2020年改正個人情報保護法の解説 〜EUの一般データ保護規則（GDPR）との比較も含めて（2/3 ページ）

[ニッセイ基礎研究所]

1――はじめに

　従前から、個人情報（プライバシー）については、第三者による個人情報利用が本人の受忍限度を超える場合、人格権の侵害として、不法行為による損害賠償の対象となるという法律上の保護法益であるとされてきた。

　個人情報保護法（以下、法という）は、上記のような認識のもと、2003年に、民間事業者による個人情報の利用と保護について定めた法律である。法はおおむね以下のような構成となっている。なお、個人情報保護法等を施行するための公的監督機関として、個人情報保護委員会が設置されている（法第59条以下）。

• （1）個人データを利用する事業者への規制適用

　特定の個人を識別できる情報、または個人識別符号が含まれる情報を個人情報と定義する。この個人情報をデータベース化（データベースに含まれる個人情報を個人データという）して利用する事業者を、個人情報取扱事業者として規制の対象とする（※1）。

• （2）個人情報取扱事業者に対する本人の権利

　個人データは、公表または本人に通知された目的内でのみ利用ができる。また、個人データの本人は、個人情報取扱事業者に対して、自己の情報の開示を請求することができ、情報が誤っている場合などには訂正や利用停止を求める権利がある。

• （3）個人データの第三者提供に関する規律

　個人データを第三者に提供する場合は、1）あらかじめ本人から同意を取得する、2）申し出により提供を中止することを条件として、一定の手続きを経て第三者に提供する。あるいは3）匿名加工をすることで個人データに該当しないようにしてから提供するという方法がある。

　個人情報保護法は3年ごとに見直しがされることとなっており、2015年改正（施行は2016年1月以降順次）より3年経過した2019年1月から法改正の検討がなされ、2020年通常国会の審議を経て、6月5日に成立、6月12日に公布されている。改正法の主な規定は公布から2年以内に施行される（※2）。以下、公布された改正個人情報保護法については改正法という。

　本稿では、この（1）〜（3）についての法の内容と改正法の内容および改正法で新たに導入される仮名加工情報について解説を加えたい。

（※1）なお、本論で述べないが、開示対象となる保有個人データには取得後六カ月以内に消去される個人データを含まないとされていたが、改正法ではこのような限定はなくなった。

（※2）個人情報保護委員会の命令違反などへの罰則の引き上げは2020年12月12日から施行される。

2――個人データを利用する事業者への規制適用

1｜個人情報取扱事業者の定義

　個人情報取扱事業者は、個人情報データベース等を事業に利用している事業者と定義されている（法第2条第5項）。個人情報データベース等とは、電子計算機やファイリングシステムにより、特定の個人情報を検索（※3）できるように体系的に構成したものをいい（法第2条第4項）、個人情報データベース等を構成するデータを個人データという（法第2条第6項）。

　例えばスポーツクラブ入会の申込書に住所・氏名等記入をした場合に、住所・氏名等を申込書に記入した段階では個人情報ではあるが、法が定義している個人データではない（※4）。住所・氏名等がデータベースに入力され、あるいは検索しやすいようにファイリングされた場合に個人情報データベース等を構成することになり、個人データとなる。この段階で法の規制対象となる（図表1）。

（図表1）個人情報取扱事業者の定義

　2003年の法制定当初においては、個人情報データベース等の個人データ数が5000件以下の小規模事業者は法の適用外（旧法第2条第5項）であったが、2015年改正により、小規模事業者も規制対象となった。この改正の影響は意外と大きく、小規模事業者は営利業者のみならず、非営利の団体も含むことから、自治体やマンション管理組合の名簿も規制対象に含まれるようになった。

（※3）他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む

（※4）誤解がないように補足すると、個人データになると個人情報保護法の保護対象となる。他方、個人情報の段階では、その不当な利用等について不法行為による保護が受けられる。

2｜個人情報の範囲とこれまでの議論

　個人データのもととなる個人情報には、住所・氏名等の文字情報（紙や電子データで記載されたもの）のみならず、音声や動画などであっても、特定個人が識別できるものであれば該当する（法第2条第1項第1号）。従って、例えば職場内を撮影している防犯カメラの映像であっても、データベース化されるのであれば、個人データとなる。もう一つは個人識別符号であり（同第2号）、これは保険証番号や免許証番号など公的な符号が対象となる。今回の見直しでは、個人情報そのものの定義について改正はされていない。

