個人情報保護法について
欧州連合(EU)の GDPR は、おそらく最も知られている国際的なプライバシー法です。しかし、GDPR は初めて制定されたプライバシー法ではありません。日本の個人情報の保護に関する法律(2003 年法律第 57 号)、略称「個人情報保護法」は、GDPR が施行される 15 年前の 2003 年に可決されました。
ただし、個人情報保護法は古いまま放置されているわけではありません。2000 年に施行されたカナダの個人情報保護および電子文書法(PIPEDA)と同様、社会や技術の変化を反映するため、何度も見直しと改訂が行われてきました。実際、定期的な改訂を行う法的要求事項が存在しています。直近の改正は 2020 年に可決されました。
日本のデータプライバシー法は、GDPR やブラジルの LGPD などの法律と類似していますが、米国の州レベルの法律、特に域外適用範囲や特定の種類の個人情報の取り扱いを規制するさまざまな同意要件に関する法律とも類似点があります。
個人情報保護法とは
日本の個人情報保護法は、政府機関、企業、非営利団体など、個人および組織による個人情報の取り扱いを規制するための国家的な個人情報保護法です。この法律は、個人情報保護法が施行されてから 2 年後の 2005 年に設立された独立行政機関である個人情報保護委員会(PPC)によって監督されています。
個人情報保護法では、個人情報を収集する組織に対し、その情報が機密性の高い情報である場合や、第三者または日本国外に転送する場合などに限り、個人情報を収集、使用、または共有する前に本人の同意を得ることを義務付けています。米国の法律と同様、多くのケースにおいて、機密性の高い情報ではない、またはその他の基準を満たしている個人情報については、収集や使用の同意を得る必要はありません。
この法律には、収集されたすべての個人情報を保護するために講じるべきセキュリティ対策の要件があります。しかし全体としては、データ侵害が発生した場合に必要な特定の対処などについて、多くの法律よりも厳格さを欠きます。最新の改正個人情報保護法ではこの点に変化が見られます。こうした要件は今後も進化し続けると見込まれます。
個人情報保護法の適用範囲
2003 年に制定された当初の個人情報保護法は、過去 6 ヵ月間に 5,000 人以上の特定可能な個人の個人情報が含まれるデータベースを保有していた事業者のみを対象としていました。
しかし、この制限は直近の改正で廃止されています。商業目的で個人情報を処理するすべての事業者は、個人情報の処理数にかかわらず、個人情報保護法の対象となります。
個人情報保護法の域外適用
個人情報保護法は、日本国民の個人情報を収集または使用するすべての「個人情報管理者」(PIC)に適用されます。この法律は域外適用されるため、企業やその他の組織が日本に拠点を置いているかどうかは関係ありません。個人情報保護法は、特に業務上または商業上の目的による個人情報の処理に適用されます。また、さまざまな団体や用途がこの法律の対象外となっており、これには政府や報道機関などが含まれます。
国境を越えるデータの転送
2020 年に成立した直近の個人情報保護法の改正で、国境を越える情報の転送に関する追加の規制が導入されました。日本の法律の対象となる企業は、個人情報を日本国外に転送する場合、事前に十分な情報に基づいたオプトイン同意を当該個人から得るか、もしくは、個人情報を受け取る外国事業体とともに、「個人情報保護システム」を確立する必要があります。
個人情報保護システムの一環として、日本国外に個人情報を転送する企業は、情報を受け取る外国事業体と契約を締結する必要があります。これにより、契約に定められたセキュリティおよびデータ保護対策の遵守、および個人情報保護法の要件への準拠が保証されます。
国境を越える転送へのオプトインに関する同意を得るには、個人に以下の内容を通知する必要があります。
- 個人情報の転送先となる国のプライバシーおよびデータ保護に関する規制
- 個人情報の保護を保証するために、企業が実施し、維持するセキュリティ対策
- 個人情報保護委員会(PPC)により関連するとみなされるその他の情報
個人情報が国外の第三者に再度転送される場合、送信側の PIC は、すべての第三者が PIC および送信元のセキュリティおよびプライバシー対策に準拠していることを保証する必要があります。
定義および関係当事者
データ主体
個人情報の主体(多くの場合、情報源)である個人。
個人情報
日本のデータプライバシー法の下では、個人情報(その他の一部の法律における「個人データ」と同じ)には、単一のデータポイントまたは結合されたデータポイントを介して、生存中の個人を特定するために使用できるあらゆる情報が含まれます。これには、手動または自動で処理される、デジタル形式および物理形式の情報が含まれます。
