個人情報保護・プライバシー 2023年の振り返りと2024年の展望 ～日本編～

1. 法令改正・当局ガイダンス

1. 令和3年改正法の全面施行

　2023年4月1日、個人情報保護法（以下「法」といいます。）のいわゆる官民一元化を図った令和3年改正法が全面施行されました※1。今般の主な施行内容は、地方公共団体にも個人情報保護法の適用が認められた点にあり、民間事業者にとって直接的に関係するものではありませんが、これにより個人情報保護法による共通ルールが全国的に適用されたこととなります※2。

2. カメラの利用について

　個人情報保護委員会は、2023年3月、「犯罪予防や安全確保のための顔識別機能付きカメラシステムの利用について」と題する報告書（以下「本件報告書」といいます。）を公表しました※3。本件報告書の対象は、個人情報取扱事業者が、駅や空港等の不特定多数の者が出入りする大規模な施設等において、犯罪予防や安全確保のために顔識別機能付きカメラシステムにより顔画像及び顔特徴データを取り扱う場合に限定されていますが、これに該当する場合、従来型の防犯カメラの利用とは異なり、顔識別機能を用いていること等を明らかにする方法で利用目的の特定が求められる旨や、利用目的の通知・公表の例外である法21条4項4号には該当しない旨等、事業者における取扱いに係る留意事項等が示されています※4。

　また、個人情報保護委員会は、2023年9月、顔画像を取得する機能を有するサーマルカメラを使用する場合における個人情報保護法上の留意点等について、注意喚起文書を公表しました※5。サーマルカメラを使用する事業者において、当該カメラが特定の個人を識別することができる顔画像を取得する機能を有しているかどうか等を確認した上で、利用目的規律、適正取得規律及び安全管理措置の検討等、法に従った対応を行うことを求めています。

3. 改正電気通信事業法の施行

　2023年6月16日、改正電気通信事業法が施行されました。改正の内容は多岐にわたりますが、とりわけ外部送信規律は、電気通信事業者に加え、それまで検閲の禁止及び通信の秘密を除いて法の適用対象外であったいわゆる第三号事業者も対象としており、メッセージ等の媒介サービス、SNS、オンライン検索サービス、ニュースサイトのオンライン情報提供等を行う事業者を含め、多数の事業者に影響があります※6。

4. 次世代医療基盤法の改正

　2023年5月26日、個人情報保護法の特別法である次世代医療基盤法の改正法※7が公布されました。改正法の主眼の一つとして、既存の匿名加工医療情報に加え、仮名加工医療情報の利活用に係る仕組みが新たに創設され、仮名加工医療情報利用事業者について大臣の認定が必要とされることとなりました。2024年1月12日には、次世代医療基盤法施行令及び施行規則の改正案の概要、ガイドライン案並びに基本方針案の概要が公表されると共に、パブリックコメント手続きにおける意見募集が開始されています※8。改正法の施行日は、一部を除き公布の日から起算して1年以内で政令により定める日とされており、現時点では2024年4月1日が予定されています。

2. 当局による執行事例等

1. 個人情報保護委員会の活動実績

　以下の表は、個人情報保護委員会が公表している民間事業者に対する監督等の実績をまとめたものです※9。

　令和5年度上半期は、前年同期と比較して、個人データの漏えい等事案の報告の受付数が約2倍となっています。2022年4月1日の令和2年改正法により漏えい等報告が義務化されて以降、受付数は増加し続けており、義務化以前の令和3年度上半期と比較すると、個人データの漏えい等事案の報告の受付数は約6倍になっています。

　また、報告徴収の件数は前年同期と比してほぼ同程度であったものの、指導・助言の件数は約5倍に増加しています。令和5年度の個人情報保護委員会活動方針※10には、前年度の同方針には記載のなかった「同種の事態が起きないよう機動的に必要な指導・助言、勧告等の法執行を行うほか、必要に応じて注意喚起等を行う。」との記載があり、今般の指導・助言の件数の大幅な増加は、同方針に則した活動の結果と思われます。下記4．2に記載のいわゆる3年ごと見直しに関する検討の方向性において、実効性のある監視・監督の在り方が示されていることにも繋がっているものと思われます。

2. 公表された執行事案

　2023年の民間事業者に対する執行事案で、個人情報保護委員会により公表されたものは下の表のとおりです。

　1の事案に係る刑事告発は、個人情報保護同委員会として初めて行った刑事告発です。

　3及び4の事案においては、事業者が保管していた個人データが想定されている範囲とは異なる範囲の者により閲覧できる状態になっていましたが、他にも同種の事案が複数報道されています。事業者においては、改めてシステムのアクセス権限に係る設定を確認する等の方法により、個人データの安全管理のために必要かつ適切な措置を講ずることが推奨されます。

3. 個人情報漏えい等事案

　株式会社東京商工リサーチの調査※15によりますと、2023年に上場企業とその子会社が公表した個人情報の漏えい・紛失事故は175件、漏えいした個人情報は前年の約7倍の4,090万8,718人分と大幅に増加しており、ウイルス感染・不正アクセスの件数が過去最多であったとも指摘されています。

　2023年11月には、国内のIT事業者において、第三者の不正アクセスにより40万件を超える個人情報の漏えい（おそれを含みます。）が発生したことが、当該事業者により公表されました。海外の関係会社の委託先従業員のPCがマルウェアに感染したことを契機として、共通の認証基盤で管理されていた海外の関係会社のシステムを介して、当該事業者のシステムにも不正アクセスが行われたことによるものです。

