2016年12月 1日
「個人情報保護法――改正への対応(同意取得の観点を中心に)」
弁護士 二関辰郎 (骨董通り法律事務所 for the Arts)
◆改正法の成立とガイドラインの策定
個人情報保護法の成立から約10年が経過し、同法初(形式的な改正を除く)の改正が昨年行われた。個人情報保護委員会では、2017年春ころに改正法を全面施行することを目指して準備を進めている*。改正法の成立からこれまでに、政令や規則、基本方針の改正等が先行して実施された。また、個人情報保護委員会は、同法のガイドラインを2016年11月30日に策定した(これらの政令・規則やガイドライン等は、個人情報保護委員会のウエブサイトで読むことができる)。
* 2016年12月20日付で閣議決定された政令により、改正個人情報保護法の全面施行日は2017年5月30日に決まった。(2016年12月21日追記)
個人情報保護委員会が策定したガイドラインは、内容に応じて以下のとおり4種類に分かれている。合計すると180ページくらいになる。
(1) 「通則編」
(2) 「外国にある第三者への提供編」
(3) 「第三者提供時の確認・記録義務編」
(4) 「匿名加工情報編」
個人情報保護委員会がこれらガイドライン案のパブリックコメントを行った結果によれば、同委員会ではQ&Aを出す予定のようである。さまざまな場面における具体的事例などは、Q&Aを参照しないとわからない部分もあるが、ガイドラインを前提として、改正法について少し解説してみたい。
◆改正法の成立とガイドラインの策定
改正法でなにが変わったか。ここでは、さしあたり項目をあげておく。もっとも、ただの項目の羅列だと見にくいかもしれないので、色で2種類に区別してみた。背景が白の普通のマル数字(①とか)は基本的に定義や制度の変更で、事業者にとって直ちに対応が必要ではなさそうな項目を意味する。他方、白抜きで背景が黒のマル数字(➋とか)は、関連する事業者にとって対応が必要になりそうな項目を意味している。あくまでも一応の目安だが。
① 個人識別符号の新設
➋ 要配慮個人情報の新設
➌ 小規模事業者への法適用の拡張
④ 利用目的の変更要件の変更
➎ 匿名加工情報の新設
➏ オプトアウト時の個人情報保護委員会への届出
➐ 第三者提供、第三者からの受領時の記録・保存
⑧ 個人情報データベース等不正提供罪の新設
⑨ 個人情報保護委員会の設置、監督権限の一元化
⑩ 国境を越えた法適用
⓫ 外国事業者への第三者提供
⑫ 開示請求権等の明確化
◆改正法への対応――本人同意を得る必要がある場面に即して
重要な点として、上記➌により、これまで5000件を超える個人データを取り扱ってこなかった事業者も、個人情報取扱事業者として法令の適用を受ける可能性がある。そういった事業者は、いわばゼロから法令に対応することが必要となる。この点については、個人情報保護委員会が「中小規模事業者向け 個人情報保護法の5つの基本チェックリスト」というパンフレットを公表している。新たに個人情報取扱事業者に該当する事業者には、ひとまずそのパンフレットを参照いただくとして、ここでは、すでに個人情報取扱事業者として現行法への対応が済んでいる事業者の改正法対応について若干触れておきたい。もっとも、改正は上記のとおり多岐にわたる。それゆえ、すべてを網羅するのではなく、ここでは、改めて本人同意を取得する必要があるのはどのような場合か、という観点に絞って検討してみたい。
◆本人の同意の意味
まず、「本人の同意」の意味を確認しておこう。この点については、ガイドライン「通則編」に説明がある。「通則編」は、従来の経産省ガイドラインを基本的に踏襲したもので、「本人の同意」の説明はそのときと変わっていない。
個人情報保護委員会のガイドラインによれば、「『本人の同意を得(る)』とは、本人の承諾する旨の意思表示を当該個人情報取扱事業者が認識することをいい、事業の性質及び個人情報の取扱状況に応じ、本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な方法によらなければならない。」とされている(ガイドライン「通則編」24ページ)。要するに、プライバシーポリシー等をウエブサイトで掲示したり、一方的にメールで送付したりするだけでは足りない。
