2021年5月19日、個人情報保護委員会より2022年4月1日に施行される改正個人情報保護法のガイドライン案が発表されました。既に公表されている法案と合わせて、施行に向けた対応のための情報がほぼ出揃った状況です。森・濱田松本法律事務所の田中浩之弁護士がこのガイドライン案を速報的に解説しました。
※本記事はトレジャーデータ株式会社が主催した「PLAZMA After 3rd Party Cookie〜Cookie規制後のデータ活用とマーケティング 〜」(2021年5月開催)のライブセッション「緊急解説!令和2年改正個人情報保護法ガイドライン(案)のポイント」をもとに編集しました。情報は、収録日である2021年5月26日時点でのものです。
はじめに今回の改正の全体像からお話をして、次に具体的な話をしたいと思います。
まず改正の全体像です。法律自体はもう成立しており、既に前倒しで施行されている又は今後前倒しで施行される一部の条文以外は2022年4月1日の施行となっています。
2021年3月には政令・規則という法律の下位の規範が既に公布されています。そして待望のガイドライン案が5月19日に公表され、現在パブリックコメントを募集中です。この後、Q&Aも個人情報委員会から公表される見込みとなっています。
2021年5月12日に個人情報保護制度の一元化に関する2021年(令和3)年個人情報保護法改正も成立しています。本日はこの解説は割愛しますが、このうち、国関係の改正については、公布から1年以内に施行となっており、2022年4月1日に2020(令和2)年改正と同時施行になる可能性があります。この2021年(令和3)年個人情報保護法改正は、条文の追加により条項ずれが発生しますので、本日の資料では、2021年(令和3)年個人情報保護法改正後の条文番号も括弧書きで示しています。
2020(令和2)年改正の全体像を下表にまとめました。このライブセッションで全て解説するのは難しいので、本日は「情報の通知・公表等」と「同意」に関する項目にフォーカスし、表内で赤文字にしてある部分をお話しします。
個人情報を利用する際は目的を特定し、基本的にはその目的を通知又は公表しなければいけません。あるいは書面によって直接本人から個人情報を取得する場合、たとえば申込書などを書いてもらうケースでは、目的を明示しなければいけません。
いずれにせよ、目的を特定してその通知、公表または明示をして、本人に目的がわかるようにする、という規制になっているわけです。
改正前の現行ガイドラインには、この通知、公表または明示は抽象的、一般的な内容ではいけない、「最終的にどんな事業にどんな目的で使うのかが、本人に一般的かつ合理的に想定できる程度に具体的に特定することが望ましい」と書いてあります。
ここからが改正ガイドライン案の内容となります。改正ガイドライン案では今まで踏み込んでいなかった部分が新しく書かれました。条文自体は改正になっていないものの、ガイドラインが変わったという部分になります。
簡単に言うと、利用目的は「使われる本人が『こういう使われ方をするんだな』とわかるように書きましょう」ということです。どのように扱われるかが目的から合理的に予測・想定できないようでは駄目だということですね。
例えば本人から得た情報から行動関心等の情報を分析する場合、どのような取扱いが行われているかを本人が予測・想定できる程度に利用目的を特定しなければならないとされています。ガイドラインで挙げられているOK例は以下のとおりです。
このように、利用目的の記載が今のままでよいか見直す必要が出てくるでしょう。
続いてこれもよくいただくご質問で、改正法対応でプライバシーポリシーにどんな見直しが必要になるのかというところです。
改正によるプライバシー関連の追加事項を一覧にまとめました。利用目的の記載の見直しについては、前項でご説明した通りです。
保有個人データに関する公表等事項は今の法律でも既にあり、改正法では下図で赤文字になっている項目が追加されました。
上記のうち「保有個人データの安全管理のために講じた措置」については、個人データの安全管理措置を講じる義務は従前から存在しているのですが、その安全管理措置の公表等が求められるようになりました。ガイドラインでは、具体例が挙げられていますが、詳しくは下記スライドをご覧ください。特に、外的環境の把握に関する項目は、保有個人データを取り扱っている外的環境の国名の公表等が必要で、当該国の制度についての公表等が望ましいとしていますので、注意が必要です。
ただし保有個人データの安全管理に支障を及ぼすおそれがあるものについては、具体的なセキュリティ対策の内容等の詳細な説明は必要ありません。たとえば機器の廃棄方法や盗難・不正アクセスの防止措置等について詳細に説明することでセキュリティリスクが生じる場合がこれに該当します。抽象的な説明すらしなくていいというわけではないのでご注意ください。
