「個人情報の保護に関する法律（個人情報保護法）」が改正され、4月1日に施行される。ビジネスの現場で個人情報を扱う機会が増えるなか、留意すべきポイントは何か。同法に精通する山城尚嵩弁護士が解説する。

　デジタルトランスフォーメーション（DX）の推進が叫ばれる昨今、データの持つ重要性が増しています。他方、個人情報の漏えいや目的外利用の事案も頻発しており、個人情報保護に対する関心度も高まっています。こうした環境変化を受け、改正個人情報保護法が今春施行されます。

　個人情報保護法は、個人情報の有用性に配慮しつつ個人の権利利益を保護することを目的として、2003年に制定されました。個人情報保護に重点の置かれた内容が大きく変わったのは、15年に行われた改正です。同改正では、「匿名加工情報」という情報類型が設けられるなど、個人情報を保護しつつ、データの利活用の視点も盛り込まれるにいたりました。

　15年改正法には、施行後3年ごとに内容を見直す規定が盛り込まれており、20年と21年にも改正が実施されました。今般施行されるのは、20年改正法および21年改正法の一部です。本稿では、中小企業経営に影響が見込まれる「20年改正法」の項目を中心に解説します。なお、特段の断りなく「改正法」と記す場合、20年改正法を指すものとします。

　改正法においてまず念頭に置くべきポイントは、個人情報取扱事業者に課せられる義務が追加された点です。

報告・通知義務の追加

　6カ月以内に消去するデータは「短期保存データ」と呼ばれ、これまで開示等の対象外とされていました。この規定が変更され、今後は短期保存データも開示等の対象となり、たとえ1日で消去するデータであっても、本人からの開示請求対象となり得ます。ただし、従来短期間で消去していたデータを、開示請求に応じることを目的に保存する必要はありません。利用する予定のないデータは、速やかに消去することが努力義務とされています。加えて、改正法により、保有個人データの開示方法を本人が指定できるようになった点や、開示の対象に第三者提供記録が含まれた点も確認が必要です。

　あわせて保有個人データの利用停止・消去等の請求権も拡充されます。個人の権利または正当な利益が害されるおそれのある場合、本人からデータの利用停止・消去等を請求できるよう規定されました。従来、利用停止・消去等の請求ができるのは目的外利用や不正取得時等に限定されていました。改正法では、こうした場合に加え
　①利用する必要がなくなった場合
　②重大な漏えい等が発生した場合
　③本人の権利または正当な利益が害されるおそれがある場合
にも拡充されます。

　本人の権利拡充と並行して、事業者の義務も見直されました。まず、個人データの漏えい等が発生したとき、個人情報保護委員会への報告と本人への通知が義務化されることは、事業者にとってインパクトのある改正点です。義務化により、報告と通知を怠った場合ペナルティーを科される可能性があります。なお、これらの義務が求められるのは「個人の権利利益を害するおそれが大きい場合」とされています。

　個人情報保護委員会は、漏えい等報告義務化の対象事案として、①要配慮個人情報の漏えい等②財産的被害のおそれがある漏えい等③不正の目的をもって行われたおそれがある漏えい等④1,000件をこえる漏えい等の4つを例示しています。①～③は件数に関わりなく対象となり、①～④のいずれも漏えい等の「おそれ」がある事案も対象となる点に注意してください。報告方法に関しては、速報と確報の2段階に分けて行う必要があります。問題の発生を知った時点からおおむね5日以内に速報として、その時点で把握している事柄を、さらに30日以内（不正の目的をもって行われたおそれがある漏えい等の場合は60日以内）にすべての事項を確報として報告します。

　また、従前は個人情報の不適正「取得」の禁止のみが明記されていましたが、19年に発生したいわゆる破産者マップ事件などを契機として、改正法では、個人情報の不適正「利用」の禁止も明文化されるにいたりました。

2つの情報類型

　改正法におけるもうひとつの目玉が「仮名加工情報」と「個人関連情報」という新たな情報類型が創設された点です。これら2つの概念を説明する前に、個人情報とは何かおさらいしておきましょう。個人情報保護法2条1項1号では、個人情報を以下のように定義しています。

