個人情報保護委員会よりマンガで学ぶ個人情報保護法が公表
個人情報保護委員会のホームページにおいて、「マンガで学ぶ個人情報保護法」のページが公表されています。これは、架空の会社を舞台にしたマンガで、個人情報保護法の基本や令和2年改正法のポイントを紹介するものです。
第1話~第6話が基本編、第7話~第12話が改正法編となっており、それぞれ、最後にクイズが用意されており、重要点を確認することができます。一度ご覧になって、個人情報の保護に関するルールを再確認してみてはいかがでしょうか?
令和2年改正法は、令和2年(2020年)6月12日に「個人情報の保護に関する法律等の一部を改正する法律」が公布されたものです。一部の規定を除き、令和4年4月1日から施行されるものとなります。
2015年に改正された個人情報保護法では、3年ごとに国際的動向・情報通信技術の進展・新たな産業の創出及び発展の状況等を考慮し、個人情報保護制度の見直しを行うことになりました。この3年ごと見直し規定に基づいて個人情報保護法が改正されますが、公布から施行に時間差があるため注意が必要です。「マンガで学ぶ個人情報保護法」と合わせて令和2年改正法のポイントをご紹介します。
■令和2年個人情報保護法改正のポイント
「個人情報の保護に関する法律等の一部を改正する法律」(2020年6月12日公布)では、個人の権利利益の保護などを目的として、個人情報保護法が改正されました。これまで「努力義務」だったものが「義務化」されるなど、押さえておきたい改正ポイントは6つとなります。「マンガで学ぶ個人情報保護法」と合わせて参考にしてください。
【マンガで学ぶ個人情報保護法(改正法編)第7話 利用停止・消去等の請求権】
ここでは主に取得した個人情報の取り扱いルールについて示されています。
これまで利用停止や情報の消去などの請求は、違反が証明できる際に限られていましたが、権利や利益が害される場合にも、個人情報の停止や情報削除の請求権を行使できるようになりました。
また個人情報の開示に関しても、開示方法を指定できるようになると共に、第三者への提供に関するルートも把握できるようになります。事業者は、オプトアウト(同意なく第三者提供ができる)の対象が変更されていますので、注意が必要です。
詳しくはオプトアウトによる第三者提供(法第23条第2項~第4項関係)をご参照ください。
個人情報保護委員会「オプトアウトによる第三者提供の届出」
https://www.ppc.go.jp/personalinfo/legal/optout/
【マンガで学ぶ個人情報保護法(改正法編)第8話 保有個人データの開示請求】
現行法では保有個人データの開示方法は書面に限定されていましたが、改正法では本人の指定する方法での開示が義務付けられるようになります。情報が膨大な場合や音声や動画データを含んでいる場合には書面開示では不具合があることなどを考慮し、請求者である個人が、電磁的記録(デジタルデータ)での提供を含め、開示方法を指定することができるよう改正されました。
改正法では、本人が事業者間での個人データの流通を把握し、事業者に対する権利行使を容易にするため、第三者提供記録それ自体の開示請求を認めています。これにより、本人は個人データの入手元等を把握したり、自らの個人データが誰に提供されたか等を把握できるようになります。
また、現行法において保有個人データに含まれなかった短期保存データ(6か月以内に削除される個人データ)も個人データに含まれることとなりました。これは短期保存データあっても、情報化社会においては瞬時に拡散し、個人の権利利益を侵害する危険性が存在するためです。
【マンガで学ぶ個人情報保護法(改正法編)第9話 漏えい等報告・本人通知の義務化】
ここでのポイントは「事業者の義務の追加」です。漏えい等が発生した際の報告の内容が厳格化されるとともに、新たに不適正な方法により個人情報を利用することが明示的に禁止されました。
これまで努力義務とされていた漏えい等発生時の報告を、一定の場合に義務化するとともに、本人に対して通知を行うことが新たに義務付けられました。
具体的には、①質的に侵害のおそれが大きい類型(要配慮個人情報や財産的被害が発生しうるおそれがある個人データが漏えいするケース)と、②量的に侵害のおそれが大きい類型(漏えい等した個人データに係る本人の数が1000人を超えるようなケース)が報告等義務の対象となります。
一律に報告等義務を課すことは事業者の負担となるため、個人の権利利益の侵害のおそれが大きい類型に限定されています。
また、報告の方法も速報と確報に分けて報告することが求められており、事案に応じて速やかな対応が必要となります。
【マンガで学ぶ個人情報保護法(改正法編)第10話 個人関連情報とは?】
現行法では、個人データの第三者提供については本人の同意を要件としていたものの、提供元において個人データに該当しない情報(非個人情報)については、第三者提供に際して本人の同意は不要でした。そのため、これまでは特定の個人を識別できない形で取り扱われているインターネットの閲覧履歴、位置情報、Cookie等の情報(以下「個人情報に該当しない閲覧履歴等」といいます)は本人の同意なく第三者提供を行うことが可能でした。
改正法では、提供元において個人データに該当しない情報(ここでは、個人情報に該当しない閲覧履歴等、改正法において「個人関連情報」として想定される情報)を第三者提供するにあたり、当該個人関連情報が提供先において個人データとなることが想定されるときには、本人同意が得られていること等の確認を義務付けることとしました。
【マンガで学ぶ個人情報保護法(改正法編)第11話 仮名加工情報とは?】
現行法では、個人情報を加工する事で個人を特定できないように変換し、その利用に関連した様々な制約やルールが科されていますが、活用しにくいものでした。そこで、「仮名加工情報」制度を新設し、対象のデータに関しては事業者の義務が緩和されます。
改正法においては、法が定めた「仮名加工」を行った情報を新たに「仮名加工情報」と定義し、当初の利用目的から変更した内部利用を認めるなどの一定のルールが設けられました。また、仮名加工情報の利用目的の特定・公表を前提として、漏えい対応、開示や利用停止等の本人対応等の義務が緩和されています。
仮名加工情報に関する規定(P14)
https://www.meti.go.jp/shingikai/sankoshin/shomu_ryutsu/bio/kojin_iden/life_science/pdf/001_03_02.pdf
【マンガで学ぶ個人情報保護法(改正法編)第12話 外国にある第三者への提供(越境移転)】
現行法では、グローバル化を踏まえ、これまで明確に定めていなかった外国にある第三者に対する個人データの提供に関する規定が設けられています。そこでは、当該提供される個人データにかかる本人から「外国にある第三者への提供を認める旨」同意を取得することが求められていました。
改正法ではこれを更に推し進め、現行法の要件に加え、以下の各義務が追加されます。
・本人の同意による場合には、移転先の外国における個人情報の保護に関する制度等の情報提供
・継続的な適正取扱いを担保する体制が整備されている事業者への提供による場合には、移転先事業者の取扱状況の定期的な確認を行うとともに、本人の求めに応じて情報提供
提供先の国の法制度によっては、個人データの越境移転にリスクが存在することを踏まえ、本人の権利利益保護の観点から、移転先の外国事業者やその事業者がおかれた外国の状況について本人への情報提供を行うことが義務付けられています。
詳しくは下記参照先をご覧ください。
- 参照ホームページ [ 個人情報保護委員会 ]
- https://www.ppc.go.jp/news/anime_personalinfo/top/