　委託先を含めたサイバー攻撃への対策やネットワーク環境・アクセス管理について、自社の備えを確認しておくのも一案と思われます。

3. 注目を集めたトピック

　以上のほか、2023年に注目を集めた個人情報保護・プライバシーに関する主なトピックとしては、以下が挙げられます。

1. 生成AIに関する注意喚起

　2022年末にOpenAI社が公開したChatGPTの利用が世界中で急速に拡大する中、各国のデータ保護当局が生成AIにおける個人情報の利用について検討し、2023年3月末にはイタリアのデータ保護当局がChatGPTを一時使用禁止としました。そのような中、個人情報保護委員会は、2023年6月2日、生成AIサービスの利用に関して注意喚起文書（以下「本件文書」といいます。）を公表しました※16。

　本件文書は、OpenAI社に対する注意喚起の概要とともに、生成AIを利用するに当たって個人情報取扱事業者や一般の利用者に向けた留意事項を公表したものです。本件文書では、生成AIサービスを利用する個人情報取扱事業者において、①生成AIサービスに個人情報を含むプロンプトを入力する場合には、特定された当該個人情報の利用目的の範囲内であることを十分に確認すること、②本人の事前の同意を得ることなく生成AIサービスに個人データを含むプロンプトを入力する場合、AIサービス提供事業者が、プロンプトに対する応答結果の出力以外の目的（例：機械学習）で入力された個人データを取り扱わないことを十分に確認することとされています。

　上記②は、プロンプトに入力した個人データがプロンプトに対する応答結果の出力の目的でのみ取り扱われる場合、当該プロンプトに入力する行為は個人データの「提供」に該当せず※17、本人の事前の同意を要しないが、それ以外の目的で取り扱われる場合は個人データの「提供」に当たり得ることを前提としていると考えられ、これは、少なくとも生成AIのプロンプト入力の場面に限っては、個人情報保護委員会がいわゆるクラウド例外の解釈を拡張したものと見ることもできるように思われます。

2. 全国初の不正提供罪の適用

　以前勤務していた会社の営業先等に関する名刺データを不正に転職先に提供したという容疑で、当該会社の元従業員が2023年9月に個人情報保護法の不正提供罪（法179条）により逮捕・起訴され、その後有罪が確定しました。不正提供罪は2015年に新設されましたが、警視庁によると、同罪による逮捕は全国初とのことです。

　通常、営業秘密の不正持ち出しには不正競争防止法の適用が考えられますが、本件の名刺データのように「営業秘密」に該当しない可能性のある情報の不正持ち出しであっても、個人情報保護法上の罰則の適用を受ける可能性があることは注目されます※18。

3. サイバーセキュリティ関係法令Q&Aハンドブックの改訂

　2023年9月、内閣官房内閣サイバーセキュリティセンター（NISC）により、「サイバーセキュリティ関係法令Q&Aハンドブック」の改訂版が公表されました※19。2023年は、ウクライナ情勢を巡る報道のほか、マルウェアであるEmotetの活動再開やランサムウェア被害の増加等、サイバーセキュリティを巡る話題が多く取り上げられましたが、本件Q&Aハンドブック改訂はこのようなサイバーセキュリティを取り巻く環境変化、関係法令・ガイドライン等の成立・改正を踏まえて行われたものです。本Q&Aハンドブックでは、ECサイトを模した「サイト構築型」のフィッシングによる個人情報漏えいに関する記載等もあり、サイバーセキュリティに関する最新の問題やその対策について触れられています。本Q&Aハンドブックを確認し、改めてサイバーセキュリティについての体制を整えることが有益であるといえます。

4. 2024年の展望

1. 個人情報保護法施行規則及びガイドライン改正

　2023年12月に、個人情報保護法施行規則及びガイドラインの改正が成立しました※20。実務への影響が想定される内容として、漏えい等報告及び安全管理措置について、対象となる個人データの範囲が、既に個人情報データベース等を構成する個人データのみならず、「個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、個人データとして取り扱われることが予定されているもの」に拡大されています※21。

　当該改正は、近時問題となっているWebスキミングを念頭においたものであり、本年4月1日から施行される予定です。事業者においては、個人情報取扱規程その他の内部規定を見直し、当該改正を踏まえた安全管理措置及びインシデント対応を行う体制を整備することが望まれます。

2. 3年ごと見直しの検討状況

　個人情報保護法の令和2年改正法附則10条の規定を踏まえ、個人情報保護委員会は、現在、いわゆる3年ごと見直しについて検討を進めており、2023年11月には、3年ごと見直しについての検討の方向性を公表しました※22。

　ここでは大きく3つの方向性が示されており、上記2.2に記載した破産者マップ事案や不正提供事案等を受け、①技術発展等を踏まえた実質的な個人の権利利益の保護の在り方、②このような重大かつ悪質な事案に対して実効性のある監視・監督の在り方、そして③各分野の特性も踏まえた個人情報等の利活用についての検討が進められています。本年春には「中間整理」が公表される見込みで、これを踏まえた改正法は令和7年の通常国会で審議されることが予定されています。次回改正法の方向性及び内容については、本ニュースレターでも随時取り上げる予定です。