鈴木明美 Akemi Suzuki
パートナー
東京
NO&T Data Protection Legal Update 個人情報保護・データプライバシーニュースレター
本ニュースレターでは、4回にわけて国・地域別に同テーマをご紹介していますので、以下もご参照ください。
No.23(2023年2月)「2022年の振り返りと2023年の展望 ~米国編~」
No.24(2023年2月)「2022年の振り返りと2023年の展望 ~欧州編~」
No.25(2023年2月)「2022年の振り返りと2023年の展望 ~アジア編~」
2022年4月1日、個人情報保護法の令和2年改正法が全面施行され、以下を含む企業実務に関係する多岐にわたる改正がなされました※1。
施行後の進展として、まず、上記①については、法26条1項、施行規則7条に定める報告義務の要件を満たさない個人データの漏えい等については、従前課されていた個人情報保護委員会への報告等の努力義務は課されないこととなりました※2。もっとも、個人情報保護委員会は、法令上報告義務が課されない漏えい等についても任意の報告を受け付けており、実務上は、法令上の報告義務が課されない場合であっても、外部からの問合せ等が想定される中で、公明正大に適切な対応を講じているという姿勢を示す観点等を踏まえ、個人情報保護委員会への任意の報告を検討するケースも見られるところです。
上記②については、個人データの外国第三者提供に関する同意の取得時に、当該個人データの本人に対して移転先の外国の個人情報の保護に関する制度に関する情報の提供が必要となったことに伴い、個人情報保護委員会は、事業者の参考となる情報を提供する観点から、2022年4月までに、計40の国又は地域における個人情報の保護に関する制度について調査し、その結果を公表しました※3。現在、上記の情報提供義務を果たすため、プライバシーポリシー等において、個人情報保護委員会の調査結果へのリンクを掲載している例が多く見られるところです。
上記③の個人関連情報の第三者提供規制については、オンライン広告・マーケティングの分野においてその適用の有無が問題となることが多いと思われますが、2022年12月19日に一般社団法人日本インタラクティブ広告協会が公表した「ユーザー情報の安全な取扱いに関するガイダンス」※4においては、個人関連情報の第三者提供規制を含め、インターネット広告ビジネスにおいて実務上問題となり得る点についての一般的な考え方や個別の事案ごとに判断すべき事項が示されています。
上記④について、個人情報保護委員会は、2022年3月30日に事務局レポート※5を公表しました。この事務局レポートにおいては、仮名加工情報を利用するに際して考慮すべき事項や留意点に加え、具体的なユースケースが示されているため、仮名加工情報の利用を検討する際の参考になります。
なお、個人情報保護法上は、個人情報を仮名加工情報に加工することで、個人情報の取得時に特定した利用目的を柔軟に変更することが可能となりますが(法41条9項、同17条2項)、EU又は英国域内から十分性認定に基づき提供を受けた個人情報を加工して作成された仮名加工情報については、今後このような仮名加工情報のメリットを享受できなくなる可能性があることに留意が必要です。すなわち、現在意見募集手続にかけられている補完的ルールの改正案※6においては、EU又は英国域内から十分性認定に基づき提供を受けた個人情報を加工して得られた仮名加工情報については、統計目的のみに取り扱われることとする等の制限が課されています。
個人情報保護委員会は、2022年10月、民間事業者によるデータマッピング(事業者が取り扱うデータを事業者全体で整理して、取扱状況等を可視化する作業)の支援のため、データマッピング・ツールキット※7を公表しました。
データマッピングは、個人データの安全管理措置(法23条)の一環としての、「個人データの取扱状況を確認する手段の整備」※8の一つの手法と考えられています。既に自社のフォーマット等を用いてかかる確認を実施している事業者も多いと思われますが、例えば、新規事業を始める場合等、個人データの取扱状況の整理を新たに行う必要がある場合においては、このツールキットを参考にすることも考えられます。
令和3年改正法は、大要、個人情報保護法、行政機関等個人情報保護法及び独立行政法人個人情報保護法の3本の法律及び地方公共団体の条例を個人情報保護法に統合し、所管官庁を個人情報保護委員会に一元化するものです。2022年4月1日には、このうち、地方公共団体及び地方独立行政法人に関する部分以外の部分が施行されました。国公立の病院、大学等に原則として民間の病院、大学等と同等の規律が適用されることになったほか、学術研究に係る適用除外の見直しがなされた等、改正内容には一部の民間事業者にも関係し得る内容が含まれていましたが、多くの民間事業者にとっては、実務への影響は限定的であったと思われます。
