１．はじめに

 令和２（２０２０）年６月５日、「個人情報の保護に関する法律」（以下「個人情報保護法」）の改正案が国会で可決・成立し、同月１２日に公布されました（令和２年法律第４４号。以下「本改正」）。
 個人情報保護法については、前回の２０１５年改正の際、施行から３年ごとに見直しを行う方針が定められていました。本改正は、そのスケジュールに沿った改正となります。

２．本改正の概要

 本改正の狙いは、①国民の個人情報に対する意識の高まりを踏まえて、個人の権利利益の保護に必要な措置を整備していくこと、②その一方で、ビジネス界の技術革新を踏まえて、ビッグデータを適正に利用できるよう環境を整備していくこと、③これら保護と利活用のバランスをとっていくことで、来るべきＡＩ・ビックデータ時代への対応を進めていく、という点にあります。
 改正内容は多岐にわたりますが、今回は、多くの事業者に関係があると思われる以下のポイントを中心に解説いたします。

３．①不適正な方法による個人情報の利用の禁止

• （１）

   現行法では、個人情報の「取得」や「管理」については様々な規制がかけられているものの、「利用」については、利用目的による制限がある程度で、「利用」それ自体の適正性を具体的に義務付ける規定はありません。
   そういった中、２０１９年に、官報に掲載された破産者の情報をＧｏｏｇｌｅマップ上にまとめて公開するというＷｅｂサイトが立ち上がり、大きな問題となりました。同サイトについては個人情報保護委員会（以下「委員会」）が現行法の規制（利用目的の公表、個人データの第三者提供の同意取得）に違反するとして停止命令を発出しました。ただ、同サイトの問題の本質は、公表や同意取得といったプロセスを怠ったということではなく、プライバシー性の高い破産者情報を、Ｗｅｂサイトを通じて広く不特定多数人にさらすという、その利用の仕方自体にありました。
   こういった事件も踏まえ、本改正では、上記のような事態にも適切に対応できるよう、新たに「利用」の観点から、「違法又は不当な行為を助長し又は誘発するおそれがある方法により個人情報を利用してはならない」との明文規定が追加されました（改正法１６条の２「不適正な利用の禁止」）。

• （２）

   ビジネス上の影響について、現行法下では、個人情報の利用にあたっては利用目的の範囲内か、本人同意を得ているかといった点の検討確認が中心でした。本改正施行後は、これらに加えて、その利用が「不適正」か否かという観点からの検討も必要となります。
   なお、何をもって「不適正」（不当な行為を助長又は誘発するおそれあり）に当たるかについて、本改正では具体的に規定されていません。この点については今後、委員会規則やガイドライン等において具体化されていくものと見込まれます。

４．②「仮名加工情報」の創設

• （１）

   現行法では、個人情報を積極的に利活用していくための概念として「匿名加工情報」があります。これは個人情報について所定の要件を満たして匿名加工化すれば、以後、本人の同意なく第三者提供等が自由に行えるようになるというものです。
   ただ匿名加工情報については、加工の要件等のハードルが低くなかったため、利用があまり進みませんでした。そこで今回、匿名加工情報よりはハードルが低く、個人情報よりは広い利活用ができる概念として、新たに「仮名加工情報」が創設されました。

• （２）

   「仮名加工情報」とは、個人情報に含まれる記述を一部削除する等して、他の情報と照合しない限り特定の個人を識別することができないように加工した情報を指します（改正法２条９項）。
   仮名加工情報については、取得時の利用目的以外の目的でも利用できる（改めての利用目的の公表は必要）、開示・利用停止請求への対応等の義務が緩和される等の利点があります（改正法３５条の２第９項）。
   一方、匿名加工情報とは異なり、仮名加工情報としての第三者提供は原則できません（改正法３５条の３）。

• （３）

   ビジネス上の影響としては、本改正施行後は、例えば過去に取得した個人情報についても「仮名加工情報」化することで、取得時の利用目的にとらわれず、様々な分析等に利用することが可能となります。
   但し、上記のとおり第三者提供は原則できませんので、第三者提供等による利用の場合には、引き続き、匿名加工情報や、統計情報等の非個人情報として提供等を行う必要があります。

５．③「個人関連情報」の創設

• （１）

   本改正では、「個人関連情報」という新しい概念が追加されました。「個人関連情報」とは、「生存する個人に関する情報」であって、「個人情報」「加盟加工情報」「匿名加工情報」のいずれにも該当しないものという、非常に広範な定義となっています（改正法２６条の２第１項）。例えば、位置情報やＣｏｏｋｉｅ情報等がこれに当たります。
   そしてこの個人関連情報について、第三者が当該情報を個人データとして取得することが想定される場合、本人同意を取得しなければならないことになりました（同条）。

