icon-angleicon-facebookicon-hatebuicon-instagramicon-lineicon-linked_inicon-pinteresticon-twittericon-youtubelogo-not
People 弁護士等紹介

多岐にわたる分野の専門的知識と実績を持つ弁護士が機動的にチームを組み、質の高いアドバイスや実務的サポートを行っています。

Publications 著書/論文

当事務所の弁護士等が執筆したニュースレター、論文・記事、書籍等のご紹介です。多様化・複雑化する法律や法改正の最新動向に関して、実務的な知識・経験や専門性を活かした情報発信を行っています。

Seminars 講演/セミナー

当事務所では、オンライン配信を含め、様々な形態でのセミナーの開催や講演活動を積極的に行っています。多岐にわたる分野・テーマの最新の企業法務の実務について解説しています。

Who We Are 事務所紹介

長島・大野・常松法律事務所は、国内外での豊富な経験・実績を有する日本有数の総合法律事務所です。 企業が直面する様々な法律問題に対処するため、複数の弁護士が協力して質の高いサービスを提供することを基本理念としています。

SCROLL
TOP
Publications 著書/論文
ニュースレター

2022年の振り返りと2023年の展望 ~日本編~

NO&T Data Protection Legal Update 個人情報保護・データプライバシーニュースレター

著者等
鈴木明美関口朋宏小宮千枝正井勇(共著)
出版社
長島・大野・常松法律事務所
書籍名・掲載誌
NO&T Data Protection Legal Update ~個人情報保護・データプライバシーニュースレター~No.21(2023年1月)
関連情報

本ニュースレターでは、4回にわけて国・地域別に同テーマをご紹介していますので、以下もご参照ください。
No.23(2023年2月)「2022年の振り返りと2023年の展望 ~米国編~
No.24(2023年2月)「2022年の振り返りと2023年の展望 ~欧州編~
No.25(2023年2月)「2022年の振り返りと2023年の展望 ~アジア編~

業務分野
キーワード
※本ニュースレターは情報提供目的で作成されており、法的助言ではありませんのでご留意ください。また、本ニュースレターは発行日(作成日)時点の情報に基づいており、その時点後の情報は反映されておりません。特に、速報の場合には、その性格上、現状の解釈・慣行と異なる場合がありますので、ご留意ください。

 2022年も、世界各国で、個人情報保護及びデータに関連する法令が成立・改正・施行されると共に、当局による重要な執行事例や不正アクセス等に起因する情報漏えい事案も多く見られました。本年もこの流れは継続することが見込まれ、グローバルに活動している日本企業にとって、各国における規制動向をタイムリーに把握し、平時・有事に備えることが引き続き重要です。

 本ニュースレターでは、本号から4回にわけて、日本、米国欧州中国を含むアジアという各主要地域について、昨年の個人情報保護・データプライバシーに関する動きを振り返ると共に、本年の展望をご紹介してまいります。

法令改正・当局ガイダンス

(1) 令和2年改正の全面施行とその後の実務の進展

 2022年4月1日、個人情報保護法の令和2年改正法が全面施行され、以下を含む企業実務に関係する多岐にわたる改正がなされました※1

  • ① 個人データの漏えい等が生じた場合の報告及び本人通知の義務化(法26条)
  • ② 個人データの外国第三者提供に関する情報提供の強化等(法28条)
  • ③ 個人関連情報の第三者提供規制の新設(法31条)
  • ④ 氏名等を削除した仮名加工情報の創設(法41条・42条)等

 施行後の進展として、まず、上記①については、法26条1項、施行規則7条に定める報告義務の要件を満たさない個人データの漏えい等については、従前課されていた個人情報保護委員会への報告等の努力義務は課されないこととなりました※2。もっとも、個人情報保護委員会は、法令上報告義務が課されない漏えい等についても任意の報告を受け付けており、実務上は、法令上の報告義務が課されない場合であっても、外部からの問合せ等が想定される中で、公明正大に適切な対応を講じているという姿勢を示す観点等を踏まえ、個人情報保護委員会への任意の報告を検討するケースも見られるところです。

