個人情報保護委員会は、「個人情報の保護に関する法律についてのガイドライン(通則編)」の改正を行いました。

このガイドラインは、個人情報保護法の内容に対する法令解釈を中心に記載されています。

改正後の「個人情報の保護に関する法律についてのガイドライン(通則編)」は、こちらになります。

どのように変わったのかという新旧対照表は、こちらになります。

個人情報保護法の改正

このガイドラインの改正は、昨年2020年に行われた個人情報保護法の改正に伴うものです。

この個人情報保護法の改正は、主に次のような点が盛り込まれました。

個人情報の保護に関する法律等の一部を改正する法律の概要
  • 利用停止・消去等の個人の請求権が拡大
  • 漏洩等があれば、報告が義務化
  • 提供元では個人データに該当しないものの、提供先において個人データとなることが想定される情報の第三者提供について、本人同意が義務化など

個人情報保護法は、3年ごとの見直しが求められておりまして、次は2023年の模様です。

個人情報の保護に関する法律等の一部を改正する法律の概要については、こちらにあります。

個人情報保護法ガイドラインの改正内容

ガイドラインの改正は、主に「個人情報の保護に関する法律等の一部を改正する法律」の内容に関する解釈になっています。

多くの解釈が改正点にありますが、その中で3点ピックアップして紹介させていただきます。

利用停止等の解釈

個人情報取扱事業者は、本人から、当該本人が識別される保有個人データを当該個人情報取扱事業者が利用する必要がなくなったという理由によって、当該保有個人データの利用停止等又は第三者提供の停止の請求を受けた場合であって、その請求に理由があることが判明したときは、原則として、遅滞なく、利用停止等又は第三者提供の停止を行わなければならなくなりました。

「当該個人情報取扱事業者が利用する必要がなくなった」とは、当該保有個人データについて利用する必要がなくなったとき、すなわち、利用目的が達成され当該目的との関係では当該保有個人データを保有する合理的な理由が存在しなくなった場合や利用目的が達成されなかったものの当該目的の前提となる事業自体が中止となった場合等をいいます。

【利用する必要がなくなったとして利用停止等又は第三者提供の停止が認められる事例】

  • ダイレクトメールを送付するために個人情報取扱事業者が保有していた情報について、当該個人情報取扱事業者がダイレクトメールの送付を停止した後、本人が消去を請求した場合
  • 電話勧誘のために個人情報取扱事業者が保有していた情報について、当該個人情報取扱事業者が電話勧誘を停止した後、本人が消去を請求した場合
  • キャンペーンの懸賞品送付のために個人情報取扱事業者が保有していた当該キャンペーンの応募者の情報について、懸賞品の発送が終わり、不着対応等のための合理的な期間が経過した後に、本人が利用停止等を請求した場合
  • 採用応募者のうち、採用に至らなかった応募者の情報について、再応募への対応等のための合理的な期間が経過した後に、本人が利用停止等を請求した場合

個人情報保護委員会への報告義務

個人情報取扱事業者は、次のような事態を知ったときは、個人情報保護委員会に報告しなければならなくなりました。

  1. 要配慮個人情報が含まれる個人データの漏えい等が発生し、又は発生したおそれがある事態
    • 事例1)病院における患者の診療情報や調剤情報を含む個人データを記録した USB メモリーを紛失した場合
    • 事例2)従業員の健康診断等の結果を含む個人データが漏えいした場合
  2. 不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態(財産的被害が生じるおそれについては、対象となった個人データの性質・内容等を踏まえ、財産的被害が発生する蓋然性を考慮して判断されます)
    • 事例 1)EC サイトからクレジットカード番号を含む個人データが漏えいした場合
    • 事例 2)送金や決済機能のあるウェブサービスのログイン ID とパスワードの組み合わせを含む個人データが漏えいした場合
  3. 不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態(「不正の目的をもって」漏えい等を発生させた主体には、第三者のみならず、従業者も含まれる。)
    • 事例1)不正アクセスにより個人データが漏えいした場合
    • 事例2)ランサムウェア等により個人データが暗号化され、復元できなくなった場合
    • 事例3)個人データが記載又は記録された書類・媒体等が盗難された場合
    • 事例4)従業者が顧客の個人データを不正に持ち出して第三者に提供した場合
  4. 個人データに係る本人の数が千人を超える漏えい等が発生し、又は発生したおそれがある事態
  • ただし、漏えい等が発生し、又は発生したおそれがある個人データについて、高度な暗号化等の秘匿化がされている場合等、「高度な暗号化その他の個人の権利利益を保護するために必要な措置」が講じられている場合については、報告を要しない。
  • 「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいう。

本人の同意取得

個人関連情報取扱事業者が第三者に個人関連情報を提供し、当該第三者が当該個人関連情報を個人データとして取得することを承諾する旨の当該本人の意思表示を取得する方法として認められる方法として、次のような例が挙げられています。

    • 本人から同意する旨を示した書面
    • 電子メールを受領する方法
    • 確認欄へのチェックを求める方法

ウェブサイト上で同意を取得する場合は、単にウェブサイト上に本人に示すべき事項を記載するのみでは足りず、それらの事項を示した上でウェブサイト上のボタンのクリックを求める方法等によらなければならないとされました。

まとめ

ブログの中の人が以前に勤務していた証券会社では、個人情報管理について次のような議論がありました。

  • 一人の個人情報を複数のシステムに利用していた。個人情報を口座番号等のコードで紐づけできるシステムがあれば、紐づけできないシステムもあった。
  • 個人情報を取り扱うシステムの中には、多人数の個人情報を画像認識で管理するシステムがある。このシステムは、ある個人の個人情報を検索することが出来るだけであり、ある個人の個人情報だけを消去出来ないシステムであった。
  • 倉庫内に多くの紙ファイルがあるが、ある個人だけの紙ファイルを取り出して廃棄することは不可能。

つまり、その証券会社は、個人情報保護法と個人情報保護法ガイドラインの改正によって、相当なシステム変更を余儀なくされたと思われます。

このような会社は少なくないと考えています。

また「本人の同意取得」では、「同意を取得する場合は、単にウェブサイト上に本人に示すべき事項を記載するのみではダメ」ということが明記されました。

今も単にウェブサイト上に本人に示すべき事項を記載するのみのウェブサイトが散見されますね。もう、そのようなウェブサイトは個人情報保護法違反として見做される可能性が高くなりました。

さらに今、ウェブサイトの変更をしたとしても、「過去、単にウェブサイト上に本人に示すべき事項を記載するのみで取得した個人情報」の扱いがどのようになるのか、私にはわかりません。

個人情報の取扱が多い会社は、個人情報保護の運用状況確認を専門家に相談することをおススメします。