見出し画像

【IT事業者必見!】個人情報保護法規則及び個人情報保護法ガイドラインの改正(2023年12月27日公布、2024年4月1日施行)

松田綜合法律事務所(Matsuda&Partners)

2024年1月12日
個人情報・プライバシー分野チーム
弁護士 森田 岳人


はじめに

個人情報保護法施行規則及び個人情報保護法ガイドラインを改正する規則・告示が、2023年12月27日に公布されました。施行は2024年4月1日となります。
本稿では、上記施行規則及びガイドラインの改正の概要について説明します。

漏えい等報告の対象範囲の拡大

個人情報保護法では、個人データが漏えい等した場合、個人情報取扱事業者に個人情報保護委員会への速やかな報告義務や本人への通知義務を負わせています(個情法26条)。
ところが、近年、個人情報取扱事業者のウェブサイトが第三者に侵入され、不正なスクリプトが埋め込まれ、ウェブサイトの利用者が入力した個人情報が第三者に勝手に送信されてしまうといったケース(Webスキミング)などが出てきました。
このようなケースでは、個人情報取扱事業者のデータベースに入る前の個人情報が流出していることから、従前は、個人情報保護法上、報告義務等の対象とはなりませんでした。
しかし、上記ケースにおいても、利用者の権利利益が害されるおそれが大きいことに変わりません。
そこで、報告義務等の対象を拡大するために、個人情報保護法施行規則が改正され、それにあわせて個人情報保護法ガイドラインも改正されることとなりました。
具体的には、報告義務等の対象となる「個人データ」に、「当該個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、個人データとして取り扱われることが予定されているもの」を含むようになりました(施行規則7条)。また、個人情報保護法ガイドライン(通則編)、同(第三者提供時の確認・記録義務編)及び同(行政機関等編)にも所要の改正が行われています。

以上のように情報漏えい時の報告義務等の対象が拡大されたことから、個人情報取扱事業者は、情報漏えいのインシデント発生時の対応方法を定めた社内規程や契約書などを見直す必要があります。

安全管理措置の対象範囲の明確化

個人情報保護法では、個人情報取扱事業者に対し、個人データの安全管理措置の実施義務を負わせています(個情法23条)。
ただ、この安全管理措置の対象に、個人データになる前の個人情報が含まれるのかについては、不明確でした。
そこで、今回、個人情報保護法ガイドラインが改正され、安全管理措置の対象に、個人データになる前の個人情報が含まれることが明記されるようになりました。
具体的には、個人情報保護法ガイドライン(通則編)3-4-2「安全管理措置」の項目に、「なお、『その他の個人データの安全管理のために必要かつ適切な措置』には、個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、当該個人情報取扱事業者が個人データとして取り扱うことを予定しているものの漏えい等を防止するために必要かつ適切な措置も含まれる。」と明記されました。なお、個人情報保護法ガイドライン(第三者提供時の確認・記録義務編)及び同(行政機関等編)についても同様の改正がされています。

以上のように、安全管理措置の対象に、個人データになる前の個人情報も含まれることが明確になったことから、個人情報取扱事業者は、安全管理措置を定めた社内規程等を見直す必要があります。

外国の制度の確認・情報提供

個人情報保護法は、個人データを外国に移転させる場合(越境移転)、国内での移転と比較して厳格な規制をしています。その越境移転時の規制の1つとして、個人情報保護法は、個人情報取扱事業者に対し、外国における個人情報の保護に関する制度を確認したり(個情法28条3項、施行規則18条1項)、本人に情報提供する義務(個情法28条2項3項、施行規則17条2項、18条3項)を負わせています。
ところで、2022年12月に開催されたOECDデジタル経済政策委員会閣僚会合において、「民間部門が保有する個人データに対するガバメントアクセスに関する宣言」が採択されました。これは、信頼性のある自由なデータ流通を実現するために、ガバメントアクセス(法執行や国家安全保障の目的で、政府が民間が保有または管理する個人データへアクセスし、処理すること)を行うための原則(法的根拠、正当な目的、データの取り扱い、透明性、監督、救済)を定めたものです。
これを受けて、今回、個人情報保護法ガイドラインが改正され、上記の外国の制度の確認・情報提供時に、上記OECDの宣言も参照して判断することとされました。
具体的には、個人情報保護法ガイドライン(外国にある第三者への提供編)5-2等に「事業者が保有する個人情報について政府による情報収集が可能となる制度に関して、本人の権利利益に重大な影響を及ぼす可能性のある制度に該当するか否かを判断するに当たっては、例えば、OECD『民間部門が保有する個人データに対するガバメントアクセスに関する宣言』(2022年)を参照することが考えられる。」という記載が追加されました。

以上のように、個人情報取扱事業者は、今後、外国の制度の確認・情報提供をする際に、上記OECDの宣言を参照して、ガバメントアクセスの内容を確認すべきことになります。ただし、実務上、個人情報取扱事業者が各国の制度におけるガバメントアクセスの状況を個別に確認することは困難でしょうから、個人情報保護委員会で公表されている調査結果などを利用することが現実的な対応となります。

弁護士 森田岳人(松田綜合法律事務所 パートナー)
2004年10月東京弁護士会登録。松田総合法律事務所入所。2016年4月より同事務所パートナー。2021年1月より名古屋大学未来社会創造機構 客員准教授。東京弁護士会AI研究部所属。
最近は、個人情報・プライバシー関連法務、AI・データ関連法務、自動運転・モビリティサービス関連法務に、IT関連法務に注力。
「個人情報保護委員会の動向」(共同執筆/ジュリスト 2023年10月号(No.1589) | 有斐閣)、「与信AIに法規制はなされるか ―差別・公平性の観点から―」(共同執筆/「金融法務事情」 2022年6月10日号)、「AIプロファイリングの法律問題──AI時代の個人情報・プライバシー」(共著/商事法務)ほか。

【参考資料】
個人情報の保護に関する法律施行規則の一部を改正する規則-個人情報保護委員会- (e-gov.go.jp)

個人情報の保護に関する法律についてのガイドライン(通則編)の一部を改正する告示-個人情報保護委員会- (e-gov.go.jp)

個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編)の一部を改正する告示-個人情報保護委員会- (e-gov.go.jp)

個人情報の保護に関する法律についてのガイドライン(行政機関等編)の一部を改正する告示-個人情報保護委員会- (e-gov.go.jp)

個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)の一部を改正する告示-個人情報保護委員会- (e-gov.go.jp)

個人情報の保護に関する法律施行規則の一部を改正する規則案等に関する意見募集結果  
https://public-comment.e-gov.go.jp/servlet/PcmFileDownload?seqNo=0000265957

OECD「民間部門が保有する個人データに対するガバメントアクセスに関する宣言」(2022年)
government_access_jp.pdf (保護) (ppc.go.jp)

第253回個人情報保護委員会資料、議事録
第253回個人情報保護委員会 |個人情報保護委員会 (ppc.go.jp)
 
個人情報保護委員会 諸外国・地域の法制度
諸外国・地域の法制度 |個人情報保護委員会 (ppc.go.jp)

この記事が気に入ったらサポートをしてみませんか?