 上記②については、個人データの外国第三者提供に関する同意の取得時に、当該個人データの本人に対して移転先の外国の個人情報の保護に関する制度に関する情報の提供が必要となったことに伴い、個人情報保護委員会は、事業者の参考となる情報を提供する観点から、2022年4月までに、計40の国又は地域における個人情報の保護に関する制度について調査し、その結果を公表しました※3。現在、上記の情報提供義務を果たすため、プライバシーポリシー等において、個人情報保護委員会の調査結果へのリンクを掲載している例が多く見られるところです。

 上記③の個人関連情報の第三者提供規制については、オンライン広告・マーケティングの分野においてその適用の有無が問題となることが多いと思われますが、2022年12月19日に一般社団法人日本インタラクティブ広告協会が公表した「ユーザー情報の安全な取扱いに関するガイダンス」※4においては、個人関連情報の第三者提供規制を含め、インターネット広告ビジネスにおいて実務上問題となり得る点についての一般的な考え方や個別の事案ごとに判断すべき事項が示されています。

 上記④について、個人情報保護委員会は、2022年3月30日に事務局レポート※5を公表しました。この事務局レポートにおいては、仮名加工情報を利用するに際して考慮すべき事項や留意点に加え、具体的なユースケースが示されているため、仮名加工情報の利用を検討する際の参考になります。

 なお、個人情報保護法上は、個人情報を仮名加工情報に加工することで、個人情報の取得時に特定した利用目的を柔軟に変更することが可能となりますが(法41条9項、同17条2項)、EU又は英国域内から十分性認定に基づき提供を受けた個人情報を加工して作成された仮名加工情報については、今後このような仮名加工情報のメリットを享受できなくなる可能性があることに留意が必要です。すなわち、現在意見募集手続にかけられている補完的ルールの改正案※6においては、EU又は英国域内から十分性認定に基づき提供を受けた個人情報を加工して得られた仮名加工情報については、統計目的のみに取り扱われることとする等の制限が課されています。

(2) データマッピングツールの公表

 個人情報保護委員会は、2022年10月、民間事業者によるデータマッピング(事業者が取り扱うデータを事業者全体で整理して、取扱状況等を可視化する作業)の支援のため、データマッピング・ツールキット※7を公表しました。

 データマッピングは、個人データの安全管理措置(法23条)の一環としての、「個人データの取扱状況を確認する手段の整備」※8の一つの手法と考えられています。既に自社のフォーマット等を用いてかかる確認を実施している事業者も多いと思われますが、例えば、新規事業を始める場合等、個人データの取扱状況の整理を新たに行う必要がある場合においては、このツールキットを参考にすることも考えられます。

(3) 令和3年改正(いわゆる官民一元化)

 令和3年改正法は、大要、個人情報保護法、行政機関等個人情報保護法及び独立行政法人個人情報保護法の3本の法律及び地方公共団体の条例を個人情報保護法に統合し、所管官庁を個人情報保護委員会に一元化するものです。2022年4月1日には、このうち、地方公共団体及び地方独立行政法人に関する部分以外の部分が施行されました。国公立の病院、大学等に原則として民間の病院、大学等と同等の規律が適用されることになったほか、学術研究に係る適用除外の見直しがなされた等、改正内容には一部の民間事業者にも関係し得る内容が含まれていましたが、多くの民間事業者にとっては、実務への影響は限定的であったと思われます。

 本年4月1日、令和3年改正法の未施行部分が施行されます。これにより、地方公共団体や地方独立行政法人も個人情報保護法の適用対象となり、原則として全国的な共通ルールの適用を受けることになります。

