令和2年改正個人情報保護法の政令・規則(案)のポイント

関原 秀行(Sekihara Hideyuki)

1 はじめに

現在(2020年12月28日)、改正個人情報保護法の政令・規則案がパブコメ中ですが、自分の備忘録として政令・規則案のポイントをまとめましたので、企業の皆さまの参考のために公開します。

記載の便宜のために、(案)の段階の施行令、規則につき、「案」を削除して施行令、規則と記載しておりますのでご容赦ください。

また、パブコメを経て内容が変更される可能性がありますので、ご注意ください。

2 漏えい等報告・本人通知

⑴ 漏えい等の報告義務

改正法では、個人データの漏えい等が発生した場合の報告義務が追加され(改正法22条の2第1項)、その詳細は規則に委任されたところ、報告対象となるケースとして以下の①~④が規則に規定されています(改正規則6条の2)。
いずれの場合も漏えい等の「おそれ」があれば報告義務があることとされています。
なお、高度な暗号化等が講じられたデータは、報告義務の対象から除外されています(改正規則6条の2第1号)。

① 要配慮個人情報(1号)
② 財産的被害が発生するおそれがある場合(2号)
③ 不正アクセス等故意によるもの(3号)
④ 1000人を超える漏えい等(4号)

また、報告時期については、一定の様式に則って「速報」と「確報」の2段階で報告することとされています(改正規則6条の3)。
具体的には、事態の認知後に速やかに報告するとともに(改正規則6条の3第1項)、事態の認知してから30日以内(不正アクセス等故意によるものの場合には60日以内)に「確報」を行うこととされています(改正規則6条の3第2項)。

⑵ 漏えい等の本人通知

改正法では、個人データの漏えい等が発生した場合の本人通知義務が追加され(改正法22条の2第2項)、その詳細は規則に委任されたところ、報告義務の対象となる事態の認知後、事態の状況に応じて速やかに、本人の権利・利益を保護するために必要な範囲において、以下の事項を通知することとされています(改正規則6条の5)。

① 概要
② 漏えい等した個人データの項目
③ 原因
④ 二次被害のおそれ、内容
⑤ その他参考となる事項

3 仮名加工情報

⑴ 仮名加工情報の改正内容

改正法では、「仮名加工情報」が創設されて、内部分析等に利用を限定することを条件に、利用目的の変更制限を緩和するとともに、請求権の対象外としています。

この「仮名加工情報」については、作成するための加工基準、削除情報等の安全管理措置の基準、連絡等禁止義務の対象となる「電磁的方法」の詳細が規則に委任されています。

⑵ 仮名加工情報の加工基準

改正法では、「仮名加工情報」を作成するための加工基準は規則に委任されているところ(改正法35条の2第1項)、改正規則では以下の①~③を加工基準としています(改正規則18条の7)。

① 氏名等の特定の個人を識別できる記述等の削除・置換(1号)
② 個人識別符号の削除・置換(2号)
③ 財産的被害が生じるおそれのある記述等の削除・置換(3号)

⑶ 削除情報等の安全管理措置

改正法では、仮名加工情報を作成・取得したとき等には、削除情報等の漏えいを防止するための安全管理措置を講じる義務を負い(改正法35条の2第2項)、その基準は規則に委任されているところ、改正規則では以下の①~③を安全管理措置の基準としています(改正規則18条の8)。

① 削除情報等の取扱者の権限・責任を明確に定めること(1号)
② 削除情報等の取扱いに関する規程類の整備・規程類に従った取扱い等(2号)
③ 権限を有しない者による取扱いの防止措置(3号)

⑷ 禁止対象となる「電磁的方法」

改正法では、仮名加工情報に含まれる連絡先その他の情報を利用して、本人に連絡・接触等することが禁止されており(改正法35条の2第8項)、禁止される「電磁的方法」を用いた送信の詳細は規則に委任されているところ、改正規則では以下の①~③を禁止される「電磁的方法」としています(改正規則18条の9)。

① SMS(1号)
② 電子メール(2号)
③ その他受信者を特定して情報を伝達するために用いられる電気通信を送信する方法(3号)

