1. HOME
  2. 金融法務
  3. 改正個人情報保護法2020 ~「利用」と「提供」の規制強化

改正個人情報保護法2020 ~「利用」と「提供」の規制強化

個人情報保護法の改正法案が2020年3月10日に閣議決定され、通常国会に提出された。2020年の夏前に成立し、2022年春頃までに施行されると報道されている。今回の改正は多岐にわたるが(図表1)、データガバナンスという観点から、個人情報などの「利用」と「提供」についての規制強化について解説する(図表1の2②および③、ならびに4②)。

改正個人情報保護法2020 ~「利用」と「提供」の規制強化
  1. 個人データの利用に「根拠」が求められる
  2. 「個人関連情報」とCookieの取り扱い

個人データの利用に「根拠」が求められる

2019年3月頃、官報に掲載された破産者の情報をGoogleマップ上にまとめた「破産者マップ」というサイトが立ち上がり、人権侵害であるとの批判が相次いだ。結局、同サイトは閉鎖されたが、この事件を踏まえ、今回の改正法では、「違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない」という新しい条文が設けられることになった(改正法案16条の2)。

これまで、日本の個人情報保護法の実務においては、利用が適正かどうかをあまり意識してこなかったように思われる。すなわち、企業が新たに個人情報の利用をしようとする際、法務やコンプライアンス部門としては、プライバシーポリシーを見て、その利用が利用目的に含まれているといえるかを評価するという作業を行っていた。しかし、今後は、その利用が「不適正」ではないといえるかという、利用の方法そのものについての検討が必要になる。

これは、世界的な潮流でもある。EU(欧州連合)のGDPR(一般データ保護規則)など、多くの国の個人情報保護法制では、個人データの取り扱い(利用)に「根拠」が必要であるとされている。

例えば、GDPRでは、同意、本人を当事者とする契約履行のため、法的義務を遵守するため、事業者又は第三者の正当な利益などが根拠となる。つまり、利用目的を特定して通知などしていればどのように利用しても良い(※)という日本法とは異なり、根拠もなく個人情報を利用することは違法であるとされているのである(図表2)。

ただし、法3条の「基本理念」においては、「個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきものであることにかんがみ、その適正な取扱いが図られなければならない。」とされている

改正法における「不適正」とは何かは、今後、ガイドラインなどで例示されるものと思われるが、例えば、本人の同意がある場合や契約履行のために必要な場合などは適正な利用に当たるであろう。その意味で、GDPRなどの考え方に近づいているといえる。

次に、2019年12月13日に公表された改正大綱において、「保有個人データに関する公表事項の充実」として、「個人情報の取扱体制や講じている措置の内容、保有個人データの処理の方法等の本人に説明すべき事項を、法に基づく公表事項(政令事項)として追加することとする」とされた。この改正は政令事項であるから、今回の改正法案には含まれていないが、実務に大きな影響があると考えられる。

「保有個人データの処理の方法」を開示するということは、例えば、プライバシーポリシーで、「当社は、お客様の当社ウェブサイトの閲覧履歴、購買履歴を蓄積して分析し、当社および当社の提携先の○○商品・サービスのご案内のために利用します」などと記載することを意味すると考えられる。これを行うためには、社内での個人情報の取り扱いを棚卸しし、個人情報の種類ごとに、どのような処理をしてどのような目的で利用しているのかを検討し、プライバシーポリシーの利用目的を「処理の方法」ごとに分類して記載し直さなければならないと思われるからである。政令の規定およびガイドラインでの例示がどのようになるのか、注目しておく必要がある。

「個人関連情報」とCookieの取り扱い

改正法案では、「個人関連情報」という新しい概念が生まれている。個人関連情報とは、「生存する個人に関する情報であって、個人情報、仮名加工情報および匿名加工情報のいずれにも該当しないもの」をいう(改正法案26条の2第1項)。典型的には、パブリックDMP(データマネジメントプラットフォーム)のベンダが保有している属性情報がこれに当たる。