　今回、改正されたのは、オンライン識別子に関する規定である。典型的には、いわゆるクッキーと呼ばれる技術がある。これは、例えばPCやスマホなどの端末で、サイトを閲覧した場合に、サイト側から閲覧した端末を特定できるように、短い情報を閲覧者の端末に書き込むといったことが行われる。そうすると同じ端末が同じサイトを再度閲覧した時には、サイト側はクッキーにより過去の閲覧履歴が追跡できる。この技術により、閲覧者は前回見たサイトページから続きを読むことができるなどのメリットがある。

　ところが、このような技術により、問題が発生することとなった。ドイツの連邦カルテル庁が、Facebookに対してデータ統合を禁止した旨を公表した（※5）。具体的には、Facebookが、Facebookの閲覧履歴だけではなく、他のサイトでFacebookのシェアボタンが埋め込まれているサイトや、Facebook Analyticsの契約をしているサイトから閲覧履歴を収集したうえで、Facebookのアカウントに連動・統合させていた。この結果、Facebookは個人の閲覧履歴を幅広く収集することが可能となっていた。しかし、データ主体はそのことを理解していなかったことが、市場の濫用（らんよう）行為であるとした（図表2）。

（図表2）個人情報の範囲とこれまでの議論

　この事例が興味深いのは、ドイツにおける個人情報保護に関する規律（EU域内では、EUの規則であるGDPR（General Data Protection Regulation：一般データ保護規則）が直接適用される）に関してではなく、市場における企業の競争ルールである競争法違反とした点である。この点、日本でも同様の議論がある。すなわち、デジタル・プラットフォーム事業者は、その提供するサービスと交換に個人情報を取得するという取引を行っているとされる。この取引において、正常な商慣習に反して不当に個人に不利益を与えることは優越的地位の濫用に該当するおそれがある。そのため、個人情報の不正な取得は、独占禁止法上問題となりうるとする公正取引員会の見解がある（※6）。

　また、日本においては、就活サイト企業における個人情報の取り扱いが問題視された案件があった。具体的には、まず、就活サイト企業が設置した、新卒募集企業の就活サイトにおいて、就活生にエントリーシート等の個人情報の登録を求めていた。ここで、就活サイト企業は、氏名等の情報は自身では取得せず、クッキーのみを取得していた。就活サイト企業はそこで得たクッキーにより閲覧された自社サイトの履歴に基づいて内定辞退率を算定し、その結果をクッキー情報とともに、新卒募集企業に提供していた。新卒募集企業においては、エントリーシート登録時に、クッキーと個人情報の双方を取得していたため、就活サイト企業からクッキーと内定辞退率を取得することで、内定辞退率を個人情報とをひも付けることができ、就活生の個人データとして取得した（図表3）。

（図表3）就活サイト企業における個人情報の取り扱い

　この案件では、就活サイト企業においては、内定辞退率を含む情報はクッキーだけにひも付けて管理しており、個人名とはひも付いていなかった。そのため、就活サイト企業では個人データには該当しなかった。しかし、就活生がエントリーシートを提出した先の新卒募集企業において、個人名に統合される仕組みになっていたため、実質的に見れば、個人データの第三者提供とも考えうる案件であった。

（※5）公正取引委員会のHP参照　https://www.jftc.go.jp/kokusai/kaigaiugoki/sonota/2019others/201903others.html

（※6）公正取引委員会「デジタル・プラットフォーム事業者と個人情報等を提供する消費者との取引における優越的地位の濫用に関する独占禁止法上の考え方」https://www.jftc.go.jp/houdou/pressrelease/2019/dec/191217_dpfgl_11.pdf参照。

3｜提供先で個人情報になるデータ提供規制の導入

　この問題は、提供元で個人データに該当しない場合は、個人データの第三者提供に該当しないことから生じたものと捉えられている（提供元基準）（※7）。そこで、今回の改正法においては、個人データに該当しない情報のデータベース（個人関連情報データベース）を利用する個人関連情報取扱事業者が提供するデータが、提供先の第三者（個人情報取扱事業者）において個人データとなるときは、その第三者が本人からあらかじめ同意を得ていなければならないとされた（改正法第26条の2。図表4）。

（図表4）提供先で個人情報になるデータ提供規制の導入

　この改正により、次のようなケースに注意が必要である。すなわち、事業者が個人に関連する情報を他社から取得する場合に、その情報そのものには氏名などが含まれず、従って個人情報に該当しないものだとする。しかし、その場合であっても、取得した情報を、事業者自身がすでに保有する個人データと照合させて利用するのであれば、本人から同意をあらためてとる必要がでてくる。

（※7）個人情報保護法いわゆる3年ごと見直し制度改正大綱p25参照。https://www.ppc.go.jp/files/pdf/seidokaiseitaiko.pdf

