G検定

個人情報保護法の改正 〜データ活用と深く関係する部分は?〜

改正個人情報保護法とは

個人情報保護委員会では、社会・経済情勢の変化を踏まえて、3年ごとに個人情報保護法の見直しを進めてきました。直近では、令和4年(2022年)4月1日に改正個人情報保護法が施行されました。

公布日:2020年6月12日
施行日:2022年4月1日
※ただし、「法令違反に対する罰則の強化」については、2020年12月12日から施行

この記事では、AI、データサイエンス分野に関連する項目を中心に、改正個人情報保護法の内容を説明します。G検定とDS検定にも最近出題ボリュームが増えています。ぜひ本記事の内容をご活用ください。

改正の目的

個人情報保護委員会では主に以下の5つの視点から制度を見直しています。

  • 個人の権利利益を保護するために必要十分な措置を整備する
  • 個人情報(個人に関連する情報)の保護と、その情報の利用を巡る技術革新と経済成長等のバランス
  • 国際的な制度調和や連携:デジタル化された個人情報利活用のグローバル展開
  • 外国事業者(海外事業者によるサービスの利用や国境を越えて個人情報を扱うビジネス)によるリスク変化への対応
  • AI・ビッグデータ時代への対応:事業者が個人情報を取り扱う際に、本人の権利利益との関係で説明責任を果たしつつ、本人の予測可能な範囲内で適正な利用すること

 

改正内容の概要

■(改正項目1)本人の権利保護が強化される

  • 短期保有データの保有個人データ化
    • 新法では、6か月以内に消去する「短期保存データ」も「保有個人データ」に含まれるようになりました。
  • 保有個人データの開示請求のデジタル化
    • 改定後、本人は電磁的記録での提供など個人情報の開示方法を指定でき、個人情報取扱事業者は、原則として本人が請求した方法によって開示する義務を負います。これに対して、旧法では原則として交付は書面のみでした。
  • 利用停止・消去請求権、第三者への提供禁止請求権の要件緩和
    • 例えば、新法では、第三者提供記録が、本人による開示請求の対象となりました。

■(改正項目2)事業者の責務が追加される

  • 漏えい時の報告義務
  • 不適正な利用の禁止

■(改正項目3)企業の特定分野を対象とする団体の認定団体制度が新設される

■(改正項目4)データの利活用が促進される
データの利活用を促進する目的で、「仮名加工情報」制度が新設され、これにより通常の個人情報に比して、事業者の義務が緩和されました。また、個人情報の利用目的の変更条件が緩和されました。(※詳細は後続節で解説)

■(改正項目5)法令違反に対する罰則が強化される
措置命令・報告義務違反の罰則の法定刑、法人に対する罰金刑を引き上げた

■(改正項目6)外国の事業者に対する、報告徴収・立入検査などの罰則が追加される

 

データ利活用の促進を目的とする改正

今回、(改正項目4)の「データの利活用が促進される」は特にデータサイエンス分野に深く関連するため、以下で詳細に解説していきます。

仮名加工情報とは

仮名加工情報とは、個人情報から、個人を特定できる情報を削除し、単体では個人を特定できないように加工した情報として定義されています。ただし、仮名加工情報は、他の情報と照らし合わせると個人を特定できる可能性が許されています。

企業による情報の利活用等イノベーションを促進することを目的に、個人情報保護法のもとで2022年4月1日から導入されました。

仮名加工情報よりも厳しい制度は「匿名加工情報」です。特定の個人を識別できないかつ復元できないように個人情報を加工した情報として定義されています。(個人情報36I)こちらも、一定条件の下、本人の同意を得ることなく、事業者間におけるパーソナルデータの利活用の促進を目的として導入されました。

従来では、事業者間で個人情報を含むデータを扱う場合、特定の個人を識別できないように加工し、匿名加工情報にしなければいけません。改正個人情報保護法(新法)では、仮名加工情報というより緩和された制度が生まれています。

旧法では、事業者が自社内部で利用するために、個人情報を「個人を特定できないように変換した後の情報」は、個人の権利利益の侵害のおそれは低いにもかかわらず、通常の個人情報と同様な取り扱いが義務付けられていました。

  • 利用目的を特定(個人情報保護法17条)
  • 目的外利用の禁止(同法18条)
  • 取得時の利用目的の本人に対する通知、公表(同法21条)
  • データ内容の正確性の確保(同法22条)

このような加工後の個人情報に対する義務づけは、データの利活用の観点から疑問視されました。これは「仮名加工情報」制度の新設につながりました。「仮名加工情報」は匿名加工情報など通常の個人情報に比べて、事業者の義務が緩和されました。「仮名加工情報」にあたる場合、事業者は、個人情報保護法の一部のルール、例えば、漏えい等の報告義務、開示請求、利用停止等請求などが適用対象外となりました(41条9項)。

これは事業者の負担の軽減とデータ活用の促進につながると期待されています。

個人情報の利用目的

改正前の個人情報保護法では、「変更前の利用目的と相当の関連性を有すると合理的に認められる範囲」を超えて個人情報の利用目的を変更できませんでした。そこから「相当の」を取って、改正後は、「変更前の利用目的と関連性を有すると合理的に認められる範囲」であれば個人情報の利用目的を変更できるようになりました(個人情報保護法15条2項)。別の言い方をすると、利用目的の変更の程度は、社会通念上、客観的に合理的と認められる範囲内とみなされ、本人が予期できる範囲内での変更であることに限ります。

また、改正後においても、個人情報取扱事業者は、変更された利用目的について、変更された利用目的は、本人に通知するか、又は公表しなければならない、となっています。逆にいうと、「必ず本人に連絡を取って同意を得なければいけない」というわけではありません。

事例で見ていきましょう。

  • ECサイトが保持する個人情報に、会員の住所とメールアドレスが含まれるとする。当初は「新商品案内を会員に郵送する」の予定だったが、事前に公表した上で、「新商品案内を会員にメールで送付する」に変更することは許される可能性が高いのです。

➡︎ これは「商品・サービスに関する情報のお知らせ」という基礎となる目的が変わらないためです。

  • 会社の懇親会の集合写真を、後日全社員に公表した上で会社のHPに掲載することは利用目的の変更が許される範囲内である可能性が高いのです。

➡︎ これは、集合写真の撮影に同意した時点で予想できる範囲であり、社会通念上、客観的に合理的と認められると考えられるからです(個人情報保護法15条2項)。

では、質問です。

Q: 当初の利用目的に「第三者提供」が含まれていない場合、第三者提供を行うように変更することは個人情報保護法上で認められますか?

A: 認められません。第三者提供の本人に与える影響の大きいため、当初目的に第三者提供が含まれていなかった場合、新たにそれを追加することは認められません。

 

執筆担当者:ヤン ジャクリン (分析官・講師)

yan
データ分析官・データサイエンス講座の講師