本年4月1日、令和3年改正法の未施行部分が施行されます。これにより、地方公共団体や地方独立行政法人も個人情報保護法の適用対象となり、原則として全国的な共通ルールの適用を受けることになります。
以下の表は、個人情報保護委員会が公表している民間事業者に対する監督等の実績をまとめたものです。※9
令和4年度上半期は、上記のとおり令和2年改正法により漏えい等報告が義務化されたことに伴い、個人データ漏えい等事案の報告の受付数が、前期の3倍以上になっています。一方で、令和4年度上半期における報告徴収及び指導・助言の件数は、それぞれ62件、30件であり、前期に比していずれも半分以下となっています。
R2 上半期 | R2 下半期 | R3 上半期 | R3 下半期 | R4 上半期 | |
---|---|---|---|---|---|
個人データの漏えい等 事案の報告の受付 |
481件 | 546件 | 517件 | 525件 | 1587件 |
報告徴収 | 165件 | 189件 | 179件 | 149件 | 62件 |
立入検査 | 0件 | 2件 | 0件 | 0件 | 1件 |
指導・助言 | 79件 | 119件 | 113件 | 104件 | 30件 |
勧告 | 0件 | 0件 | 1件 | 2件 | 1件 |
命令 | 2件 | 0件 | 0件 | 1件 | 0件 |
2022年の民間事業者に対する執行事案で、個人情報保護委員会により公表されたものは下の表のとおりです。
2の破産者マップについては、本年1月11日、個人情報保護委員会が、サイトの運営事業者に対し、同委員会としては初めての刑事告発をしています。
また、3のメタップスペイメント社の漏えいは不正アクセスを契機とするものですが、個人情報保護委員会が同社に対する指導を公表した背景には、情報流出の規模や流出した情報の性質を踏まえた社会的な影響の大きさに加え、決済代行業者として必要な情報管理体制が整備されていなかった点も重視されたものと想定されます。
No. | 執行対象 | 事案の概要 | 処分内容 |
---|---|---|---|
1 | 破産者情報を提供する事業者※10 | 多数の破産者(破産手続開始決定を受けた者)等の個人データをウェブサイトで容易に検索可能な形で違法に提供している事業者に対し、個人データの提供停止等を命じたもの | 法42条2項※11に基づく命令(3月23日) |
2 | 「破産者マップ」を提供する事業者※12 | 多数の破産者等の個人データをウェブサイトで地図データと紐付ける形で違法に提供している事業者に対し、個人データの提供停止等を勧告・命令したもの |
法145条1項に基づく勧告(7月20日) 法145条2項に基づく命令(11月2日) |
3 | メタップスペイメントによる漏えい※13 | 決済代行業者が運営する決済システムにおいて第三者による不正アクセスが確認され、最大約46万件のカード情報及び個人情報が流出した事案について、個人データの取扱状況についての監査・点検、内部監査機能の強化及び再発防止策の実行を指導したもの | 法144条に基づく指導(7月13日) |
4 | 兵庫県尼崎市の業務委託先によるUSB紛失※14 | 尼崎市から臨時特別給付金支給事務を受託していたITサービス事業者の従業員が、同市の住民の個人データが保存されたUSBメモリを紛失した事案について、組織体制の整備、管理体制の見直し、再発防止策の実行、委託先の監督等を指導したもの | 法143条1項に基づく立入検査後、法144条に基づく指導(9月21日) |
以上のほか、2022年に注目を集めた個人情報保護・プライバシーに関する主なトピックとしては、以下が挙げられます。
経済産業省、総務省及びIoT推進コンソーシアムは、2022年3月30日、「カメラ画像利活用ガイドブックver3.0」を策定・公表しました※15。本ガイドブックは、商用目的でカメラ画像を利活用するにあたり必要な配慮事項を、プライバシー、令和2年改正法及びアジャイル・ガバナンスの観点からアップデートしたもので、実務上重要性が高いといえます。
なお、犯罪防止や安全確保目的でのカメラ画像の利用については、2022年1月に個人情報保護委員会において有識者会議※16が設置されており、同有識者会議の報告書案が公表され、現在意見募集手続※17にかけられています。同報告書案においては、顔識別機能付きカメラシステムを導入する際に、個人情報保護法の遵守や肖像権・プライバシー侵害の発生防止の観点から留意するべき点等が示されています。
