【2022年】改正個人情報保護法ガイドラインの重要ポイントを解説
「個人情報の保護に関する法律についてのガイドライン」は、事業者が個人情報を適切に扱えるよう支援を目的としており、個人情報保護法をかみ砕いて具体的な指針となる情報をまとめたものです。
ここでは、ガイドラインを読み進めるにあたり必要な前提知識をまとめつつ、特に事業者にとって重要なポイントを取り上げます。
なお、本記事は現行法のガイドラインに基づいた解説であり、令和3年の夏頃に発表を予定されている「改正法のガイドライン」を基準としたものではない点にご留意ください。
1. 施行のスケジュールと今回の改正ポイント
ここからは令和3年5月19日に公表された改正個人情報保護のガイドラインについて、重要ポイントを解説します。
なお、より即効性のあるアクションとして、個人情報保護委員会が「自己点検チェックリスト」を公開しています。自社の個人情報の取り扱い方を素早く見直す場合には、本記事の5章「自己点検チェックリストとガイドラインの活用」をご参照ください。
今回の改正ポイント
今回の改正で、事業者が知っておくべきポイントは以下の6点です。
- 個人の権利利益の保護
- 事業者の不適正利用の禁止
- 漏えい時の個人情報保護委員会への報告
- 仮名加工情報の創設
- 個人情報を第三者へ提供する際の同意・確認義務付け
- 越境移転時に移転元が講ずべき措置
【個人の権利利益の保護】
改正により、個人が持つ「自身の個人情報の取り扱いに関する権利(利用停止・消去などの請求権)」が強化されました。既存の法違反の場合だけでなく、「個人の権利又は正当な利益が害されるおそれがある場合」にも請求が行えるよう条件が緩和されており、事業者は増加するであろう各種請求への対応フローを準備しておく必要があります。
ガイドラインでは請求が認められる事例と認められない事例について、いくつか具体的に触れられました。それぞれ一つずつご紹介します。
- 認められる事例:電話勧誘を受けた本人が、電話勧誘の停止を求める意思を表示したにもかかわらず、個人情報取扱事業者が本人に対する電話勧誘を繰り返し行っていることから、本人が利用停止等を請求する場合
- 認められない事例:過去に利用規約に違反したことを理由としてサービスの強制退会処分を受けた者が、再度当該サービスを利用するため、当該サービスを提供する個人情報取扱事業者に対して強制退会処分を受けたことを含むユーザー情報の利用停止等を請求する場合
【事業者の不適正利用の禁止】
事業者が法に違反したり公序良俗に反したりする形で個人情報を取り扱うことについて、以下の通り禁止が明文化されました。
「個人情報取扱事業者は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない。」
こちらもガイドラインで具体例に触れられており、ここでは2つご紹介します。
- 違法な行為を営むことが疑われる事業者(例:貸金業登録を行っていない貸金業者等)からの突然の接触による本人の平穏な生活を送る権利の侵害等、当該事業者の違法な行為を助長するおそれが想定されるにもかかわらず、当該事業者に当該本人の個人情報を提供する場合
- 裁判所による公告等により散在的に公開されている個人情報(例:官報に掲載される破産者情報)を、当該個人情報に係る本人に対する違法な差別が、不特定多数の者によって誘発されるおそれがあることが予見できるにもかかわらず、それを集約してデータベース化し、インターネット上で公開する場合
後者は2019年3月に話題となった「破産者マップ」を念頭に置いた事例だと推測されます。法違反に限らず、「不当な行為」を助長・誘発する際も対象とされている点に注意しましょう。
【漏えい時の個人情報保護委員会への報告】
事業者が個人データの漏えい等のインシデントを発生させてしまった際、以下の条件のいずれかに当てはまるケースでは、個人情報保護委員会へ速やかに報告するよう義務付けられました。
- 要配慮個人情報が含まれる個人データ(高度な暗号化その他の 個人の権利利益を保護するために必要な措置を講じたものを除く。以下この条及び次条第 1 項において同じ。)の漏えい、滅失若しくは毀損(以下「漏えい等」という。)が発生し、又は発生 したおそれがある事態
- 不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態
- 不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態
- 個人データに係る本人の数が千人を超える漏えい等が発生し、又は発生したおそれがある事態
