1. HOME
  2. 金融法務
  3. 改正個人情報保護法2020 ~「利用」と「提供」の規制強化

改正個人情報保護法2020 ~「利用」と「提供」の規制強化

個人情報保護法の改正法案が2020年3月10日に閣議決定され、通常国会に提出された。2020年の夏前に成立し、2022年春頃までに施行されると報道されている。今回の改正は多岐にわたるが(図表1)、データガバナンスという観点から、個人情報などの「利用」と「提供」についての規制強化について解説する(図表1の2②および③、ならびに4②)。

改正個人情報保護法2020 ~「利用」と「提供」の規制強化
  1. 個人データの利用に「根拠」が求められる
  2. 「個人関連情報」とCookieの取り扱い

個人データの利用に「根拠」が求められる

2019年3月頃、官報に掲載された破産者の情報をGoogleマップ上にまとめた「破産者マップ」というサイトが立ち上がり、人権侵害であるとの批判が相次いだ。結局、同サイトは閉鎖されたが、この事件を踏まえ、今回の改正法では、「違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない」という新しい条文が設けられることになった(改正法案16条の2)。

これまで、日本の個人情報保護法の実務においては、利用が適正かどうかをあまり意識してこなかったように思われる。すなわち、企業が新たに個人情報の利用をしようとする際、法務やコンプライアンス部門としては、プライバシーポリシーを見て、その利用が利用目的に含まれているといえるかを評価するという作業を行っていた。しかし、今後は、その利用が「不適正」ではないといえるかという、利用の方法そのものについての検討が必要になる。

これは、世界的な潮流でもある。EU(欧州連合)のGDPR(一般データ保護規則)など、多くの国の個人情報保護法制では、個人データの取り扱い(利用)に「根拠」が必要であるとされている。

例えば、GDPRでは、同意、本人を当事者とする契約履行のため、法的義務を遵守するため、事業者又は第三者の正当な利益などが根拠となる。つまり、利用目的を特定して通知などしていればどのように利用しても良い(※)という日本法とは異なり、根拠もなく個人情報を利用することは違法であるとされているのである(図表2)。

ただし、法3条の「基本理念」においては、「個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきものであることにかんがみ、その適正な取扱いが図られなければならない。」とされている

改正法における「不適正」とは何かは、今後、ガイドラインなどで例示されるものと思われるが、例えば、本人の同意がある場合や契約履行のために必要な場合などは適正な利用に当たるであろう。その意味で、GDPRなどの考え方に近づいているといえる。

次に、2019年12月13日に公表された改正大綱において、「保有個人データに関する公表事項の充実」として、「個人情報の取扱体制や講じている措置の内容、保有個人データの処理の方法等の本人に説明すべき事項を、法に基づく公表事項(政令事項)として追加することとする」とされた。この改正は政令事項であるから、今回の改正法案には含まれていないが、実務に大きな影響があると考えられる。

「保有個人データの処理の方法」を開示するということは、例えば、プライバシーポリシーで、「当社は、お客様の当社ウェブサイトの閲覧履歴、購買履歴を蓄積して分析し、当社および当社の提携先の○○商品・サービスのご案内のために利用します」などと記載することを意味すると考えられる。これを行うためには、社内での個人情報の取り扱いを棚卸しし、個人情報の種類ごとに、どのような処理をしてどのような目的で利用しているのかを検討し、プライバシーポリシーの利用目的を「処理の方法」ごとに分類して記載し直さなければならないと思われるからである。政令の規定およびガイドラインでの例示がどのようになるのか、注目しておく必要がある。

「個人関連情報」とCookieの取り扱い

改正法案では、「個人関連情報」という新しい概念が生まれている。個人関連情報とは、「生存する個人に関する情報であって、個人情報、仮名加工情報および匿名加工情報のいずれにも該当しないもの」をいう(改正法案26条の2第1項)。典型的には、パブリックDMP(データマネジメントプラットフォーム)のベンダが保有している属性情報がこれに当たる。

