個人情報保護法の令和2年改正に関する政令・規則（案）のパブコメ返しのポイント

今年のはじめに個人情報保護法の令和2年改正に関する政令・規則のパブコメが実施され、その結果が本年3月24日に公開されました。

「個人情報の保護に関する法律施行令及び個人情報保護委員会事務局組織令の一部を改正する政令」及び「個人情報の保護に関する法律施行規則の一部を改正する規則」に関する意見募集結果について｜e-Govパブリック・コメント

提出された意見に対する回答（パブコメ返し）は、重要なものはガイドラインに反映されることが多いですが、諸々の事情により反映されないものもあります。
今回は、パブコメ返しのうち、ガイドライン（案）に反映されていませんが、押さえておくと実務上役に立ちそうなものをピックアップしてみました（一問一答には記載されていたり、ガイドライン（案）に記載されているのを見落としている可能性もありますのでその点はご容赦ください）。
ポイントしかピックアップしていないため、正確な内容は知りたい方は上記のリンクから意見募集の結果をご覧いただくことをおすすめします。

１　漏えい事案の報告・本人通知義務

No.75、175、176
本規則案第 6 条の 2 第３号の具体例等については、ガイドライン等でお示しすることを検討してまいりますが、「不正の目的をもって」の主体は、第三者に限定されることはなく、従業員等も含まれると考えられます。

No.83、184
改正後の法第22条の２第１項の委員会への報告については、個人情報取扱事業者が同条の趣旨を踏まえた合理的努力を尽くした上で、報告の時点で把握
している内容を報告した場合には、その後報告内容が客観的に誤っていることが判明したとしても、報告義務違反に該当しないと考えられます。

No.122、135、146、147
クラウドサービスを提供する事業者が、個人データを取り扱わないこととなっている場合には、クラウドサービスを利用する事業者において、改正後の法第 22 条の２第1 項の報告義務を負います。この場合、クラウドサービス提供事業者は、改正後の法第 22 条の２第 1 項の報告義務を負いませんが、クラウドサービスを利用する事業者が安全管理措置義務及び報告義務を負っていることを踏まえて、契約等に基づいてクラウドサービスを利用する事業者に対して通知する等、適切な対応を行うことが求められます。

No.129
本規則案第６条の２の「漏えい等」の具体例等については、ガイドライン等でお示しすることを検討してまいりますが、漏えい等に該当するかどうかは、サイバー攻撃の手法ではなく、個人データに着目して判断されることとなります。

No.188、190、196、205、206、207、208
確報（本規則案第６条の３第２項）において、個人情報取扱事業者が改正後の法第22条の２第１項の趣旨を踏まえた合理的努力を尽くした上で、報告期限までに一部の事項が判明していない場合には、その時点で把握している内容を報告し、判明次第、報告を追完することが考えられます。

２　越境移転における情報提供等

No.276
改正後の法第 24 条第２項に基づく情報提供は、本規則案第 11 条の３第２項ないし第４項により本人への提供が求められる情報を本人が確実に認識できると考えられる適切な方法で行っていただく必要がありますが、例えば、本規則案第 11 条の３第２項第２号により提供すべき「外国の個人情報の保護に関する制度に関する情報」を国ごとに分かりやすく整理して記載したウェブページが存在する場合において、「外国の個人情報の保護に関する制度に関する情報」の代わりに、当該ウェブページのＵＲＬを本人に提供することは可能であると考えられます。

No.277
改正後の法第 24 条第２項に基づく情報提供は、改正法の施行日以後に改正後の法第24条第１項に基づく本人の同意を得る場合に必要となります（改正法附則第４条第１項）。
したがって、改正法の施行日前に外国にある第三者への個人データの提供に関する同意を取得済みである場合に、改正後の法第 24 条第２項に基づく情報提供を行った上で再度本人の同意を取得する必要まではありません。

No.281、282、290
本規則案第 11 条の３第２項第１号の「当該外国の名称」における外国とは、提供先の第三者が個人データを保存するサーバが所在する外国ではなく、提供先の第三者が所在する外国をいいます。