ガイドラインでは報告を要する事例の具体例に触れられているほか、「速やかな報告」について、下記の2段階を目安にすると設定されています。
- 速報:当該事態を知った時点から概ね3~5 日以内
- 確報:30日以内(一部例外のみ60日以内)
参考:個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」
【仮名加工情報の創設】
個人のプライバシー保護を尊重しつつも、企業による個人情報の利活用を妨げないための枠組みとして「仮名加工情報」が新設されました。
従来の匿名加工情報と個人情報の中間に位置する制度で、個人情報を特定の基準に則り加工することを条件に、利用目的の変更の制限などいくつかの義務の適用対象外となるデータを指します。詳細は、本記事6章「ガイドラインを読む際に押さえておくべき定義一覧」にて解説しております。
ガイドラインでは、加工基準について具体的な事例に触れられています。
・会員 ID、氏名、年齢、性別、サービス利用履歴が含まれる個人情報を加工する場合に次の措置を講ずる。
1)氏名を削除する。・氏名、住所、生年月日が含まれる個人情報を加工する場合に次 の 1 から 3 までの措置を講ずる。
1)氏名を削除する。
2)住所を削除する。又は、○○県△△市に置き換える。
3)生年月日を削除する。又は、日を削除し、生年月に置き換える。
【個人関連情報を第三者へ提供する際の同意・確認義務付け】
新たに「個人関連情報」という定義が新設され、その提供に規制がかかることになりました。
個人関連情報とは、「生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないもの」を指します。具体的には、Cookie情報や(氏名に結びつかない)インターネットの閲覧履歴、IPアドレスなどが該当します。
これまでグレーゾーンだったCookieの取扱いに、明確なルールが定められたと解釈できるでしょう。
具体的には、提供元において個人データでなくとも、提供先において個人データとなることが想定される場合には本人の同意を得ることが必須となりました。ガイドラインでは「同意取得の主体」と「同意取得の方法」について、以下のように触れられています。
- 同意取得の主体:原則として、情報を利用する主体となる提供先が同意を取得する。
(ただし、提供元による同意取得の代行は許容される) - 同意取得の方法:同意取得にあたっては、対象となる個人関連情報の範囲を特定できるように示した上で、明示の同意である必要がある。
(提供元が同意取得を代行する場合には、上記に加えて、提供先の第三者を個別に明示する必要がある)
参考:個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」
2. 個人情報および匿名加工情報取扱事業者の義務
個人情報を取り扱うにあたり、個人情報取扱事業者はいくつかの点で義務を負わなければなりません。そのなかで特に重要度の高い義務を抜粋して説明します。
個人情報取扱事業者の義務 |
特に重要度の高い事項(抜粋・改編) |
個人情報の利用目的 |
個人情報の利用目的は具体化して明示し、変更前との関連性が合理的に認められる範囲を超えて利用目的の変更を行ってはならない |
個人情報の取得 |
不正な手段により個人情報を取得してはならず、特定の場合を除き利用目的を公表・通知しなければならない |
個人データの管理 |
個人データは正確性・新しさ・安全性を保つよう管理し、不要になった場合は遅滞なく削除するよう努めなければならない |
個人データの第三者への提供 |
特定の場合を除き、本人の同意を得ないまま第三者へ個人データを提供してはならない |
保有個人データにまつわる公表・開示・訂正・利用停止など |
個人情報取扱事業者の名称、全ての保有個人データの利用目的の通知・請求手続きなどは本人が確認できる状態にしなければならない |
個人情報の取扱いに関する 苦情処理 |
個人情報の取り扱いに関する苦情を、いち早く適切に処理できるよう努めなければならない |
匿名加工情報取扱事業者等の義務 |
匿名加工情報は適切な加工を行い、かつ加工方法などの情報は安全管理措置を講じること。また第三者に提供する場合は匿名加工情報であることを明示しなければならない |
参考:個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」、「個人情報の保護に関する法律についてのガイドライン(匿名加工情報編)」