　生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む）。

　例えば、私の所属する企業が図表1（『戦略経営者』2022年4月号P49）に示したデータベースを作成し、社員情報を保管していたとします。このうち個人データに該当するのは「山城尚嵩」という氏名にとどまりません。性別、趣味、閲覧履歴、備考欄までの行全体が個人データに該当します。なお、データベース上の個人情報を個人データといいます。したがって、備考欄に記載された情報のみが外部に漏れてしまった場合でも、同じ行に含まれる氏名の記述により特定の個人を識別できるため、個人データの漏えいに該当します。

　ここまで述べた点をふまえた上で、生存する個人に関する情報を整理したのが図表2（『戦略経営者』2022年4月号P49）です。従来、個人情報と匿名加工情報の2種類しか存在していませんでしたが、仮名加工情報と個人関連情報という概念が加わることになりました。仮名加工情報とは簡単にいうと「個人情報から氏名等の個人を識別できる記述を削除した情報」を指します。

　図表1（『戦略経営者』2022年4月号P49）を例にとると、氏名をランダムな文字列等からなる仮IDに置き換えれば、性別から備考欄にいたる一連の情報を仮名加工できます。仮名加工情報については個人情報に該当する場合であっても、個人情報に課せられる以下の義務が適用除外となります。

　①利用目的の変更の制限
　②漏えい等の報告等
　③開示・利用停止等の請求対応

　このうち、利活用の観点から注目を浴びているのが①です。従前、個人情報は取得時に示した利用目的の範囲内でしか利用できず、利用目的の範囲の変更を行うのであれば本人の同意取得が必要でした。これが、仮名加工情報であれば、利用目的を変更する際には①に挙げたとおり、本人から同意を取得する必要がありません。そのため、データ利活用のいっそうの進展が期待されます。

　例えば、医療機関では患者の膨大な診療情報を保有していますが、その情報は診療目的で取得したものであり、人工知能（AI）の開発などといった当初の目的をこえて活用するには、患者本人の同意が必要とされていました。ただ、個々の患者に問い合わせるにはコストと手間を要するだけでなく、目的外利用の同意を求められたとき、拒否反応を示す患者は少なくないはずです。

　改正法により、医療機関は仮名加工情報を作成することで、患者本人に目的外利用の同意を得ずに、AIや新薬開発等に診療情報を活用できるようになります。なお、仮名加工情報は匿名加工情報と異なり、第三者に提供することが禁じられています。

　改正法で新設されたもうひとつの概念である個人関連情報とは、生存する個人に関する情報のうち個人情報、仮名加工情報、匿名加工情報のいずれにも該当しないものを指します（『戦略経営者』2022年4月号P49図表2の円で囲まれていない部分）。具体的には、氏名等の個人を識別する情報とひもづいていない、インターネットの閲覧履歴や位置情報、クッキーなどが当てはまります。改正法では、これらの個人関連情報を第三者に提供する際の規制が設けられました。

　背景には、クッキー等の情報をデジタルマーケティングなどに活用する動きが顕著になっており、その中で従前の個人データの第三者提供制限の潜脱(せんだつ)ともいえる運用もみられた点があります。国内では就職情報サイトを運営する企業が、学生の同意を取得せずに内定辞退率を算定し、企業に販売していたことが明るみに出て問題視されました（いわゆるリクナビ事件）。改正法では、このように提供元では個人データに該当しない個人関連情報であっても、提供先において個人データとひも付けて取り扱われることが想定される場合には、提供先における本人同意の取得および提供元における同意の取得確認が義務付けられます（『戦略経営者』2022年4月号P50図表3）。

個人情報のたな卸しを

　改正法の施行に向け事業者がまず行うべき事柄は、社内で保有している個人情報の洗い出しです。そして当該個人情報がどのような用途で用いられているか、あるいはどの改正項目に該当する可能性があるか、点検する必要があります。もし、外国の第三者に個人データを提供している場合は本人の同意取得時に、移転先の国名や当該国の個人情報保護に関する制度などの情報を提供しなければなりません。自社サイトで個人情報の取り扱いに関するプライバシーポリシーを公開している際は、これを改定する必要もあります。

　個人情報保護委員会のウェブサイトには「個人情報の保護に関する法律についてのガイドラインに関するQ＆A」や、中小企業向けのQ＆A集も公開されています。これらの資料を参照しながら、準備を行ってください。事業内容に即した具体的な対策は、顧問弁護士等の専門家に相談することをおすすめします。

（構成／本誌・小林淳一）

掲載：『戦略経営者』2022年4月号