当局による執行事例等

(1) 個人情報保護委員会の活動実績

 以下の表は、個人情報保護委員会が公表している民間事業者に対する監督等の実績をまとめたものです。※9

 令和4年度上半期は、上記のとおり令和2年改正法により漏えい等報告が義務化されたことに伴い、個人データ漏えい等事案の報告の受付数が、前期の3倍以上になっています。一方で、令和4年度上半期における報告徴収及び指導・助言の件数は、それぞれ62件、30件であり、前期に比していずれも半分以下となっています。

  R2 上半期 R2 下半期 R3 上半期 R3 下半期 R4 上半期
個人データの漏えい等
事案の報告の受付
481件 546件 517件 525件 1587件
報告徴収 165件 189件 179件 149件 62件
立入検査 0件 2件 0件 0件 1件
指導・助言 79件 119件 113件 104件 30件
勧告 0件 0件 1件 2件 1件
命令 2件 0件 0件 1件 0件

(2) 公表された執行事案

 2022年の民間事業者に対する執行事案で、個人情報保護委員会により公表されたものは下の表のとおりです。

 2の破産者マップについては、本年1月11日、個人情報保護委員会が、サイトの運営事業者に対し、同委員会としては初めての刑事告発をしています。

 また、3のメタップスペイメント社の漏えいは不正アクセスを契機とするものですが、個人情報保護委員会が同社に対する指導を公表した背景には、情報流出の規模や流出した情報の性質を踏まえた社会的な影響の大きさに加え、決済代行業者として必要な情報管理体制が整備されていなかった点も重視されたものと想定されます。

No. 執行対象 事案の概要 処分内容
1 破産者情報を提供する事業者※10 多数の破産者(破産手続開始決定を受けた者)等の個人データをウェブサイトで容易に検索可能な形で違法に提供している事業者に対し、個人データの提供停止等を命じたもの 法42条2項※11に基づく命令(3月23日)
2 「破産者マップ」を提供する事業者※12 多数の破産者等の個人データをウェブサイトで地図データと紐付ける形で違法に提供している事業者に対し、個人データの提供停止等を勧告・命令したもの 法145条1項に基づく勧告(7月20日)
法145条2項に基づく命令(11月2日)
3 メタップスペイメントによる漏えい※13 決済代行業者が運営する決済システムにおいて第三者による不正アクセスが確認され、最大約46万件のカード情報及び個人情報が流出した事案について、個人データの取扱状況についての監査・点検、内部監査機能の強化及び再発防止策の実行を指導したもの 法144条に基づく指導(7月13日)
4 兵庫県尼崎市の業務委託先によるUSB紛失※14 尼崎市から臨時特別給付金支給事務を受託していたITサービス事業者の従業員が、同市の住民の個人データが保存されたUSBメモリを紛失した事案について、組織体制の整備、管理体制の見直し、再発防止策の実行、委託先の監督等を指導したもの 法143条1項に基づく立入検査後、法144条に基づく指導(9月21日)

注目を集めたトピック

 以上のほか、2022年に注目を集めた個人情報保護・プライバシーに関する主なトピックとしては、以下が挙げられます。

(1) 「カメラ画像利活用ガイドブックver3.0」の策定

 経済産業省、総務省及びIoT推進コンソーシアムは、2022年3月30日、「カメラ画像利活用ガイドブックver3.0」を策定・公表しました※15。本ガイドブックは、商用目的でカメラ画像を利活用するにあたり必要な配慮事項を、プライバシー、令和2年改正法及びアジャイル・ガバナンスの観点からアップデートしたもので、実務上重要性が高いといえます。

 なお、犯罪防止や安全確保目的でのカメラ画像の利用については、2022年1月に個人情報保護委員会において有識者会議※16が設置されており、同有識者会議の報告書案が公表され、現在意見募集手続※17にかけられています。同報告書案においては、顔識別機能付きカメラシステムを導入する際に、個人情報保護法の遵守や肖像権・プライバシー侵害の発生防止の観点から留意するべき点等が示されています。