2022年6月13日、電気通信事業法を一部改正する法律※18が成立し、本年6月16日より施行されます。本改正においては、①大規模なサービスを提供する電気通信事業者として告示で指定される事業者が取得する特定利用者情報の適正な取扱いに関する規律や、②利用者の端末に記録された閲覧履歴やCookieに保存されたID等を含む利用者情報を外部送信させる場合に利用者に確認の機会を付与する規律が、新たに設けられます。
特に②の規律は、登録・届出を行っている電気通信事業者に加え、いわゆる第3号事業者のうち「対象役務」を提供する事業者にも適用されるため、比較的多くの事業者が対象となる可能性があります。「対象役務」には、ブラウザやアプリケーションを通じて提供されるものである限り、利用者間のメールサービス、ウェブ会議システム、SNS、電子掲示板、動画共有サービス、オンラインショッピングモール、マッチングサービス、オンライン検索サービス、ニュース配信サイト・アプリ、動画配信サービス、オンライン地図サービス等が含まれます。
2022年も、Emotet等のマルウェア感染や脆弱性を狙った攻撃等によるデータ漏えいが多く見られました。3月には、国内大手自動車メーカーの部品メーカーの1社がマルウェアに感染し、国内大手自動車メーカーが生産ラインを一時停止する事案が発生し、サプライチェーンへの攻撃のリスクが浮き彫りとなりました。
株式会社東京商工リサーチの調査※19によりますと、2022年に上場企業とその子会社が公表した個人情報の漏えい・紛失件数は、過去最高の165件、漏えいした個人情報は592万7,057人分であり、事故件数の半数以上が「ウイルス感染・不正アクセス」を原因とするものと指摘されています。また、警察庁によると、2022年上半期(1月~6月)には114件のランサムウェア被害の報告があり、これは前期と比べて3割以上の増加となっています※20。2023年も不正アクセス・サイバー攻撃の脅威は増大することが見込まれています。
各企業におかれては、自社グループにおけるサイバーセキュリティ対策を徹底するのはもちろんのこと、中小企業を多く含むサプライチェーン全体のセキュリティ向上のための取り組みを進めることや、サイバー攻撃を受けた際のインシデント対応計画及び事業継続計画(BCP)を事前に策定しておくことが重要と思われます。
2023年には、民間事業者一般に影響する個人情報の保護に関する法改正の施行は予定されていません。各企業におかれては、令和2年改正法の施行後の状況を踏まえたガイドラインやQ&Aの改正等の有無に目配りしつつ、能動的なプライバシー・ガバナンスのための取り組みや、最新の不正アクセスやサイバー攻撃の手法を踏まえた安全管理措置やインシデント対応の見直しを行うことが考えられます。
他方で、特定の事業分野においては、法改正等の動きがあります。まず、上記のとおり、電気通信事業分野においては、本年6月16日に改正電気通信事業法が施行されます。対象業務を営む事業者においては、自らが改正電気通信事業法の適用対象となるか否かを確認した上で、適用対象となる場合には、今後のガイドラインの改正状況について注視しつつ※21、施行に向けて準備を進める必要があります。
また、医療分野においては、2018年5月に施行された医療分野の研究開発に資するための匿名加工医療情報に関する法律(以下「次世代医療基盤法」といいます。)について、施行5年後の見直しを定める同法附則5条を踏まえ、本年に改正法案が国会に提出される可能性が高いと思われます。2021年11月に内閣府の「健康・医療データ利活用基盤協議会」のもとに設置された「次世代医療基盤法ワーキンググループ」により、2022年12月に次世代医療基盤法の見直しの方向性が示されており※22、①医療分野の研究開発ニーズを踏まえ、現行法の匿名加工医療情報に加えて、新たに仮名加工医療情報(仮称)を創設すること※23、②レセプト情報・特定健診等情報データベース等の公的データベースと匿名加工医療情報の連結解析を可能とすること、及び③認定事業者への医療情報の提供等を通じた国の施策への協力を医療機関等の努力義務とすることについて、それぞれ法令上の措置を検討することとされています。医療情報の利活用を検討している事業者におかれては、引き続き動向を注視する必要があります。
※1
令和2年改正法の詳細については、個人情報保護・データプライバシーニュースレター2021年1月No.2(「個人情報保護法施行令・施行規則の改正案について」)、及び同ニュースレター2021年4月No.5(「個人情報保護法の改正に関する最新動向 ~個人情報保護法施行令・施行規則の公布、施行日の決定、官民一元化に関する法案など」)をご参照ください。