それぞれ複数の項目から特に重要度の高い義務を抜粋したものであるため、全文を参照する場合はガイドラインの「個人情報取扱事業者の義務」をご参照ください。また、匿名加工情報取扱事業者等の義務に関して詳しく確認する場合は、ガイドラインの「匿名加工情報編」を参照してください。
3. 漏えい等が発生した場合の対応について
改正前と共通ですが、ガイドラインには「漏えい等の事案に対応する体制の整備」として、情報漏えい時はどのような手法で対応すべきか一例が示されています。以下は、対応の具体例として挙げられたものです。
- 事実関係の調査・原因究明
- 影響を受ける恐れのある本人への連絡
- 個人情報保護委員会など特定組織への報告
- 再発防止策の検討と決定
- 事実関係・再発防止策などの公表
特に中小企業は漏えい発覚時の対応が未整備になっている可能性があるため、有事の際にどのような経路で連絡・報告を実施するのか定めておく必要があります。より詳細な事項については、ガイドラインとは別に「個人データの漏えい等の事案が発生した場合等の対応について」で公開されています。
4. ガイドライン・事案発生時に関するQ&A
下記にまつわるQ&Aのうち、特に基本的な項目だと判断されたものは「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&Aより(抜粋)」に質問と回答が抜粋して記述されています。(※2021年07月時点では、改正前と共通の内容)
- 個人情報の保護に関する法律についてのガイドライン
- 個人データの漏えい等の事案が発生した場合等の対応について
以下のような目次形式になっており、質問箇所をクリックすると回答が記載されたページへジャンプできるため、個人情報の扱いに関して疑問点があった場合に適切な対応を確認できます。
出典:個人情報保護委員会「「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&Aより(抜粋)」
5. 自己点検チェックリストとガイドラインの活用
自社の個人情報の取り扱いが適切か否かを確かめられるよう、中小企業を想定した「自己点検チェックリスト」が個人情報保護委員会から公開されています。チェックリストとして7つの項目が用意されており、各項目に対してガイドラインの参照先が記されているため、いち早く現状の体制を見直すために活用できます。
こちらも改正前から存在するもので、今回の改正の内容すべてをチェックできるものではありません。しかし、このチェックリストに記載されている内容は企業のプライバシー保護の基本となるもので、いずれも押さえておくべき重要な事項です。
まずは自己点検チェックリストを利用し、現状のどこに重大な問題がありそうなのか把握しましょう。重点的に見直すべき点が把握できたら、ガイドラインの対応箇所を参照しつつマニュアルの作成・修正を進めると、効率的に体制作りを実施できるでしょう。
6. ガイドラインを読む際に押さえておくべき定義一覧
最後に、ガイドラインに頻出する用語のうち、その定義が一般的に知られていないものを一覧で解説します。本章で紹介する定義は、ガイドラインに目を通す前に確認しておくことをおすすめします。
<定義一覧>
- 仮名加工情報
- 仮名加工情報取扱事業者
- 匿名加工情報
- 匿名加工情報取扱事業者
- 個人情報
- 個人識別符号
- 要配慮個人情報
- 個人情報データベース等
- 個人情報取扱事業者
- 個人データ
- 保有個人データ
仮名加工情報
これまでにも存在した「匿名加工情報」と「個人情報」の中間に位置づけられており、
「他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報」
出典:個人情報保護法第2条第5項
と定義されています。
具体的には、氏名等の情報を削除し単体では個人が特定できないようにしたデータで、内部利用に限るなどの制限はあるものの、消費者からの各種請求への対応義務などが緩和されます。企業としては、仮名加工情報の活用がビジネス上の競争力を保つうえで重要となるでしょう。
仮名加工情報取扱事業者
仮名加工情報取扱事業者とは、以下の定義を満たすものを意味します。
「「仮名加工情報取扱事業者」とは、仮名加工情報を含む情報の集合物であって、特定の仮名加工情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の仮名加工情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの(第41条第1項において「仮名加工情報データベース等」という。)を事業の用に供している者をいう。ただし、第2項各号に掲げる者を除く。」
出典:個人情報保護法第16条第5項
