1. HOME
  2. 金融法務
  3. 改正個人情報保護法2020 ~「利用」と「提供」の規制強化

改正個人情報保護法2020 ~「利用」と「提供」の規制強化

個人情報保護法の改正法案が2020年3月10日に閣議決定され、通常国会に提出された。2020年の夏前に成立し、2022年春頃までに施行されると報道されている。今回の改正は多岐にわたるが(図表1)、データガバナンスという観点から、個人情報などの「利用」と「提供」についての規制強化について解説する(図表1の2②および③、ならびに4②)。

改正個人情報保護法2020 ~「利用」と「提供」の規制強化
  1. 個人データの利用に「根拠」が求められる
  2. 「個人関連情報」とCookieの取り扱い

個人データの利用に「根拠」が求められる

2019年3月頃、官報に掲載された破産者の情報をGoogleマップ上にまとめた「破産者マップ」というサイトが立ち上がり、人権侵害であるとの批判が相次いだ。結局、同サイトは閉鎖されたが、この事件を踏まえ、今回の改正法では、「違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない」という新しい条文が設けられることになった(改正法案16条の2)。

これまで、日本の個人情報保護法の実務においては、利用が適正かどうかをあまり意識してこなかったように思われる。すなわち、企業が新たに個人情報の利用をしようとする際、法務やコンプライアンス部門としては、プライバシーポリシーを見て、その利用が利用目的に含まれているといえるかを評価するという作業を行っていた。しかし、今後は、その利用が「不適正」ではないといえるかという、利用の方法そのものについての検討が必要になる。

これは、世界的な潮流でもある。EU(欧州連合)のGDPR(一般データ保護規則)など、多くの国の個人情報保護法制では、個人データの取り扱い(利用)に「根拠」が必要であるとされている。

例えば、GDPRでは、同意、本人を当事者とする契約履行のため、法的義務を遵守するため、事業者又は第三者の正当な利益などが根拠となる。つまり、利用目的を特定して通知などしていればどのように利用しても良い(※)という日本法とは異なり、根拠もなく個人情報を利用することは違法であるとされているのである(図表2)。

ただし、法3条の「基本理念」においては、「個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきものであることにかんがみ、その適正な取扱いが図られなければならない。」とされている

改正法における「不適正」とは何かは、今後、ガイドラインなどで例示されるものと思われるが、例えば、本人の同意がある場合や契約履行のために必要な場合などは適正な利用に当たるであろう。その意味で、GDPRなどの考え方に近づいているといえる。

次に、2019年12月13日に公表された改正大綱において、「保有個人データに関する公表事項の充実」として、「個人情報の取扱体制や講じている措置の内容、保有個人データの処理の方法等の本人に説明すべき事項を、法に基づく公表事項(政令事項)として追加することとする」とされた。この改正は政令事項であるから、今回の改正法案には含まれていないが、実務に大きな影響があると考えられる。

「保有個人データの処理の方法」を開示するということは、例えば、プライバシーポリシーで、「当社は、お客様の当社ウェブサイトの閲覧履歴、購買履歴を蓄積して分析し、当社および当社の提携先の○○商品・サービスのご案内のために利用します」などと記載することを意味すると考えられる。これを行うためには、社内での個人情報の取り扱いを棚卸しし、個人情報の種類ごとに、どのような処理をしてどのような目的で利用しているのかを検討し、プライバシーポリシーの利用目的を「処理の方法」ごとに分類して記載し直さなければならないと思われるからである。政令の規定およびガイドラインでの例示がどのようになるのか、注目しておく必要がある。

「個人関連情報」とCookieの取り扱い

改正法案では、「個人関連情報」という新しい概念が生まれている。個人関連情報とは、「生存する個人に関する情報であって、個人情報、仮名加工情報および匿名加工情報のいずれにも該当しないもの」をいう(改正法案26条の2第1項)。典型的には、パブリックDMP(データマネジメントプラットフォーム)のベンダが保有している属性情報がこれに当たる。

例えば、サイトA、サイトBおよびサイトCが、それぞれあるパブリックDMPベンダに対しCookieなどで閲覧履歴を送信する設定をしているとする。すると、DMPベンダにおいては、あるユーザが、サイトA、サイトBおよびサイトCを閲覧したことを把握することができる。このような閲覧履歴を積み上げていくことで、当該ユーザの属性が浮かび上がってくる。

この属性情報は、DMPベンダにとっては個人情報ではないが、これをサイト運営企業が受領すれば、自社の会員情報と突合して利用することができる(図表3)。このように、提供元においては個人データではないが、提供先においては個人情報になるケースが出てきている。このような場合、現行法では、提供元が個人データを第三者提供するわけではないから、法23条1項による同意は不要であるという考えが支配的であった。

しかし、今回の改正では、このような情報は「個人関連情報」にあたることになり、提供先の第三者が、個人関連情報の提供を受けて本人が識別される個人データとして取得することを認める旨の本人の同意が得られていること(※)が求められることになる。つまり、提供先の企業において本人からの同意を得る義務があるとともに、提供元においても、提供先の企業が同意を得ているかを確認する義務があることになる。

外国にある第三者に提供する際には、当該外国の個人情報保護法制などの情報提供が行われていること

この改正は、Cookieなどを利用したデータのやりとりに大きな影響があると考えられる。他社との間で個人に関連するデータをやりとりしているケースを棚卸しし、データの内容と社内での利用態様を調査し、場合によっては同意を取得するなどの対応が求められることになるであろう。

金融法務カテゴリのオススメの記事
今注目されるデータセンターに対する不動産投資の法的留意点

クラウドサービスの普及やデータ通信量の増大に呼応して、データセンターの需要が一層高まっている。データセンターはいまや重要な社会インフラ設備の一つとなっている一方で需要に応じた供給の確保がなされていないといわれる状況でもあり、今後一層のデータセンターの建設、投資が期待されているところである。本稿では、データセンターの基本的な内容をご紹介した上で、法的な観点から、データセンターに対する不動産投資の留意点等を概説する。

AI法務の問題点と金融実務における注意点

近年多様な業界で活用が進むAI(人工知能)。しかしながら急速なAI技術の進展に伴って、実際に業務でAIを活用する際には、法的に検討が必要なケースも生じるようになってきた。今後も活用の広がりが期待されるAIに関して、全産業に関連する法的課題と、投資・融資業務に焦点を当てたAI法務の問題を整理する。

実質的な「ルールベース」による証券モニタリング

2020年6月26日に公表された、「今後の証券モニタリングの基本的な考え方」について森・濱田松本法律事務所の宮田氏がポイントを解説する。

ESGファイナンスとは 具体的留意点を弁護士が解説

近時注目を浴びているESGファイナンスについて、融資形態のものを中心に、具体的な案件に取り組む上での実務上の注意点を、弁護士が解説する

【 寄稿 】
牛島総合法律事務所
パートナー弁護士

影島 広泰 氏

The Finance をフォローする