第1回:個人情報保護法の見直しと改正のポイント

2019年12月13日、個人情報保護委員会が「個⼈情報保護法 いわゆる3年ごと見直し 制度改正大綱」(以下「改正大綱」)を公表しました。この改正大綱は、意見募集(パブリックコメント)手続が採られ、今年1月14日に締め切られています。提出された意見を受けて、最終的な個人情報保護法の改正法案が取りまとめられ、今年の通常国会に提出されました。

ジンテック通信では「個人情報保護法の見直しにより事業者にどのような影響があるのか」を、改正内容を踏まえて数回にわたり紹介していきます。

―なぜ、見直しが行われるのでしょう

個人情報保護法は、平成15(2003)年に制定され、平成27(2015)年に改正されました。改正個人情報保護法には附則が設けられ、改正法制定以降の社会・経済情勢の変化を踏まえ、政府に対し3年を目途として、法律の見直しを求めています(附則12条3項)。そこで、政府は昨年1月から個人情報保護法の見直しの検討を開始し、2019年12月13日に個人情報保護委員会が「制度改正大綱」を取りまとめ、公表しました。

その内容は、https://www.ppc.go.jp/files/pdf/seidokaiseitaiko.pdf にあります。

―附則とは法律ですか

ちなみに附則とは、法律の本則を定める部分とは別に、法令の施行期日や経過措置、関係法令の改廃等に関する事項など定めたものをいいます。附則は、本則とは法律で別に定められます。もちろん附則も法令の一種なので拘束力があり、政府は附則の規定に従って見直し作業を行っているのです。このように、見直しについての附則がある法律の例として貸金業法があります。

―見直しを行う観点は何か

今回は、5つの観点で見直しが実施されています。

第一点目は、情報を提供する個人の自らの情報の取扱いに対する関心や、関与への期待が高まっており、「個人の 権利利益を保護」するために必要十分な措置を整備することに配意しながら制度を見直す必要があるという点です。第二点目は、最近の個人情報や個人に関連する情報を巡る技術革新の成果が、経済成長等と個人の権利利益の保護との両面で行き渡るような制度を目指すことが重要であるという点です。第三点目は、デジタル化された個人情報を用いる多様な利活用がグローバルに展開されており、国際的な制度調和や連携に配意しながら制度を見直す必要がある点です。第四点目は、海外事業者によるサービスの利用や国境を越えて個人情報を扱うビジネスの増大により、個人が直面するリスクも変化しており、これに対応する必要がある点です。最後に、AI・ビッグデータ時代を迎え、個人情報の活用が一層多岐にわたる中、本人があらかじめ自身の個人情報の取扱いを網羅的に把握することが困難になりつつあり、事業者が個人情報を取り扱う際に本人の権利利益との関係で説明責任を果たしつつ、本人の予測可能な範囲内で適正な利用がなされるよう、環境を整備していくことが重要であるという点です。

―どんな見直しの内容になるのか

今回の改正大綱では、前記の5点を踏まえ、個人情報の取扱の基本ルールを見直すとともに、個人情報取扱事業者の責務の内容を見直しています。また、現在の個人情報保護の関連法律には、国の行政機関に関する「行政機関の保有する個人情報の保護に関する法律」や独立行政法人に対する「独立行政法人等の保有する個人情報の保護に関する法律」があり、地方公共団体には、個人情報保護法が適用されるほか、地方公共団体ごとに定められた「個人情報保護条例」(いわゆる「2000個問題」※注)があります。そこで、このような複雑な状態を解消し、個人情報に関する法律の一元化を行おうとしています。

※注:2000個問題  個人情報保護法の関連法律・条例が「民間事業者」+「国の行政機関」+「独立行政法人」 +「自治体(都道府県47、市区町村1750、広域連合等115)」で異なり、特に約1000ある地方自治体等で設けられている個人情報保護条例の条文のばらつきが大きいことを指しています。条例では、「個人情報」の定義が違うことに加え、「個人識別符号」「要配慮個人情報」「匿名加工情報」「非識別加工情報」の有無、学術研究利用の適用除外条項の有無などの違いがあり、安全管理の水準もばらつきが指摘されています。したがって、条文の解釈が各自治体によって異なり、データオープン政策や企業の情報の利活用にも大きな支障になりかねないといった問題が指摘されています。

―今回の改正のポイントは

改正大綱によれば、主に以下の点が大きなポイントでしょう。

➀情報主体の「保有個人データ」の利用停止・消去の請求、第三者提供の停止の請求に係る要件を緩和すること。

②本人の開示等の請求対象となる「保有個人データ」に6か月以内に消去される短期保存データを含めること。

③第三者への提供時・第三者からの受領時の記録を開示請求の対象とすること。また、開示方法を本人が指示できるようにすること。

④オプトアウト規定で第三者提供できる個人データの範囲を従来よりも限定すること。

⑤一定数以上の個人データ漏えい、要配慮個人情報の漏えい等につき、速やかに個人情報保護委員会へ報告することを義務付けること。

⑥「仮名化情報(仮称)」という概念を新しく導入すること。 このような見直しは、個人情報を取り扱うすべての事業者の現状の取扱方法の見直しにつながります。特に個人情報の利用に情報主体が大きく関与することになり、その取扱いを透明度の高いものにする必要があるといえます。

―今後の動き

改正個人情報保護法案は、3月10日に閣議決定され、国会に提出されました。本連載では、法案の内容にしたがって順次内容を紹介し、金融サービスにおける個人情報の取扱手続の見直しの必要性や金融サービスにおける個人データの利活用、オープンバンキング、情報銀行への取り組みにおける留意点などを継続していく予定です。

※本内容の引用・転載を禁止します。