仮名加工情報を取り扱う事業者を幅広く指しています。見落とされがちなポイントとして、以下の3点に注意しましょう。
参考:個人情報保護委員会「第174回 個人情報保護委員会 資料2-5個人情報の保護に関する法律についてのガイドライン(匿名加工情報編)の一部を改正する告示(案)」
- パソコンを使っていなくても、整理・分類の状態によっては該当する
- 営利目的・非営利目的を問わず該当する
- 企業のみならず、法人以外の団体や個人であっても該当する
匿名加工情報
匿名加工情報とは、個人情報に含まれる記述を削除したり、個人識別符号を削除したりして復元できない状態にしたものです。具体的には、以下のどちらかの加工を行ったものと定義されています。
「第1項第1号に該当する個人情報 当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。」
「第1項第2号に該当する個人情報 当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。」
出典:個人情報保護法第2条第6項
仮名加工情報が「ほかの情報と照合すれば個人特定が可能なデータ」であるのに対して、匿名加工情報は「完全に個人を特定できず、復元も不可能なデータ」を指します。加工の条件が厳しい代わりに取り扱いの自由度は高く、たとえば所定条件下での本人同意なしの第三者提供が可能です。
匿名加工情報取扱事業者
匿名加工情報取扱事業者とは、匿名加工情報を容易に検索できるよう体系的にまとめたものを事業のために反復して利用している事業者を指します。法文による定義は以下の通りです。
「匿名加工情報を含む情報の集合物であって、特定の匿名加工情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の匿名加工情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの(第43条第1項において「匿名加工情報データベース等」という。)を事業の用に供している者をいう。ただし、第2項各号に掲げる者を除く。」
出典:個人情報保護法第16条第6項
ガイドライン上の仮名加工情報事業者に関する記述から、匿名加工情報事業者の場合も、以下の3点は当てはまると考えられます。自社が知らないうちに該当していないか注意すべきです。
- パソコンを使っていなくても、整理・分類の状態によっては該当する
- 営利目的・非営利目的を問わず該当する
- 企業のみならず、法人以外の団体や個人であっても該当する
参考:個人情報保護委員会「第174回 個人情報保護委員会 資料2-5個人情報の保護に関する法律についてのガイドライン(匿名加工情報編)の一部を改正する告示(案)」
個人情報
個人情報とは、特定の個人を識別できる情報全般のことです。法文では、以下のどちらかに該当するものと定義されています。
- 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第2号において同じ。)で作られる記録をいう。以下同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
- 個人識別符号が含まれるもの
出典:個人情報保護法法第2条第1項
氏名や生年月日などの個人を識別する情報のみを指すのではなく、「個人を識別できる情報を含むデータ全体」が該当します。言い換えれば、氏名や生年月日を削除すれば、ただちに個人情報でなくなるわけではありません。
また、ほかの情報との照合で容易に個人を識別できる情報を含むデータ全体も、個人情報に分類されます。これらを踏まえると、個人情報は以下のように2つの表現で説明できます。
- 単体、あるいは別の情報との照合で容易に個人を識別できる情報が含まれるもの
- 個人識別符号が含まれるもの
個人識別符号
個人識別符号とは、以下2つの条件に該当する情報を指す言葉です。
「一 特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの」
「二 個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行されるカードその他の書類に記載され、若しくは電磁的方式により記録された文字、番号、記号その他の符号であって、その利用者若しくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ、又は記載され、若しくは記録されることにより、特定の利用者若しくは購入者又は発行を受ける者を識別することができるもの」出典:個人情報保護法法第2条第2項