• （２）

   これは、いわゆるリクナビ事件を意識した改正と考えられています。
   リクナビ問題では幾つかの問題点が指摘されていますが、その一つに、提供元（リクナビ）と提供先（顧客企業）との間で、非個人情報のやり取りという形式をとることで、実質的には本人同意なく、個人情報の第三者提供を行っていたのではないか、という点が挙げられます。
   具体的には、リクナビは、求職者についてリクナビ側が保有する内定辞退率を顧客企業側の求職者情報と紐づけて提供していたのですが、求職者情報をやり取りすると個人情報の第三者提供に当たるため、顧客企業から求職者の氏名の代わりにＣｏｏｋｉｅ情報等の提供を受け、リクナビ側が保有するＣｏｏｋｉｅ情報と突合する方法により、当該求職者についての内定辞退率を算出し、顧客企業に提供していました。
   提供元であるリクナビ側では、Ｃｏｏｋｉｅ情報のみでは特定の個人を識別できないので、内定辞退率の提供は個人情報の第三者提供には当たらないとして、個人情報の第三者提供で必要となる本人同意を取得していませんでした。しかし一方で、Ｃｏｏｋｉｅ情報と紐づけられた内定辞退率の提供を受けた顧客企業側では、Ｃｏｏｋｉｅ情報が紐づけられた氏名等の求職者情報を保有しているため、内定辞退率が紐づく特定の個人を識別することが可能ですので、いわば新たな個人情報（内定辞退率）を取得したのと同様でした。そのため、個人情報保護法の趣旨を潜脱したものとして大きな批判を受けました。
   こういった事件も踏まえ、本改正では、提供元では特定の個人を識別できない情報であっても、それが特定の個人に関する情報であり、提供先において個人情報（個人データ）として取得する場合には、個人情報に準じた取扱いを定めたものです。

• （３）

   ビジネス上の影響について、例えばサイト閲覧者のＣｏｏｋｉｅ情報を保有するＤＭＰ^ⅰ事業者が、会員情報を保有するサイト運営事業者ＡにＣｏｏｋｉｅ情報を提供するような場合、ＤＭＰ事業者にとっては特定の個人を識別できなくても、当該情報の提供を受けたサイト運営事業者Ａは、手元の会員情報と突合することにより当該Ｃｏｏｋｉｅ情報を会員情報の一部（個人情報）として利用可能となります。
   このような場合、現行法下では、ＤＭＰ事業者からサイト運営事業者ＡへのＣｏｏｋｉｅ情報の提供については個人情報の第三者提供に当たらず、本人同意の取得も不要という考え方が支配的でした。
   しかし本改正施行後は、このようなＣｏｏｋｉｅ情報も「個人関連情報」に該当しますので、その提供については個人情報の第三者提供と同様、ＤＭＰ事業者において本人同意を取得しなければならず、提供を受けるサイト運営事業者Ａの側でも同意取得を確認しなければならなくなりますので、注意が必要です。

６．その他

• （１）

  漏えい等の委員会報告等の義務化

   現行法では、漏えい等が発生した場合、個人情報保護委員会への報告はあくまで努力義務で、法律上の義務とはなっていません。
   本改正では、一定の漏えい等が発生した場合には、委員会への報告が義務付けられることになりました。また、本人が必要な措置をとることができるよう、本人への通知も義務づけられました（改正法２２条の２）。
   対象となる漏えい等の基準等については、今後、委員会規則にて定められる見込みです。

• （２）

  本人からの開示請求の対象・方法等の見直し、利用停止等の要件緩和

   保有個人データの開示の請求方法について、現行法では書面交付が原則とされていましたが、本改正では、本人の利便性向上の観点から、電磁的記録の提供による方法での開示も請求できることとなりました（改正法２８条）。
   また、本人が、自身の個人情報について利用停止等の請求権を行使するにあたりその取得経緯等についても把握することが必要ですので、本改正では、この第三者提供記録も新たに開示対象に加えることとしました（改正法２８条５項）。
   さらに、現行法では保有個人データの利用停止等は、利用目的を超えた利用や不正な取得による場合に限られています。本改正では、保有個人データへの本人関与を強化する観点から、事業者が利用する必要が無くなったり、漏えい等の事態が発生した場合、その他本人の権利又は正当な利益が害される恐れがある場合も、利用停止等を請求することができることとしました（改正法２９条５項）。

• （３）

  越境移転時の情報提供の充実

   現行法では、外国への個人データの移転に際しては、原則として、外国にある第三者への個人データの提供を認める旨の本人同意が必要とされています。ただその際、必ずしもその国名や、その国における個人情報保護に関する制度の情報提供までは求められていません。
   これに対し本改正では、昨今の個人情報の越境移転の増大等を踏まえ、外国への個人データの移転に際して本人同意を得ようとする場合には「本人に参考となるべき情報」を提供することが義務付けられました（改正法２４条２項）。詳細は今後、委員会規則で定められる予定です。

７．最後に

 本改正については、一部の規定を除き、公布の日から２年を超えない範囲内において政令で定める日（～２０２２年６月）に、施行される予定です。また、施行日までには、詳細について委員会規則やガイドライン等において規定される見込みです。
 本改正については、特にビックデータの利活用を中心とした、データ関連ビジネスを展開する事業者においては影響するところが少なくありません。場合によってはデータの取得フローや利用方法等を幅広で見直す必要が生じる可能性もあります。
 本改正への対応や、今後のビッグデータの取り扱い等についての懸案等ございましたら、当事務所までお気軽にご相談ください。

以上