例えば、サイトA、サイトBおよびサイトCが、それぞれあるパブリックDMPベンダに対しCookieなどで閲覧履歴を送信する設定をしているとする。すると、DMPベンダにおいては、あるユーザが、サイトA、サイトBおよびサイトCを閲覧したことを把握することができる。このような閲覧履歴を積み上げていくことで、当該ユーザの属性が浮かび上がってくる。

この属性情報は、DMPベンダにとっては個人情報ではないが、これをサイト運営企業が受領すれば、自社の会員情報と突合して利用することができる(図表3)。このように、提供元においては個人データではないが、提供先においては個人情報になるケースが出てきている。このような場合、現行法では、提供元が個人データを第三者提供するわけではないから、法23条1項による同意は不要であるという考えが支配的であった。

しかし、今回の改正では、このような情報は「個人関連情報」にあたることになり、提供先の第三者が、個人関連情報の提供を受けて本人が識別される個人データとして取得することを認める旨の本人の同意が得られていること(※)が求められることになる。つまり、提供先の企業において本人からの同意を得る義務があるとともに、提供元においても、提供先の企業が同意を得ているかを確認する義務があることになる。

外国にある第三者に提供する際には、当該外国の個人情報保護法制などの情報提供が行われていること

この改正は、Cookieなどを利用したデータのやりとりに大きな影響があると考えられる。他社との間で個人に関連するデータをやりとりしているケースを棚卸しし、データの内容と社内での利用態様を調査し、場合によっては同意を取得するなどの対応が求められることになるであろう。

金融法務カテゴリのオススメの記事
プロジェクト・ファイナンスのマーケット動向

世界的な脱炭素の流れや、インフラ整備・民営化の加速、他方で新型コロナウィルスの世界的な蔓延により、プロジェクト・ファイナンスを巡る環境は急速に変化している。本稿では、プロジェクト・ファイナンスの基本的な仕組みを概説した後、変化が著しい近時のマーケット動向を俯瞰する。

資金決済法制の骨子と最新規制動向

キャッシュレス決済分野における技術革新はめざましく、日進月歩で利便性の高い様々なサービスが登場しているが、同時に、ルール改正も頻繁に行われている。本稿では、キャッシュレス決済ビジネスにおける中核的な規制の一つである資金決済法についてその基本的な規制内容を説明するとともに近時のビジネス環境最新や最新の規制動向についても紹介したい。

2021年定時株主総会の実務上の留意点~新型コロナウイルスの影響を踏まえ~

新型コロナウイルスの流行により、2020年定時株主総会の準備・運営に関する実務は、従来と比べて大きく変容した。新型コロナウイルスの流行下では、定時株主総会を「不要不急の外出の自粛」や「三つの密(密閉空間、密集場所、密接場面)の回避」が要請されている中で開催しなければならず、株主、役員、運営スタッフその他の関係者を新型コロナウイルスに感染させてしまうリスクを最小限に抑えることが重要である。日本においても2021年2月から新型コロナウイルスワクチンの接種が始まったが、新型コロナウイルスの収束時期は今なお不透明であるため、2021年定時株主総会も、新型コロナウイルス感染拡大防止を意識して、その準備・運営を進めていく必要がある。本稿では、コロナ禍で開催することになる2021年定時株主総会の実務上の留意点を整理するとともに、近時、注目を集めているバーチャル株主総会について解説する。

今注目されるデータセンターに対する不動産投資の法的留意点

クラウドサービスの普及やデータ通信量の増大に呼応して、データセンターの需要が一層高まっている。データセンターはいまや重要な社会インフラ設備の一つとなっている一方で需要に応じた供給の確保がなされていないといわれる状況でもあり、今後一層のデータセンターの建設、投資が期待されているところである。本稿では、データセンターの基本的な内容をご紹介した上で、法的な観点から、データセンターに対する不動産投資の留意点等を概説する。

【 寄稿 】
牛島総合法律事務所
パートナー弁護士

影島 広泰 氏

The Finance をフォローする
注目のセミナー すべて表示する