No.292、302、303
当委員会においても、外国の個人情報の保護に関する制度について、事業者の参考となる一定の情報を取りまとめて公表する予定ですが、事業者が当該情報を参照することは、本規則案第11 条の３第２項第２号の「適切かつ合理的な方法」による確認にあたると考えられます。

No.332、333
本人の求めに応じて、本規則案第 11 の 4 第３項各号に定める情報を掲載したホームページの URL を本人に対して提供することは、本規則案第 11 条の４第２項の「適切な方法」に該当すると考えられます。

３　個人関連情報

No.9、425
一般的に委託（法第 23 条第５項第１号）に伴って委託元が提供した個人データが、委託先にとって個人データに該当せず、個人関連情報に該当する場合において、委託先が委託された業務の範囲内で委託元に当該データを返す行為については、改正後の法第 26 条の２の規律は適用されないと考えられます。
なお、委託先で独自に取得した個人関連情報を付加した上で、委託元に返す場合には、改正後の法26条の２の規律が適用されると考えられます。

No.371
提供先における個人関連情報の取扱いを確認し、提供先において個人データとして取得することが想定されない場合、提供先から書面等を受領することは個人情報保護法上の義務ではありません。

No.393
個人関連情報の提供を行う個人関連情報取扱事業者が作成する記録については、第三者提供記録（改正後の法第 28 条第５項参照）に該当せず、開示請求の対象とされていません。

No.404、405、414、425
提供先が直接個人データに紐づけて個人関連情報を活用しないものの、保有する個人データとの容易照合性が排除できない場合にまで同条の規定が適用されるものではないと考えられます。

No.405
個別の事案ごとに判断することとなりますが、第三者のタグを設置した事業者が当該タグにより収集される情報を取り扱っていないのであれば、個人関連情報の第三者提供にあたらないと考えられます。

４　保有個人データの法定公表事項

No.40
法第 27 条の規定は、開示請求等により、本人が保有個人データに適切に関与することを可能とする趣旨のものであり、事実と異なる公表を行っている場合は、法第 27 条第１項の規定に違反することとなります。

５　第三者提供記録の開示請求

No.43
平成 27 年改正法の施行後に第 25 条第１項又は法第 26 条第３項に基づいて作成された記録については、開示の対象となります。

No.50
個別の事案ごとの判断となりますが、他の事業者との契約上秘密情報であるとされていることのみをもって、直ちに第三者提供記録の開示の例外事由に該当するものではないと考えられます。

６　仮名加工情報

No.479
仮名加工情報は、原則として、第三者提供が禁止されています（改正後の法第 35 条の２第６項、法第 35条の３第１項）。もっとも、法令に基づく場合、並びに改正後の法第35条の２第６項により読み替えて適用される法第23条第５項各号に基づく場合及び改正後の法第35条の３第２項により読み替えて準用される法第23条第５項各号に基づく場合には、仮名加工情報を外国にある第三者に提供することが可能です。
この場合、改正後の法第 24 条の適用はありませんが、仮名加工情報の取扱いの全部又は一部の委託に伴い仮名加工情報を提供する場合は、提供元の事業者は、提供先の第三者に対する監督義務を負います（法第 22 条、改正法第 35 条の３第３項により準用される法第 22 条）。また、提供先の第三者が、国内にある者に対する物品又は役務の提供に関連して、仮名加工情報を取り扱う場合は、提供先の第三者は、域外適用（改正後の法第 75 条）の対象となり得ます。

No.484
例えば、仮名加工情報を用いて分析を行い、統計を作成した上で、当該統計により得られた傾向等を踏まえて、加工元前の個人情報を利用して広告配信等を行うことは禁止されません。

No.492
仮名加工情報は、その定義上、他の情報と組み合わせることにより、特定の個人を識別できること自体は許容されています。そのため、御指摘のメールアドレス、電話番号、広告ＩＤ、ＭＡＣアドレス等については、それ自体により、又は他の記述等との組み合わせにより、社会通念上、一般人の判断力や理解力をもって、生存する具体的な人物との同一性を認めるに至ることができるものではない限り、必ずしも加工が求められるものではないと考えます。