こちらは政令・規則による「限定列挙(政令・規則で挙げられたもの以外は該当しない)」を用いて、厳密に定義されています。
法律上の解説だけでは理解が難しいため、具体的な例をいくつかご用意しました。まずは上記画像の「一」に該当するものの一例をご紹介します。
- DNAを構成する塩基の配列
- 顔の骨格・皮膚の色・顔の部位の位置や形状により決まる容貌
- 虹彩(眼球の色のある部分)の起伏による線状の模様
このほか、発声時の声帯の振動や歩行時の姿勢など、身体的特徴にまつわる文字・番号・記号も個人識別符号の「一」に分類されます。個人識別符号のうち「二」に該当するものは、以下のような情報です。
- 旅券(パスポート)の番号
- 基礎年金番号
- 運転免許証の番号
上記を始め、住民票コードや個人番号、国民健康保険の被保険者証の番号も「二」に該当する個人識別符号です。
要配慮個人情報
要配慮個人情報とは、本人に対する差別・偏見が生じないよう取り扱いに配慮すべき個人情報を指します。個人識別符号同様に、限定推挙にて定義されています。
以下、要配慮個人情報に該当する具体例をいくつか挙げました。
- 人種・信条(思想や信仰)・社会的身分
- 病歴・心身の機能の障害がある事実
- 犯罪歴・犯罪に遭遇した事実
一部例外を除き、本人の同意を得ない要配慮個人情報の取得や第三者提供は禁止されています。なお、要配慮個人情報と個人情報の違いについては、以下の記事でも詳しく解説しております。
個人情報データベース等
個人情報データベース等は、特定の個人情報を容易に検索できるよう体系的にまとめられたものです。個人情報を含む情報の集合物であって、以下のどちらかに該当するものを指します。
「特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの」
「前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの」
出典:個人情報保護法第16条1項
ただし、法律・規定に違反しておらず、不特定多数に販売するために発行されたもの、不特定多数が随時購入できる・購入できたなど一定の条件を満たすものは個人データベース等に該当しません。
たとえば、メールアドレスと氏名を紐付けたアドレス帳は個人情報データベース等に該当しますが、市販されている電話帳は個人情報データベース等に該当しません。
個人情報取扱事業者
個人情報取扱事業者とは、営利・非営利を問わず個人情報データベース等を事業のために継続して利用している事業者を指す言葉で、個人や法人にかかわらずこの定義が適用されます。
ただし、国の機関や地方公共団体、独立行政法人や地方独立行政法人などの一部の組織は、個人情報取扱事業者に分類されません。
個人データ
個人データは、個人情報データベース等を構成する個人情報のことです。
個人データについて詳しくはこちらで解説しています。
保有個人データ
保有個人データは、個人情報取扱事業者が以下の対応を実施できる権限を持った個人データを指します。
- 開示
- 内容の訂正
- 追加・削除
- 利用の停止
- 消去
- 第三者への提供の停止
ただし、次に該当する個人データやは、保有個人データに分類されません。
- 生命や身体、財産に危害を及ぼす恐れのあるもの
- 違法行為や不当行為を助長したり誘発したりする恐れのあるもの
- 国の安全が害される、また他国や国際機関との信頼関係を損ねるもの
- 他国や国際機関との交渉時に不利益を被る可能性があるもの
- 犯罪の予防・鎮圧・捜査など安全と秩序の維持に支障が及ぶ恐れのあるもの
従来は6ヶ月以内に削除される個人データも保有個人データに分類されませんでしたが、改正により、例外とならないよう変更されました。「削除するから大丈夫」と誤解しないように注意しましょう。
7. まとめ
個人の権利の強化や第三者提供にまつわる変更、仮名加工情報や個人関連情報の新設など、今回の改正で変更されるポイントは多岐にわたります。どのような義務が課せられているのか、どのような対応を取るべきなのか正しく理解しておくことが欠かせません。
本記事と、随時更新されるガイドラインやQ&Aを参考に、自社の情報管理体制の見直しを進めてください。
公開日:2021年1月26日
パーソナルデータの取扱いにお悩みの方に
- 海外ツールは同意取得バナーがごちゃごちゃしていてわかりにくい…
- 誰にどこまで同意を取ったか管理するのが大変…
- ツールを導入するたびに手作業で全部同意を取り直すのは面倒…
- 同意は管理できても他社システムを上手く連携して使えないと…
で、すべて解決!