例としては、氏名、電子メールアドレス、生年月日などのデータが挙げられます。さらに、コンピューターによって生成され、識別に使用される番号、コード、または記号を含む別のカテゴリである「個人識別コード」を含む情報、またはこれにリンクされた情報も該当します。これには、個々のレコードのデータベース ID のような一意の識別子から指紋スキャンにいたるさまざまな情報が含まれます。
国境を越えて情報を転送する場合を除き、PIC がこの種の情報を収集する前にオプトインについて同意を得る必要はありません。ただし、PIC は、収集する情報の内容とその目的を通知する必要があります。また、PIC は同意の選択ができるようにしなくてはなりません。
機密性の高い個人情報
数多く存在する他の最近のプライバシー法と同様、個人情報保護法では、直近の改正で機密性の高い個人情報(「特別な配慮が必要な個人情報」とも呼ぶ)について明確化が行われています。これは、悪用されれば、差別やその他の危害を加えるために使用される可能性のある個人情報を指します。これには、人種、医療や健康情報、犯罪歴、信用履歴などの情報が含まれます。
個人情報保護法の定義は、他の法律と比較すると、社会的な情報や民族的な情報に偏っており、
財務情報、生体情報、位置情報などは含まれません。
個人関連情報
直近の改正で導入された個人関連情報は、個人に関連する情報ですが、それだけで個人情報とみなされるほどの特定性はなく(ただし、他のデータと組み合わせた場合にその可能性がある)、仮名/匿名情報とみなされるほど一般的ではありません。
事業体が個人関連情報を収集する前にオプトインに関する同意を得る必要もありません。ただし、PIC は、収集する情報の内容とその目的を通知する必要があります。また、PIC は同意の選択ができるようにしなくてはなりません。
個人データ
個人情報を簡単に検索可能なデータベースに格納されている個人情報(電子的方式などによる「個人情報データベース」)。
仮名加工情報
データ主体が特定されない方法で処理された個人情報(そのデータのみに基づく)。一般的に他の情報と照合してもデータ主体を特定できないものと理解されいてる「匿名加工情報」と異なり、他の情報と照合した場合にデータ主体を特定することが可能です。
個人情報管理者(PIC)
事業活動に個人情報データベースを使用する事業者。「個人情報を取り扱う事業者」と表される場合もあります。
興味深いことに、他のプライバシー法での一般的な用語である「データ処理者」は、個人情報保護法では特に定義されていません。データ処理者とは、具体的に定義された目的(広告、メーリングサービスなど)を達成するために、特定の範囲内で PIC に代って個人データの取り扱いを委託された事業体を示します。
日本の個人情報保護法に基づく有効な同意の条件
個人情報管理者は、個人情報を収集する前にデータ主体に「利用目的」を通知する必要があります。PIC は、個人情報が機密性の高い情報である場合、国境を越えて転送される場合、および/またはデータを第三者に転送する場合、その個人情報を収集する前に同意を得る必要があります。ただし、いくつか例外があります。
これらの要件により、個人情報保護法は、EU の GDPR よりも米国の法律にやや近いものとなっています。たとえば、機密性の低い個人情報を収集する場合は事前に同意を求める必要はなく、多くの場合、通知とオプトアウトの選択肢のみが必要とされます。個人情報保護法では、GDPR で適用される、データ収集を正当化するための法的根拠(同意や正当な利益など)は使用されません。
個人情報保護法の近年の改正
個人情報保護法の 2015 年改正
2017 年 5 月に施行された 2015 年改正の最も注目すべき変更点は、個人情報保護委員会(PPC)の設立と個人情報保護法の 3 年ごと見直し規定の導入でした。また、個人情報保護法の域外適用も拡大されました。
個人情報保護法の 2020 年改正
2020 年改正は 2021~22 年に施行されました。この改正には、個人を特定する能力に関する個人情報(つまり、個人情報というより「個人関連」情報)の明文化に加え、仮名情報についての明確化が含まれています。また、PIC が個人情報を使用して潜在的に違法行為や不適切な行為を助長することを禁止しています。さらに、域外適用に関するさらなる明確化、個人情報を第三者に提供する場合に事前にユーザーの同意を得る要件の導入、PPC の役割の拡大、違反に対する罰則の厳格化が盛り込まれています。
個人情報保護法の下での個人的権利
データ主体は、個人情報管理者が管理する自身に関するデータに、書面で適時にアクセスする権利を持ちます。これには第三者へのデータ転送の記録が含まれますが、仮名加工情報は含まれません。以下の場合はアクセスを拒否できます。
- データ主体または第三者またはその所有物の安全を脅かす、または損傷する恐れがある
- PIC の事業活動に重大な支障をもたらす可能性がある
- 開示を禁止するその他の日本の法律に違反する可能性がある
- 国家安全保障または外交関係を危機にさらす