共同利用はいわゆる個人データの第三者提供の例外で、同意を取らずに第三者提供ができる場面の一つです。共同利用の際には一定の事項を通知または本人に容易に知り得る状態に置かなければならないとされています。
ガイドライン改正によりこの「一定の事項」に「管理責任者の住所と法人代表者名」が追加になりました。
仮名加工情報という制度が新たに導入されています。仮名加工情報を使う場合には一定事項を公表する必要があるので、プライバシーポリシーへの追加を検討しなければなりません。
個人関連情報の規制を受ける場合、同意を取得する必要があります。同意取得にあたっての情報提供をプライバシーポリシー内で行う場合、記載を追加する必要があります。
これについては後ほど詳しくご説明します。
外国の第三者に個人データを提供する際に同意を法的根拠とする場合も、その旨の情報提供が求められています。この情報提供をプライバシーポリシー内で行う場合は、記載を追加する必要があります。
これも後ほど詳しくご説明します。
「個人関連情報」とは、生存する個人に関する情報であって個人情報、仮名加工情報、匿名加工情報のいずれにも該当しないものです。データベースを構成するものに限り、散在情報は含まれません。
改正法では新しく個人関連情報について下記の条文が入っています。
非常に複雑ですが、要するに個人関連情報に当たるものを第三者に提供し、それを第三者が個人データとして受け取ることが想定される場合、提供者は確認をしなくてはいけない。何の確認かというと、一つは個人関連情報の提供先が「個人データとして取得する」ということを本人から同意を得ているか。もう一つは外国の第三者へ提供する場合、これに関する情報提供がなされているか、です。
個人関連情報についての基礎知識を下記にまとめました。個人関連情報に該当する事例や個人関連情報についての典型例はこちらをご覧ください。
条文に「第三者が個人データとして個人関連情報を取得することが想定されるときは」確認義務を負うとあるので、提供先が個人データとして取得することを想定していなければ規制を受けることはありません。
この「想定される」には、現に認識している場合と一般人基準で考えたら通常想定できると思われる場合の二つがあります。それぞれの例について以下のスライドにまとめました。
また、「個人データとして取得する」というのはどういう意味かというと、「提供先の第三者において、個人データに個人関連情報を付加する等、個人データとして利用しようとする場合をいう」とされています。たとえば、ID等を介して他の個人データに個人関連情報を付加する場合は「個人データとして取得する場合」に当たります。他方、提供先の第三者が、提供を受けた個人関連情報を直接個人データに紐付けて利用しない場合は、別途、提供先の第三者が保有する個人データとの容易照合性が排除しきれないとしても、ここでいう「個人データとして取得する」場合には直ちに当たらないとされています。
提供元と提供先の間での契約等において個人データとして利用しない旨が定められている場合は、通常「個人データとして取得する」ことは想定されません。したがって、規制を受けないようにするために、実務上はこのような契約を結ぶべきということになります。
第三者提供のたびに毎回同意を取得するのは非常に大変です。ガイドライン案では「本人が予測できる範囲において、包括的に同意を取得することも可能である」とされています。
ガイドライン案では、「同等の本人の権利利益の保護が図られることを前提に、同意取得を提供元の個人関連情報取扱事業者が代行することも認められる」としています。この場合の同意の取得のためのポイントは後でお話しします。
なお、同意取得を提供元が代行する場合にも、提供先は免責されるわけではなく、代行する提供元に適切な同意取得をさせる必要があるとされています。
条文上は「第三者から申告を受ける方法その他適切な方法(規則18条の2第1項)」によって確認するとされています。ではどの程度注意して確認すればいいのかというと、ガイドライン案では「一般的な注意力をもって確認すれば足りる」となっています。
具体的には「同意を得ています」という誓約書面等を受け入れるのが一般的かと思います。
本人の同意を取るには、①「誰が」②「どんな項目を」③「どんな目的で使うために」取得するのかの3つについて、本人が認識できるようにする必要があります。
改正法の施行前に取った同意であっても要件を満たせばいいので、2022年4月1日以降に同意を取る必要はありません。
条文の原則通り提供先が同意取得をする場合、①誰が取得するかは取得する主体ですからわかりますよね。②どんな個人関連情報を取得するか、項目を特定できるように示した上で同意を得なければいけません。③目的については元々通知・公表が求められていますが、同意を取得する際に目的を示すことが望ましいと言われています。