4｜残された課題：オンライン識別子の取り扱い

　上記3に関連して、GDPRではクッキーなどのオンライン識別子が、直接的に個人データであるとしている（GDPR第4条（1））。日本でも最近増加してきたが、海外のサイトを閲覧すると「このサイトではクッキーを取得するが、同意するか」との表示が出るものがある。これは、クッキーが個人情報とされるために、その取得に同意を要するからである（※8）。

　今回の法改正では、端末の同一性自体が個人データであるとの改正はなされなかった。確かに、家族で共有する端末、インターネットカフェや会社の端末などもあり、一律に個人データといいにくい。

　ところで、昨今のデジタル・プラットフォームでは、端末の閲覧情報を収集し、属性や行動を推測したうえで、それらに適した広告を表示させている。例えば出張先のホテルを検索すると、その後、どのサイトを見ても、その地域のホテルの広告が掲載されているのは、そのためである。

　このような点に鑑みて、GDPRのようにオンライン識別子まで個人情報と見るような規制まで踏み込むかであるが、具体的個人に直接的に結び付く情報に限って、個人情報と考える日本の方式は必ずしも否定されるものではないと考える。例えば、単なる広告を超え、具体的な取引を勧奨するような場合においては、多くの場合には、端末の同一性情報のみの利用ではなく、本人情報と結び付けられて活用される（従って個人情報として規制対象となる）ものと思われる。また、先の就活サイトのような事例は、今回の改正で対応ができる。従って、今後、さらに具体的な弊害事由が生じた場合に、あらためて規制の見直しを考えるということでよいと考える。

（※8）GDPRでもオンライン識別子は個人データとされているが、より具体的にはEUのe-Privacy指令で同意取得が求められている。https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32002L0058&from=EN　参照。なお、EU規則は直接的に規則が各国内で効力を有するが、EU指令はその内容に沿った法律を各国が立法することでルールを統一化する。

3――個人情報取扱事業者に対する本人の権利

1｜個人情報取扱事業者の現行法における責務

　個人情報取扱事業者の責務としては、まずは（1）個人情報の適正な取得である。適正な取得とは、利用目的を限定（法15条）し、個人情報の取得に当たっては、あらかじめ利用目的を公表するか、当人に通知しなければならない（法18条）。また、人種、信条、社会的身分などの要配慮個人情報（法第2条第3項）については、取得に当たって本人の同意を得なければならない（法第17条第2項）。（2）個人データ保護のための安全管理措置を講じなければならず（法第20条）、従業員や委託先を適切に監督しなければならない（法第21条、第22条）。また、（3）個人データは正確かつ最新の内容に保つとともに、利用の必要性がなくなった時は消去するよう努めなければならない（法第19条）。（図表5）

（図表5）個人情報取扱事業者の現行法における責務

2｜開示請求をはじめとする本人権利の強化

　改正法は、本人からの開示請求および利用停止請求についての権利を強化した。要配慮個人情報以外の個人情報は、必ずしも本人の同意を得て取得されたものではない。また、仮に同意のもとで取得されたものだとしても、個人情報提供後に個人情報取扱事業者による情報管理等が適切に取り扱われることの確保が必要である。

　この観点から、本人が利用停止請求などの権利を行使する前提となる、個人データ開示請求権が重要となる。今回の改正法では、開示請求の方法について改正がなされた。現行法では書面による提供を求めることが原則とされているが、改正法では電磁的方法で開示を求める方法も明示的に認め、本人が開示の方法を指定できることとした（改正法第28条第1項）。ただし、本人の指定した方法では多額の費用を要する場合などには、個人情報取扱事業者は書面によりデータを提供することができる（同条第2項）。

　事業者の保有する個人データの利用停止または消去（利用停止等）を求められる場合も拡大した。個人情報は違法または不当な行為を助長し、誘発するおそれがある方法により利用してはならない（改正法第16条の2）として、これに反する個人データの利用停止を求めることができることとした（改正第30条第1項）。また、個人情報取扱事業者が、保有個人データを利用する必要がなくなったとき、あるいは、個人データの漏えい等により本人の利益が害されるおそれがあるときは、本人は個人データの利用停止、または第三者への提供停止（後述）を求めることができる（改正法第30条第5項）。（図表6）

　この改正により、例えば事業者で情報漏えいの事故が発生した場合に、保有個人データの利用停止を本人から求められることが考えられる。利用停止の範囲が広がったことも踏まえて、あらためて顧客対応窓口の明確化や対応手順等を検討しておく必要がある。