4 個人関連情報

改正法では、提供元では「個人データ」に該当しないものの、提供先において「個人データ」となることが想定される情報の第三者提供について、本人同意が得られていること等の確認が義務付けられ(改正法26条の2)、確認方法は規則に委任されていたところ、同意の確認方法については、提供先の第三者から申告を受ける方法その他の適切な方法とすることとされています(改正規則18条の2第1項)。

また、外国にある第三者への提供に当たっての情報提供の確認方法については、書面の提示を受ける方法その他の適切な方法とすることとされています(改正規則18条の2第2項)。

5 越境移転

⑴ 越境移転の改正事項

改正法では、「外国にある第三者」への個人データの提供につき
「本人の同意」を根拠に提供する場合には、同意の取得時に本人への情報提供を義務付けるとともに(改正法24条2項)
「体制整備」を根拠に提供する場合には、提供先による個人データの適正な取扱いの継続的な確保のための「必要な措置」及び本人の求めに応じた情報提供を義務付けています(改正法24条3項)

そして、それぞれ詳細については規則に委任されています。

⑵ 「本人同意」を根拠とする移転時の情報提供

「本人同意」を根拠として個人データを提供する場合には、同意取得時に以下の①~③の事項を情報提供することとされています(改正規則11条の3第2項)。

① 移転先の所在国名(1号)
② 適切かつ合理的な方法で確認された当該国の個人情報保護制度(2号)
③ 移転先の第三者が講ずる個人情報を保護するための措置(3号)

同意取得時に、移転先の所在国名が特定できない場合には、①及び②に代えて、以下の事項につき情報提供することとされています(改正規則11条の3第3項)。

① 移転先の所在国名が特定できないこと・その理由(1号)
② 代わりに本人に参考となる情報がある場合には、その情報(2号)

また、移転先の第三者が講ずる個人情報を保護するための措置について情報提供できない場合には、その旨及びその理由について情報提供することとされています(改正規則11条の4項)。

⑶ 「体制整備」を根拠として移転する場合の「必要な措置」「情報提供」

「体制整備」を根拠として移転する場合には、「必要な措置」として以下の①及び②を講ずることとされています(改正規則11条の4第1項)。

① 移転先における個人データの取扱状況及びそれに影響を及ぼしうる移転先の所在国の制度の有無の定期的な確認
② 適正な取扱いに問題が生じた場合の対応(適正な取扱いの継続的な確保
が困難な場合は個人データの提供を停止)

また、本人から情報提供の求めたがあったときには、本人に対し、遅滞なく、以下の①~⑦の事項につき情報提供することとされています(改正規則11条の4第3項本文)。
ただし、情報提供することによって、業務の適正な実施に著しい支障を及ぼすおそれがある場合には、全部又は一部の情報提供をしないことができますが(改正規則11条の4第3項ただし書)、その場合には、本人に対してその旨を通知するとともに(改正規則11条の4第4項)、その理由を説明する努力義務を負うことになります(改正規則11条の4第5項)。

① 第三者による体制整備の方法(1号)
② 第三者が実施する相当措置の概要(2号)
③ 外国制度の確認頻度・方法(3号)
④ 外国の名称(4号)
⑤ 相当措置の実施に影響を及ぼす外国制度の有無・概要(5号)
⑥ 相当措置の実施に関する支障の有無・概要(6号)
⑦ ⑥の支障に対して講ずる措置の概要(7号)

6 法定公表事項

保有個人データの法定公表事項(法27条1項4号)に、安全管理措置(法20条)が追加されています(改正施行令8条1号)。
ただし、公表等によって安全管理措置に支障が生じる場合は除外されています(改正施行令8条1号かっこ書)。

7 第三者提供記録の開示

改正法では第三者提供記録の開示請求が追加されたところ(改正法28条5項)、開示請求の対象となる「第三者提供記録」のうち、以下のものが対象外とされています(改正施行令9条)。

① 記録の存否が明らかになることによって、本人又は第三者の生命・身体・財産に危害が及ぶおそれがあるもの(1号)
② 記録の存否が明らかになることによって、違法・不当な行為を助長・誘発するおそれがあるもの(2号)
③ 記録の存否が明らかになることによって、国の安全が害されるおそれ、他国・国際機関との信頼関係が損なわれるおそれ等があるもの(3号)
④ 記録の存否が明らかになることによって、犯罪の予防・鎮圧・捜査等に支障が及ぶおそれがあるもの(4号)


この記事が気に入ったらサポートをしてみませんか?