例えば、サイトA、サイトBおよびサイトCが、それぞれあるパブリックDMPベンダに対しCookieなどで閲覧履歴を送信する設定をしているとする。すると、DMPベンダにおいては、あるユーザが、サイトA、サイトBおよびサイトCを閲覧したことを把握することができる。このような閲覧履歴を積み上げていくことで、当該ユーザの属性が浮かび上がってくる。

この属性情報は、DMPベンダにとっては個人情報ではないが、これをサイト運営企業が受領すれば、自社の会員情報と突合して利用することができる(図表3)。このように、提供元においては個人データではないが、提供先においては個人情報になるケースが出てきている。このような場合、現行法では、提供元が個人データを第三者提供するわけではないから、法23条1項による同意は不要であるという考えが支配的であった。

しかし、今回の改正では、このような情報は「個人関連情報」にあたることになり、提供先の第三者が、個人関連情報の提供を受けて本人が識別される個人データとして取得することを認める旨の本人の同意が得られていること(※)が求められることになる。つまり、提供先の企業において本人からの同意を得る義務があるとともに、提供元においても、提供先の企業が同意を得ているかを確認する義務があることになる。

外国にある第三者に提供する際には、当該外国の個人情報保護法制などの情報提供が行われていること

この改正は、Cookieなどを利用したデータのやりとりに大きな影響があると考えられる。他社との間で個人に関連するデータをやりとりしているケースを棚卸しし、データの内容と社内での利用態様を調査し、場合によっては同意を取得するなどの対応が求められることになるであろう。

金融法務カテゴリのオススメの記事
【金融事例から読み解く】内部通報制度活用と不祥事早期発見及び予防策

リーマンショック・LIBOR不正操作事件などを契機として、内外金融規制当局等は不祥事予防に向けた様々な提言を行い、これに対応して金融機関も多くの施策を実施してきた。しかしながら依然不祥事は繰り返されている。こうした状況下、「上場会社における不祥事予防のプリンシプル」などが公表された。この一方、不祥事早期発見の最有力な端緒である内部通報制度については、民間事業者向けガイドライン改正、認証制度創設、公益通報者保護法改正など、その実効性向上に向けた動きが顕著である。そこで、本稿では、金融機関等における不祥事の具体的事例を踏まえつつ、内部通報制度を活用した不祥事・不適切行為の早期発見とその予防策のポイントについて解説する。

金融サービス仲介業への参入の検討ポイントの整理

1つの登録で、銀行・貸金・証券・保険すべての分野のサービスが仲介可能となる新しい「金融サービス仲介業」(「新仲介業」)。2021年2月22日には、政令・内閣府令・監督指針等の案が公表され、参入に向けた具体的な検討も可能な状況になってきた。そこで、本稿では、主に既存の仲介業(銀行代理業、保険募集人・保険仲立人、金融商品仲介業、貸金業)との差異に焦点を当てつつ、新仲介業を検討する際の留意点について簡潔に整理したい。

令和3年4月施行電気通信事業法の改正と国外事業者に対する法執行の実効性の強化

令和3年4月1日に「電気通信事業法及び日本電信電話株式会社等に関する法律の一部を改正する法律」が施行された。本稿では特に、改正法による国外事業者が電気通信事業を営む場合の規定の整備等について取り上げ、そして、かかる改正と総務省の解釈変更による電気通信事業法の適用対象の拡大を通じた、国外事業者に対する法執行の実効性の強化について解説する。

ニューノーマル時代における保険会社・代理店の法的留意点

新型コロナウイルス感染症の影響拡大は、従来の保険募集の実務に大きな変化をもたらした。基本的には対面で行われてきた保険募集の一部がweb会議システムなどを用いてオンラインで行われることが広がり、また近時では、新型コロナウイルス感染症の影響による損害を補てんする保険商品も販売されている。また、近年、保険業界に関連する法令等の改正が相次いでおり、保険業界のビジネスへの影響が注目されている。本稿では、まず、web会議システムを用いた保険募集について簡単に解説したのち、近時の法令等の改正について触れることとしたい(本稿は2021年4月15日現在の情報に基づくものである。)。

【 寄稿 】
牛島総合法律事務所
パートナー弁護士

影島 広泰 氏