※2
なお、金融分野における個人情報の保護に関するガイドラインでは、法令上報告義務が課されない個人情報の漏えい等についても、監督当局への報告が努力義務とされていますので(同ガイドライン11条2項)、留意が必要です。
※5
「個人情報保護委員会事務局レポート:仮名加工情報・匿名加工情報 信頼ある個人情報の利活用に向けてー制度編―」及び「個人情報保護委員会事務局レポート:仮名加工情報・匿名加工情報 信頼ある個人情報の利活用に向けてー事例編―」
※6
「『個人情報の保護に関する法律に係るEU及び英国域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルールの一部を改正する告示(案)』に関する意見募集について」(意見募集の期間:2023年1月27日まで)
※8
個人情報保護法ガイドライン(通則編)10-3-(3)
※9
ここでは個人情報保護委員会が直接受付又は実施したものの集計値を記載しており、このほかに、委任先省庁等を経由して受付したもの及び委任先省庁の実施した報告徴収・立入検査が存在します。
※11
令和3年改正法の施行日(2022年4月1日)以降の法145条2項
※12
https://www.ppc.go.jp/files/pdf/220720_houdou.pdf 及び https://www.ppc.go.jp/files/pdf/221102_houdou.pdf
※15
https://www.meti.go.jp/press/2021/03/20220330001/20220330001.html?from=mj。詳細については、個人情報保護・データプライバシーニュースレター2022年4月No.15(「『カメラ画像利活用ガイドブックver3.0』(2022年3月30日公表)の概要と改訂のポイント」)をご参照ください。
※16
犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会(https://www.ppc.go.jp/personalinfo/camera_utilize/)
※17
「『犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会報告書(案)』に関する意見募集について」(意見募集の期間:2023年2月12日まで)
※18
本改正の概要については、改正案の段階の解説になりますが、個人情報保護・データプライバシーニュースレター2022年4月No.13(「電気通信事業法の一部を改正する法律案の概要 ~特定利用者情報の規律を中心に~」)もご参照ください。
※19
株式会社東京商工リサーチ「~2022年『上場企業の個人情報漏えい・紛失事故』調査~」(2023年1月19日)
※21
2022年12月23日に開催された「プラットフォームサービスに係る利用者情報の取扱いに関するワーキンググループ」では、「外部送信規律に係る電気通信事業における個人情報保護に関するガイドラインの解説案について」が公表されています。
※22
https://www.kantei.go.jp/jp/singi/kenkouiryou/data_rikatsuyou/jisedai_iryokiban_wg/dai7/siryou1.pdf
※23
なお、2022年3月に厚生労働省に設置された「医療分野における仮名加工情報の利活用に関する検討会」においても、一般法である個人情報保護法の規律を前提として医療情報の利活用の在り方を考えていくことに限界があることが指摘されており、仮名化された医療情報の二次利用に関するルールの在り方が議論されていました。2022年9月に公表された「医療分野における仮名加工情報の保護と利活用に関する検討会 これまでの議論の整理」では、次世代医療基盤法ワーキンググループとの連携の必要性が指摘されていることから、仮名加工医療情報(仮称)の検討に際しては、同検討会での議論等も参考にされるものと思われます。
本ニュースレターは、各位のご参考のために一般的な情報を簡潔に提供することを目的としたものであり、当事務所の法的アドバイスを構成するものではありません。また見解に亘る部分は執筆者の個人的見解であり当事務所の見解ではありません。一般的情報としての性質上、法令の条文や出典の引用を意図的に省略している場合があります。個別具体的事案に係る問題については、必ず弁護士にご相談ください。
新日本法規 (2024年11月)
犬飼貴之、丸田颯人(共著)
鈴木明美、松宮優貴(共著)
(2024年11月)
殿村桂司、水越政輝、武原宇宙、河野ひとみ(共著)
(2024年11月)
長谷川良和