- 犯罪捜査の妨げとなる
データ主体は、データを改訂、修正、改正、または削除する権利を持ちます。改訂の依頼が発生から 2 週間以内に処理されない場合、データ主体は民事訴訟を通じて強制的に処理させることができます。
データ主体は、PIC が提示した以外の目的でデータを使用している場合、またはデータを不正に取得した場合、PIC に自身の個人データの使用や第三者への転送を停止するよう請求する権利を持ちます。この権利は、PIC がデータを使用する必要がなくなった場合、データ侵害が発生した場合、またはデータ主体の権利または利益の侵害の申し立てがある場合にも適用されます。
なお、仮名加工情報はこれに含まれません。また、請求が不当であるか、過度にコストがかかる、または困難である場合(すでに配布された資料の回収など)、PIC は個人データの使用停止の請求を拒否できます。
PIC は、請求に対処した場合はその旨を、請求に対処しなかった場合は、それが最善の対処であった理由を、データ主体に遅滞なく通知する必要があります。
個人情報保護法の適用除外
この日本の法律は、営利事業など個人と組織の両方に適用されますが、業務を行う過程における個人情報の取り扱いに関してのみ適用されます。「業務」とは、特定の目的のために繰り返される活動と定義され、社会的慣習の下で業務とみなされます。一般的には利益を得ることを目的としていますが、そうである必要はなく、非営利事業体も個人情報保護法の対象となります。
報道機関、専門的な執筆/報道活動、学術活動、政治活動はすべて個人情報保護法の対象外であり、放送局、新聞出版社やその他の報道機関、大学やその他の学術機関、宗教団体、政党などがこれに該当します。国家政府機関、地方政府機関、行政機関も同様に適用が除外されます。
個人情報保護法に違反した場合の罰則
個人情報保護法の 2020 年改正時点で、個人に対する罰金は 100 万円以下、企業に対する罰金は 1 億円以下に引き上げられましたが、違反に対する罰金は違反の重大度や範囲などによって異なります。
GDPR のような、収益に基づく罰金(企業の年間売上高全体の 4% など)が検討されましたが、罰金はこれまで個人情報保護法でほとんど適用されてこなかったため、最終的には盛り込まれませんでした。
個人情報保護法の施行の管理
個人情報保護委員会(PPC)は、2005 年の個人情報保護法改正で設置され、日本国民のデータおよびプライバシー保護の主要なアドバイザーとして、調査、執行を担っています。主な義務と権限は次のとおりです。
- 個人およびその個人情報を保護するため、個人情報保護法の要件に従った個人情報の適切な取り扱いを確保する
- データ侵害の報告を受け、調査を開始する
- 匿名化されたデータや個人の情報管理者の活動を含む、PIC 活動の調査を開始する
- 権利侵害の疑いまたは申し立てがある場合に、PIC に命令を出し、助言を行う
- PIC に対し、調査の過程で報告、文書化などの提供を求める
- 外国のデータ保護規制当局に情報を提供する
- 限られた量において、情報を海外犯罪捜査に利用できるようにする
- 限られた状況で、関係大臣に調査権限を委任する
データ侵害の通知
データ侵害やプロトコルに関する日本の個人情報保護法の要件は、多くの外国の法律ほど厳しくありません。法律ではこれらの事象のベストプラクティスのアクションの原則が規定されていますが、通常は、PIC に各ケースに応じて特定のアクションを決定させます。直近の改正により、いくつかの法的要件も追加されました。
法的要件を問わず、データセキュリティインシデントへの対応が悪いと、企業の評判、収益、パートナーシップ、顧客関係などに大きな影響を与える可能性があります。そのため、そうしたインシデントを迅速、徹底的、かつ専門的に処理するモチベーションは、あらゆる国で依然として有効です。
PIC が関与する第三者(データ処理者など)による侵害がある場合、インシデントの通知義務と是正義務は PIC が負います。
個人情報保護法には、個人情報の破壊、損傷、漏えいの事象、またはそのいずれかが起こる可能性について取り扱うデータ損失ガイドラインがあります。これも、法的な義務ではなく、以下を行うためのベストプラクティスです。
- PIC 内のインシデントを報告する
- インシデントの原因と関連情報を調査する
- PIC の影響を受けるシステムを特定する
- 影響を受けるデータ主体を特定する
- データ主体への損害を防止する措置、または第三者が悪化することを防ぐための措置を講じる
- 最初のインシデントを許したセキュリティ上の脆弱性に起因する再発または他のインシデントを防止する対策を速やかに計画して実施する
- 以下の場合を除き、影響を受ける可能性のあるデータ主体に通知する
- 影響を受けるデータが高度に暗号化されている場合
- データ主体や関連する第三者へのさらなる損害を防止することを目的として、データ主体がインシデントに関する情報を利用できる場合
