令和2年改正個人情報保護法のガイドライン(案)のポイント(通則編)

関原 秀行(Sekihara Hideyuki)

令和2年改正個人情報保護法に関する各ガイドライン(案)のパブコメが開始されました。

個人的な備忘録を兼ねて、各ガイドライン(案)で追加・変更された点の中で、独断と偏見により実務対応に影響が大きそうなポイントをピックアップしてみました。
ガイドラインはいくつかありますが、まずは通則編(案)(以下、記載の便宜のため「通則編」とします)をみていきます。
なお、政令・規則などによってすでに明らかになっている論点・ポイントについては触れていません。

また、個人情報保護委員会よりガイドライン案の概要も資料として公表されておりますので、こちらもご参考になるかと思います。

1 利用目的の特定(15条1項)

利用目的の特定の解釈を既存のガイドライン通則編よりも厳格に解しています。
具体的には、ターゲティング広告、スコアリングのように、本人に関する行動・関心等の情報を分析する場合(プロファイリング)、どのような取扱いが行われているのかを本人が予測・想定できる程度に特定することを求めています(通則編27-28頁)。

2 不適正利用の禁止(16条の2)

不適正利用の禁止に該当しうる具体例(6事例)が記載されています。
例えば、以下のようなものが不適正利用に該当するようです(通則編30-31頁)。

(事例5)
採用選考を通じて個人情報を取得した事業者が、性別、国籍等の
特定の属性のみにより、正当な理由なく本人に対する違法な差別的
取扱いを行うために、個人情報を利用する場合
(事例6)
広告配信を行っている事業者が、第三者から広告配信依頼を受け
た商品が違法薬物等の違法な商品であることが予見できるにもかか
わらず、当該商品の広告配信のために、自社で取得した個人情報を
利用する場合

3 漏えい等の報告・本人通知(22条の2)

(1)報告対象となる事態の具体例

漏えい報告の対象となるのは、①要配慮個人情報、②財産的被害のおそれ、③不正アクセス、④1000人以上に関する漏えい事案ですが、これらに該当する具体例が記載されています(通則編46-49頁)。

(2)「おそれ」の定義と具体例

漏えいの「おそれ」があった場合も報告対象となるところ、「その時点で判明している事実関係からして、漏えい等が疑われるものの確証がない場合」が「おそれ」に該当するものとした上、その具体例が記載されています(通則編49-50頁)。

(3)「速報」の起算点と報告時期

漏えい報告が必要な事態を「知った」後、速やかに報告する必要がありますが、「知った」とは「個人情報取扱事業者が法人である場合には、いずれかの部署が当該事態を知った時点を基準」とするとされています。
また、速報の時期は、知ってから概ね「3~5日以内」とされています(通則編52頁)。

(4)「確報」の起算点と報告時期

確報は、報告が必要な事態を「知った」後、30日又は60日以内に報告する必要がありますが、この起算点は、速報と同様とされています(通則編55頁)。

また、「確報」の30日又は60日の期間計算(土日祝日を含めるかどうか等)についても記載されています(通則編56頁)。

(5)本人通知をすべきでないケース

漏えい報告が必要な事態が発生した場合、原則として本人通知も必要ですが、タイミングによっては本人通知を行うべきではない時点もあるため、その具体例がいくつか記載されています(通則編59頁)。

(事例1)
インターネット上の掲示板等に漏えいした複数の個人データがア
ップロードされており、個人情報取扱事業者において当該掲示板等
の管理者に削除を求める等、必要な初期対応が完了しておらず、本
人に通知することで、かえって被害が拡大するおそれがある場合

4 個人関連情報(26条の2)

⑴ 「個人データとして取得」する場合

「個人関連情報」に関する26条の2第1項の規律対象は、「第三者が個人関連情報・・・を個人データとして取得」することが想定されるときです。
この「個人データとして取得」とは、「提供先の第三者において、個人データに個人関連情報を付加する等、個人データとして利用しようとする場合」をいい、「提供先の第三者が、提供を受けた個人関連情報を直接個人データに紐付けて利用しない場合は、別途、提供先の第三者が保有する個人データとの容易照合性が排除しきれないとしても、ここでいう「個人データとして取得する」場合には直ちに該当しない」としています(通則編93頁)。

⑵ 提供先の規約・契約等との関係

ガイドライン案では、「提供元の個人関連情報取扱事業者及び提供先の第三者間の契約等において、提供先の第三者において、提供を受けた個人関連情報を個人データとして利用しない旨が定められている場合には、通常、「個人データとして取得する」ことが想定されず、法第 26 条の 2 は適用されない」とされています(通則編95頁)。

⑶ 本人同意の取得方法

本人同意の取得方法としては、提供先のみならず、提供元が代行して取得できるものの、いずれが同意を取得するとしても、同意の際には、①個人関連情報を個人データとして取得する主体、②提供される個人関連情報の項目、③提供先の利用目的といった情報を示す必要があるとされています(通則編96-97頁)。

また、「本人の同意は、必ずしも第三者提供のたびに取得しなければならないものではなく、本人が予測できる範囲において、包括的に同意を取得することも可能」とされています(通則編96頁)。

なお、同意の取得方法としては、例えば、ウェブサイト上のボタンのクリックを求める方法等によることとされています(通則編98頁)。

5 保有個人データの法定公表事項(27条1項)

新たに公表事項として追加された安全管理措置について、いかなる内容を公表すべきかの具体例が記載されています。
具体的には、基本方針の策定、個人データの取扱いに関する規律の整備、組織的・人的・物理的・技術的管理措置の内容などを公表するとともに、外的要因の把握として個人データの保管先である外国の個人情報保護制度を把握した上で安全管理措置を実施していること等を安全管理措置に関して公表すべき事項として記載しています(通則編140-141頁)。

6 利用停止請求(30条5項)

令和2年改正により「本人の権利又は正当な利益が害されるおそれがある場合」にも利用停止請求が可能となりました。
その具体例(5個)が記載されています(通則編169-170頁)。

(事例1)
ダイレクトメールの送付を受けた本人が、送付の停止を求める意
思を表示したにもかかわらず、個人情報取扱事業者がダイレクトメ
ールを繰り返し送付していることから、本人が利用停止等を請求す
る場合
(事例2)
電話勧誘を受けた本人が、電話勧誘の停止を求める意思を表示し
たにもかかわらず、個人情報取扱事業者が本人に対する電話勧誘を
繰り返し行っていることから、本人が利用停止等を請求する場合

この記事が気に入ったらサポートをしてみませんか?