提供元が同意取得を代行する際は、提供先が取得する場合と違って①誰に提供されるかわからないのが問題になります。なので、提供先の第三者を個別に明示しなくてはなりません。提供先を示さずに包括的に同意をとることはできないことになるますので注意が必要です。この場合も、提供元は、②対象となる個人関連情報を特定できるように示さなければなりません。③提供先の第三者が個人関連情報を個人データとして取得した後の利用目的については、提供先の第三者において通知又は公表を行わなければならないとされています。
同意の取得にはさまざまな方法がありますが、単にウェブサイト上に記載しておくだけでは足りません。上記の3つのポイントを示した上でサイト上のボタンのクリックを求める等の方法が必要とされています。また、図を用いる等のわかりやすく示す工夫が重要とも言われています。
昨年11月の委員会資料に挙げられた明示の同意の取得例を次に掲載しますので参考にしてください。
まず、外国の第三者提供規制とは何かという基礎をご説明します。個人データを外国の第三者に提供するにあたっては、次の①から③までのいずれかに該当する場合を除き、本人同意を得なければいけないというのが原則です。
外国にある第三者へ個人データを提供する場合、改正法による規制強化のポイントは2つあります。
一つは同意を根拠とする場合の規制強化です。今日は時間の関係でこちらの話だけさせていただきます。これまでは外国にある第三者への提供を認める旨の本人の同意を取得する際には、事業の性質及び個人データの取扱状況に応じ、当該本人が当該同意に係る判断を行うために必要と考えられる適切かつ合理的な方法によらなければならないということしか言われていなかったのですが、同意の前提としての情報提供すべき項目が明確化されました。この規制強化は、改正法の施行日以降に本人の同意を得る場合に適用されます。
もう一つは、同意ではなく、たとえば、移転先と契約していたりグループ会社で共通の内部規定があったりする場合等で相当措置の体制整備をしたことを根拠とする場合の規制強化です。
今日は詳しくお話できませんが、実務上は、同意を得ることなく、こちらを使うケースが多いとはいえるでしょう。規制強化により、「移転先事業者による相当措置の継続的な実施を確保するために必要な措置をを講じる」ことと「本人の求めに応じて、当該必要な措置に関する情報を本人に提供すること」が求められていますが、詳細は本日は割愛します。
同意を取得する際に情報提供するべき項目は以下の3つです。
順にガイドライン案での考え方をご説明します。
必ずしも正式名称でなくてはいけないわけではありませんが、合理的に認識できると考えられる名称でなくてはなりません。基本的には州の名前までは求めないとされていますが、例えば、米国カリフォルニア州のようなものがこれにあたると思いますが、州法が非常に主要な法律になっている法域では州単位の情報提供を行うことが望ましいとされてます。
また、「外国」というのはサーバーの場所ではなく、提供先の第三者が存在する外国です。
これは「一般的な注意力をもって適切かつ合理的な方法により確認したものでなければならない」とされています。ではどのように確認するのかというと、提供先に対して照会する、つまり相手に「そちらの国の制度はどうなっているの」と聞いてその聞いた結果を情報提供するということが一つの方法だとされています。あるいは我が国又は外国の行政機関等が公表している情報を確認する方法も方法として挙げられています。
日本の法律と外国の制度の差を本質的な差がわかるようにしなければいけないということで、踏まえるべき4つの観点も記載されています。
(ウ)については、個人情報保護法も準拠している、OECD(経済協力開発機構)プライバシーガイドライン8原則を遵守できていない点があれば、本質的な個人情報保護法との差異になるので、その点の情報提供をすべきとされています。
(エ)については、いわゆるガバメントアクセスと呼ばれる政府の広範な情報収集が可能となる制度、あるいは消去等の請求に対応できない恐れがある個人情報の国内保存義務に係る制度が事例として挙がっています。
前項でも言及があったOECDプライバシーガイドライン8原則に対応する措置を講じてない場合には、それがわかるようにせよとされています。対応する措置を全て講じている場合はそう書けば足ります。
移転先の外国の名称を特定できない場合は、その理由と、もし、参考情報がある場合にはそれを出してくださいとなっています。参考情報とは何かと言うと、ケースバイケースですが、例えば大体わかっている場合には「この範囲です」と書きましょうというようなことです。
第三者が講じる措置について情報提供できない場合は、その旨とその理由について情報提供しなければいけません。
これらにあたる具体例としては、例えば製薬会社が研究開発中の段階ではどこの国の当局に承認申請を出すかわからない、日本の保険会社が再保険をかける際に保険引受の段階ではどの国の再保険会社を使うか決まっていない、等のケースが考えられます。
セッション内容を受けて、トレジャーデータの山森が、田中 浩之弁護士に質問しました。
田中浩之弁護士にご質問・ご相談がある方は、森・濱田松本法律事務所のお問い合わせフォームを使ってお問い合わせください。