匿名加工情報それぞれにおいて、できることとできないことがあるから、目的によって適切な制度を選択することが重要である。

▼著者登壇のセミナー
【長期配信】<人気講座>個人情報保護法とCookie規制・Web広告の実務
~海外の法制度も踏まえた実務対応~

配信期間:お申し込み後 ~ 2023-08-09 (水)13:00(オンライン配信)


[寄稿]影島 広泰 氏
牛島総合法律事務所
パートナー 弁護士

企業グループのグローバルなデータ・ガバナンス体制の構築等の案件に従事。「法律家・法務担当者のためのIT技術用語辞典」(商事法務)ほか著書・論文多数。
The Legal 500 Asia Pacific 2022のTMT(Technology, Media & Telecommunications)部門Leading individuals、日本経済新聞社「企業が選ぶ弁護士ランキング2019年」データ関連部門で第1位