「同意を得た」とはどのような場合か、ガイドラインの同ページに掲載されている。「本人からの同意する旨の書面(電磁的記録を含む。)の受領」、「本人からの同意する旨のメールの受信」、「本人による同意する旨の確認欄へのチェック」、「本人による同意する旨のホームページ上のボタンのクリック」などが「同意を得た」と言える例として並んでいる。
◆本人の同意が必要な場面
では、いかなる場面で本人の同意が必要か。現行法(改正前の法律)で同意が必要なのは、基本的に次の二つの場合である(例外等もあるがここでは説明を省略)。
【現行法で本人の同意が必要な場合】
(i) 目的外利用をする場合(現行法16条)
(ii) 個人データを第三者に提供する場合(現行法23条)
では、改正法の下ではどうか。改正法では、基本的に次の四つの場合に必要である。
【改正法で本人の同意が必要な場合】
(上記(i),(ii)の二つの場面に加えて)
(iii) 要配慮個人情報を取得する場合(改正法17条2項)
(iv) 外国にある第三者へ個人データを提供する場合(改正法24条)
◆本人の同意取得に関して対応が必要な場合
以上から、現行法にすでに対応している事業者であっても、要配慮個人情報を取り扱っている事業者や、外国にある第三者に個人データを提供している事業者は、あらたに本人の同意を取得する必要性について検討すべきことになる(例外などもあるため、必ず同意取得が必要になるわけではない)。
以下では、これらの点について簡単に説明する。
要配慮個人情報
要配慮個人情報とは、従来センシティブデータと言われてきた概念である。ガイドライン「通則編」12ページ以下によれば、「『要配慮個人情報』とは、不当な差別や偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして次の(1)から(11)までの記述等が含まれる個人情報をいう。
(1)人種
(2)信条
(3)社会的身分
(4)病歴
(5)犯罪の経歴
(6)犯罪により害を被った事実
(7)身体障害、知的障害、精神障害(発達障害を含む。)その他の個人情報保護委員会規則で定める心身の機能の障害があること
(8)本人に対して医師等により行われた疾病の予防及び早期発見のための健康診断その他の検査の結果
(9)健康診断等の結果に基づき、又は疾病、負傷その他の心身の変化を理由として、本人に対して医師等により心身の状態の改善のための指導又は診療若しくは調剤が行われたこと
(10)本人を被疑者又は被告人として、逮捕、捜索、差押え、勾留、公訴の提起その他の刑事事件に関する手続が行われたこと
(11)本人を非行少年又はその疑いのある者として調査、保護処分等の少年の保護事件に関する手続が行われたこと
個々の項目の説明は省略するが、これらの情報を取り扱う事業者は、その取得にあたって本人の同意を得る必要がある。ただし、第三者提供にあたっては現行法の下でも原則として本人同意が必要とされている。それゆえ、事業者Aが事業者Bに対して要配慮個人情報を提供するに当たり、事業者Aがすでに本人から同意を得ている場合、提供を受ける事業者Bが改めて本人から同意を得る必要はないと考えられる(ガイドライン「通則編」36ページ※2参照)。また、同ガイドラインは、「個人情報取扱事業者が要配慮個人情報を書面又は口頭等により本人から適正に直接取得する場合は、本人が当該情報を提供したことをもって、当該個人情報取扱事業者が当該情報を取得することについて本人の同意があったものと解される。」(つまり改めての同意取得は不要)としている。ここではガイドラインの言う「適正」の意味が問われうる。事案にもよるが、事業者として無難な方法として、たとえば、利用規約に対して同意のクリックを得る際に、あわせて要配慮個人情報に該当する個人情報の提供に(あえて)同意したことがわかるようクリックしてもらう画面表示を工夫することも考えられる。