(2) 電気通信事業法の改正

 2022年6月13日、電気通信事業法を一部改正する法律※18が成立し、本年6月16日より施行されます。本改正においては、①大規模なサービスを提供する電気通信事業者として告示で指定される事業者が取得する特定利用者情報の適正な取扱いに関する規律や、②利用者の端末に記録された閲覧履歴やCookieに保存されたID等を含む利用者情報を外部送信させる場合に利用者に確認の機会を付与する規律が、新たに設けられます。

 特に②の規律は、登録・届出を行っている電気通信事業者に加え、いわゆる第3号事業者のうち「対象役務」を提供する事業者にも適用されるため、比較的多くの事業者が対象となる可能性があります。「対象役務」には、ブラウザやアプリケーションを通じて提供されるものである限り、利用者間のメールサービス、ウェブ会議システム、SNS、電子掲示板、動画共有サービス、オンラインショッピングモール、マッチングサービス、オンライン検索サービス、ニュース配信サイト・アプリ、動画配信サービス、オンライン地図サービス等が含まれます。

(3) 不正アクセス・サイバー攻撃

 2022年も、Emotet等のマルウェア感染や脆弱性を狙った攻撃等によるデータ漏えいが多く見られました。3月には、国内大手自動車メーカーの部品メーカーの1社がマルウェアに感染し、国内大手自動車メーカーが生産ラインを一時停止する事案が発生し、サプライチェーンへの攻撃のリスクが浮き彫りとなりました。

 株式会社東京商工リサーチの調査※19によりますと、2022年に上場企業とその子会社が公表した個人情報の漏えい・紛失件数は、過去最高の165件、漏えいした個人情報は592万7,057人分であり、事故件数の半数以上が「ウイルス感染・不正アクセス」を原因とするものと指摘されています。また、警察庁によると、2022年上半期(1月~6月)には114件のランサムウェア被害の報告があり、これは前期と比べて3割以上の増加となっています※20。2023年も不正アクセス・サイバー攻撃の脅威は増大することが見込まれています。

 各企業におかれては、自社グループにおけるサイバーセキュリティ対策を徹底するのはもちろんのこと、中小企業を多く含むサプライチェーン全体のセキュリティ向上のための取り組みを進めることや、サイバー攻撃を受けた際のインシデント対応計画及び事業継続計画(BCP)を事前に策定しておくことが重要と思われます。

2023年の展望

 2023年には、民間事業者一般に影響する個人情報の保護に関する法改正の施行は予定されていません。各企業におかれては、令和2年改正法の施行後の状況を踏まえたガイドラインやQ&Aの改正等の有無に目配りしつつ、能動的なプライバシー・ガバナンスのための取り組みや、最新の不正アクセスやサイバー攻撃の手法を踏まえた安全管理措置やインシデント対応の見直しを行うことが考えられます。

 他方で、特定の事業分野においては、法改正等の動きがあります。まず、上記のとおり、電気通信事業分野においては、本年6月16日に改正電気通信事業法が施行されます。対象業務を営む事業者においては、自らが改正電気通信事業法の適用対象となるか否かを確認した上で、適用対象となる場合には、今後のガイドラインの改正状況について注視しつつ※21、施行に向けて準備を進める必要があります。

 また、医療分野においては、2018年5月に施行された医療分野の研究開発に資するための匿名加工医療情報に関する法律(以下「次世代医療基盤法」といいます。)について、施行5年後の見直しを定める同法附則5条を踏まえ、本年に改正法案が国会に提出される可能性が高いと思われます。2021年11月に内閣府の「健康・医療データ利活用基盤協議会」のもとに設置された「次世代医療基盤法ワーキンググループ」により、2022年12月に次世代医療基盤法の見直しの方向性が示されており※22、①医療分野の研究開発ニーズを踏まえ、現行法の匿名加工医療情報に加えて、新たに仮名加工医療情報(仮称)を創設すること※23、②レセプト情報・特定健診等情報データベース等の公的データベースと匿名加工医療情報の連結解析を可能とすること、及び③認定事業者への医療情報の提供等を通じた国の施策への協力を医療機関等の努力義務とすることについて、それぞれ法令上の措置を検討することとされています。医療情報の利活用を検討している事業者におかれては、引き続き動向を注視する必要があります。