- インシデントについての関連情報と再発防止のために講じられた対策を公表する
- 以下の場合を除き、PPC に速やかに通知する(Web フォームを介して実行)
- 関連するデータが暗号化されている場合
- データが、第三者がアクセスする前に PIC によって回収された場合
- 影響を受けたデータから、個人が特定されたり、データ主体が危害を受けたりする恐れがない場合
- インシデントが PIC 内のみで、外部にデータが漏えいしていない場合
- 漏えいが重大でなく、害を及ぼす可能性がほとんどない場合
直近の改正により、データ侵害に以下が含まれる場合、個人情報保護委員会に違反を報告する必要があることに留意してください。
- 1,000 人を超える個人の個人情報
- 機密性の高い情報
- 重大な経済的損失をもたらす可能性のある財務情報
- 悪意のある意図、つまりランサムウェアのような「不当な目的」で行われた攻撃
特定の要件を満たすデータ侵害については、経時的に追加される規定の通知要件も存在します。
データ保護オフィサー
多くの状況下でデータ保護オフィサー(DPO)の選任が義務付けられている他の法律とは異なり、個人情報保護法にはこのような要件は特に含まれていません。しかし、DPO を選任することが、個人情報の取り扱いに対する適切なセキュリティ対策を実施し、維持することを義務付けている、同法の一般的ガイドラインの要件に役立つ場合があります。このようなセキュリティ対策の例として顕著なのが、「個人情報の取り扱いを担う人物の選任と、その人物の責任の定義」です。これは、かなり DPO に近い役割と思われます。
個人情報保護法の下では、さまざまなセキュリティ対策が必須であるかどうかは、侵害が発生した場合にデータ主体が被る可能性のあるリスクや損害の程度に加え、企業の規模と性質、データ処理の性質と量によって異なります。これは一般的な規定であり、こうした考慮事項が違反に対する罰則を特徴づける傾向があります。
一部の業界や個別の組織は、法律で義務付けられていない、または認定承認されていないが、データプライバシーを強化することを意図して、そうした役割の独自のガイドラインと資格を設けています。
個人情報保護法と同意管理
個人情報保護法では、個人情報を収集する前にデータ主体への通知を義務付けています。すべてのケースで同意が必要なわけではありませんが、いくつかの重要なケースでは同意を得る必要があります。また、データ収集に明示的な同意が必要ない場合でも、オプトアウトの選択肢が必要となります。通知や同意の選択はいずれも、同意管理プラットフォームで管理します。
ユーザーには、データの収集方法と使用方法に加え、この情報が最新の状態に維持されることが明確に通知されます。ユーザーは同意・非同意を選択できます。選択は安全に保存され、後で更新が可能です。これらの機能は自動化されており、非常に頻繁に更新される個人情報保護法のような法律には特に役立ちます。
まとめ
数多くの他の法律と同様、すでに GDPR に準拠している企業は、個人情報保護法に十分に準拠できる体制にあり、いくつかの点においては義務付けられている以上の範囲をカバーしています。多くの場合、データ収集の前に同意を得る義務がない可能性がありますが、同意は通知とともに重要であり、法的根拠が定義されていない場合でもベストプラクティスであると考えるべきです。
個人情報保護法の国境を越えるデータ転送の要件は、一部の法律よりも徹底したものであるため、関係する企業(オンラインを利用する多くの企業)であれば、その情報を慎重に確認する必要があります。
最新の暗号化やシステム、データ/システムへのアクセスや転送の制限といった優れたデータセキュリティ対策を取っておくことをお勧めします。データ保護オフィサーの選任は必ずしも必要ではありませんが、これらの運用と取り組みを監視する資格を持つデータセキュリティの専門家を多くの領域に置くと、コンプライアンスの達成と PIC のデータ保護戦略の強化の助けになります。
個人情報保護法の 3 年ごと見直し規定により、企業は、同法と他の法律に関して、データセキュリティの運用とコンプライアンスを定期的に見直す必要があります。これによって企業の保守にかかる負担が増し、同意管理プラットフォーム(CMP)などの自動化ツールの価値が高まります。近年の個人情報保護法の改正では、同意の重視など、複数の業界にわたって見られてきた改善に焦点が当てられています。
個人情報保護法や複数の規制を遵守するために何をすべきかについて疑問点がありますか?組織が顧客やユーザーに対する責任を確実に果たすにはどうしたらよいか懸念していますか?そのような場合は、当社がお手伝いいたします。今すぐ当社の専門家にご相談ください。
Usercentrics は法的な助言は行わず、教育目的でのみ情報を提供しています。データプライバシーとデータ保護の問題および運用に関しては、必ず資格を持つ法律顧問にご相談いただくことをお勧めします。