なお、要配慮個人情報の提供にあたっては、一般的な個人データの提供の場合と異なり、オプトアウトは使えないので注意が必要である。
外国にある第三者への個人データの提供
提供先の第三者が外国にある法人等の場合には、法23条が定める一般的な第三者提供の同意とは別に、「外国にある事業者等に提供すること」を明確にしたうえで本人から同意を得る必要がある(ガイドライン「外国にある第三者への提供編」5ページ)。法23条の第三者提供の場合には、委託、事業承継の場合には「第三者」には該当しないといった適用範囲の問題や、オプトアウトによる提供といった例外がある。しかし、外国にある第三者への個人データの提供の場合には、そういった適用除外や例外はない点に注意が必要である。したがって、たとえば、委託のために外国にある第三者へ個人データを提供する場合にも本人同意を得る必要がある。
「外国にある第三者」の例外
法律の定める例外に該当すれば、外国にある事業者への個人データの提供であっても、「外国にある事業者等に提供すること」の同意を得る必要はない(一般的な法23条の同意は必要)。このような例外の類型は法律上2種類用意されており、国単位での例外と事業者単位での例外が予定されている(改正法24条)。
国単位での例外の仕組みから、EU各国とか米国の事業者については、24条の同意は不要になるルールが採用されるものかと事前には想定していた。しかし、個人情報保護委員会のガイドラインでは、国単位での例外の仕組みは差し当たり取り入れられていない(上記ガイドライン2ページ)。この点について、個人情報保護委員会は、パブコメの結果として、「様々な国において制度の見直しが行われていることもあり、また、詳細かつ多角的な調査・検討が必要であることから、今後、継続的に検討してまいります」としている。
それゆえ、それらの事業者は、現時点では国単位での例外の適用はないため、事業者単位での例外に該当するか否かを検討することになる。
事業者単位での例外に該当するためには、改正法24条によれば、「個人データの取扱いについてこの節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者」である必要がある。
これを受けた規則の11条は次のように定めている。
個人情報の保護に関する法律施行規則 11条
法第24 条の個人情報保護委員会規則で定める基準は、次の各号のいずれかに該当することとする。
(1) 個人情報取扱事業者と個人データの提供を受ける者との間で、当該提供を受ける者における当該個人データの取扱いについて、適切かつ合理的な方法により、法第4章第1節の規定の趣旨に沿った措置の実施が確保されていること。
(2) 個人データの提供を受ける者が、個人情報の取扱いに係る国際的な枠組みに基づく認定を受けていること。
上記の(1)は、改正個人情報保護法15条から同35条までの規定の趣旨に沿った措置の実施が確保されていることを要求している。上記の(2)は、OECDプライバシーガイドラインやAPECプライバシーフレームワークといった国際的な枠組みの基準を意味している。
上記の(1)が示す改正法15条から同35条には、個人情報の開示請求権(改正法28条)なども含むから、たとえば、国際的枠組基準での認定を受けていない企業で開示請求権に対応していない企業などは、事業者単位での例外には該当しないことになる。
それゆえ、たとえば、日本企業が、海外の関連会社に個人データを提供する場合であって、提供を受けた関連会社にとって個人データが保有個人データに該当するのに開示請求への対応措置をとっていない場合などには、提供者が本人からの同意を得る必要があることになる。
以上
※ 本コラムの作成にあたり、原稿段階で 牧田潤一朗 弁護士からコメントをいただいたので、ここに謝意を表しておきたいと思います。もっとも、文責はあくまでも筆者にあります。
■ 弁護士 二関辰郎のコラム一覧
法的若しくは専門的なアドバイスを目的とするものではありません。
※文章内容には適宜訂正や追加がおこなわれることがあります。