脚注一覧

※1
令和2年改正法の詳細については、個人情報保護・データプライバシーニュースレター2021年1月No.2(「個人情報保護法施行令・施行規則の改正案について」)、及び同ニュースレター2021年4月No.5(「個人情報保護法の改正に関する最新動向 ~個人情報保護法施行令・施行規則の公布、施行日の決定、官民一元化に関する法案など」)をご参照ください。

※2
なお、金融分野における個人情報の保護に関するガイドラインでは、法令上報告義務が課されない個人情報の漏えい等についても、監督当局への報告が努力義務とされていますので(同ガイドライン11条2項)、留意が必要です。

※8
個人情報保護法ガイドライン(通則編)10-3-(3)

※9
ここでは個人情報保護委員会が直接受付又は実施したものの集計値を記載しており、このほかに、委任先省庁等を経由して受付したもの及び委任先省庁の実施した報告徴収・立入検査が存在します。

※11
令和3年改正法の施行日(2022年4月1日)以降の法145条2項

※15
https://www.meti.go.jp/press/2021/03/20220330001/20220330001.html?from=mj。詳細については、個人情報保護・データプライバシーニュースレター2022年4月No.15(「『カメラ画像利活用ガイドブックver3.0』(2022年3月30日公表)の概要と改訂のポイント」)をご参照ください。

※16
犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会(https://www.ppc.go.jp/personalinfo/camera_utilize/

※18
本改正の概要については、改正案の段階の解説になりますが、個人情報保護・データプライバシーニュースレター2022年4月No.13(「電気通信事業法の一部を改正する法律案の概要 ~特定利用者情報の規律を中心に~」)もご参照ください。

※19
株式会社東京商工リサーチ「~2022年『上場企業の個人情報漏えい・紛失事故』調査~」(2023年1月19日)

※21
2022年12月23日に開催された「プラットフォームサービスに係る利用者情報の取扱いに関するワーキンググループ」では、「外部送信規律に係る電気通信事業における個人情報保護に関するガイドラインの解説案について」が公表されています。

※23
なお、2022年3月に厚生労働省に設置された「医療分野における仮名加工情報の利活用に関する検討会」においても、一般法である個人情報保護法の規律を前提として医療情報の利活用の在り方を考えていくことに限界があることが指摘されており、仮名化された医療情報の二次利用に関するルールの在り方が議論されていました。2022年9月に公表された「医療分野における仮名加工情報の保護と利活用に関する検討会 これまでの議論の整理」では、次世代医療基盤法ワーキンググループとの連携の必要性が指摘されていることから、仮名加工医療情報(仮称)の検討に際しては、同検討会での議論等も参考にされるものと思われます。

本ニュースレターは、各位のご参考のために一般的な情報を簡潔に提供することを目的としたものであり、当事務所の法的アドバイスを構成するものではありません。また見解に亘る部分は執筆者の個人的見解であり当事務所の見解ではありません。一般的情報としての性質上、法令の条文や出典の引用を意図的に省略している場合があります。個別具体的事案に係る問題については、必ず弁護士にご相談ください。


全文ダウンロード(PDF)

Legal Lounge
会員登録のご案内

ホットなトピックスやウェビナーのアーカイブはこちらよりご覧いただけます。
最新情報をリリースしましたらすぐにメールでお届けします。

会員登録はこちら

弁護士等

個人情報保護・プライバシーに関連する著書/論文

決定 業務分野を選択
決定