icon-angleicon-facebookicon-hatebuicon-instagramicon-lineicon-linked_inicon-pinteresticon-twittericon-youtubelogo-not
People 弁護士等紹介

多岐にわたる分野の専門的知識と実績を持つ弁護士が機動的にチームを組み、質の高いアドバイスや実務的サポートを行っています。

Publications 著書/論文

当事務所の弁護士等が執筆したニュースレター、論文・記事、書籍等のご紹介です。多様化・複雑化する法律や法改正の最新動向に関して、実務的な知識・経験や専門性を活かした情報発信を行っています。

Seminars 講演/セミナー

当事務所では、オンライン配信を含め、様々な形態でのセミナーの開催や講演活動を積極的に行っています。多岐にわたる分野・テーマの最新の企業法務の実務について解説しています。

Who We Are 事務所紹介

長島・大野・常松法律事務所は、国内外での豊富な経験・実績を有する日本有数の総合法律事務所です。 企業が直面する様々な法律問題に対処するため、複数の弁護士が協力して質の高いサービスを提供することを基本理念としています。

SCROLL
TOP
Publications 著書/論文
ニュースレター

個人情報保護・プライバシー 2023年の振り返りと2024年の展望 ~日本編~

NO&T Data Protection Legal Update 個人情報保護・データプライバシーニュースレター

※本ニュースレターは情報提供目的で作成されており、法的助言ではありませんのでご留意ください。また、本ニュースレターは発行日(作成日)時点の情報に基づいており、その時点後の情報は反映されておりません。特に、速報の場合には、その性格上、現状の解釈・慣行と異なる場合がありますので、ご留意ください。

2023年も、世界各国で、個人情報保護及びデータに関連する法令が成立・改正・施行され、当局による重要な執行事例やサイバー攻撃、不正アクセスによる情報漏えい事案も多く見られました。また、AI規制、子どものプライバシー、医療データの利活用といった関連領域についても、国内外で活発な議論・規則化が行われています。本年もこの流れは継続することは間違いなく、グローバルに活動している日本企業にとって、各国における規制動向や潮流をタイムリーに把握し、平時・有事に備えることが重要です。

本ニュースレターでは、本号から4回にわたり、日本、米国欧州中国を含むアジアという各主要地域について、昨年の個人情報保護・データプライバシーに関する動き(法令改正・当局ガイダンス、当局による執行事例やデータインシデント、生成AIその他注目を集めたトピック)を振り返ると共に、本年の展望をご紹介してまいります。

1. 法令改正・当局ガイダンス

1. 令和3年改正法の全面施行

 2023年4月1日、個人情報保護法(以下「法」といいます。)のいわゆる官民一元化を図った令和3年改正法が全面施行されました※1。今般の主な施行内容は、地方公共団体にも個人情報保護法の適用が認められた点にあり、民間事業者にとって直接的に関係するものではありませんが、これにより個人情報保護法による共通ルールが全国的に適用されたこととなります※2

2. カメラの利用について

 個人情報保護委員会は、2023年3月、「犯罪予防や安全確保のための顔識別機能付きカメラシステムの利用について」と題する報告書(以下「本件報告書」といいます。)を公表しました※3。本件報告書の対象は、個人情報取扱事業者が、駅や空港等の不特定多数の者が出入りする大規模な施設等において、犯罪予防や安全確保のために顔識別機能付きカメラシステムにより顔画像及び顔特徴データを取り扱う場合に限定されていますが、これに該当する場合、従来型の防犯カメラの利用とは異なり、顔識別機能を用いていること等を明らかにする方法で利用目的の特定が求められる旨や、利用目的の通知・公表の例外である法21条4項4号には該当しない旨等、事業者における取扱いに係る留意事項等が示されています※4

 また、個人情報保護委員会は、2023年9月、顔画像を取得する機能を有するサーマルカメラを使用する場合における個人情報保護法上の留意点等について、注意喚起文書を公表しました※5。サーマルカメラを使用する事業者において、当該カメラが特定の個人を識別することができる顔画像を取得する機能を有しているかどうか等を確認した上で、利用目的規律、適正取得規律及び安全管理措置の検討等、法に従った対応を行うことを求めています。

3. 改正電気通信事業法の施行

 2023年6月16日、改正電気通信事業法が施行されました。改正の内容は多岐にわたりますが、とりわけ外部送信規律は、電気通信事業者に加え、それまで検閲の禁止及び通信の秘密を除いて法の適用対象外であったいわゆる第三号事業者も対象としており、メッセージ等の媒介サービス、SNS、オンライン検索サービス、ニュースサイトのオンライン情報提供等を行う事業者を含め、多数の事業者に影響があります※6

4. 次世代医療基盤法の改正

 2023年5月26日、個人情報保護法の特別法である次世代医療基盤法の改正法※7が公布されました。改正法の主眼の一つとして、既存の匿名加工医療情報に加え、仮名加工医療情報の利活用に係る仕組みが新たに創設され、仮名加工医療情報利用事業者について大臣の認定が必要とされることとなりました。2024年1月12日には、次世代医療基盤法施行令及び施行規則の改正案の概要、ガイドライン案並びに基本方針案の概要が公表されると共に、パブリックコメント手続きにおける意見募集が開始されています※8。改正法の施行日は、一部を除き公布の日から起算して1年以内で政令により定める日とされており、現時点では2024年4月1日が予定されています。

2. 当局による執行事例等

1. 個人情報保護委員会の活動実績

 以下の表は、個人情報保護委員会が公表している民間事業者に対する監督等の実績をまとめたものです※9

R3
上半期
R3
下半期
R4
上半期
R4
下半期
R5
上半期
個人データの漏えい等
事案の報告の受付
517件 525件 1587件 2630件 3154件
報告徴収 179件 149件 62件 19件 60件
立入検査 0件 0件 1件 0件 0件
指導・助言 113件 104件 30件 85件 165件
勧告 1件 2件 1件 0件 0件
命令 0件 1件 0件 1件 0件

 令和5年度上半期は、前年同期と比較して、個人データの漏えい等事案の報告の受付数が約2倍となっています。2022年4月1日の令和2年改正法により漏えい等報告が義務化されて以降、受付数は増加し続けており、義務化以前の令和3年度上半期と比較すると、個人データの漏えい等事案の報告の受付数は約6倍になっています。

 また、報告徴収の件数は前年同期と比してほぼ同程度であったものの、指導・助言の件数は約5倍に増加しています。令和5年度の個人情報保護委員会活動方針※10には、前年度の同方針には記載のなかった「同種の事態が起きないよう機動的に必要な指導・助言、勧告等の法執行を行うほか、必要に応じて注意喚起等を行う。」との記載があり、今般の指導・助言の件数の大幅な増加は、同方針に則した活動の結果と思われます。下記4.2に記載のいわゆる3年ごと見直しに関する検討の方向性において、実効性のある監視・監督の在り方が示されていることにも繋がっているものと思われます。

2. 公表された執行事案

 2023年の民間事業者に対する執行事案で、個人情報保護委員会により公表されたものは下の表のとおりです。

 1の事案に係る刑事告発は、個人情報保護同委員会として初めて行った刑事告発です。

 3及び4の事案においては、事業者が保管していた個人データが想定されている範囲とは異なる範囲の者により閲覧できる状態になっていましたが、他にも同種の事案が複数報道されています。事業者においては、改めてシステムのアクセス権限に係る設定を確認する等の方法により、個人データの安全管理のために必要かつ適切な措置を講ずることが推奨されます。

No. 執行対象 事案の概要 処分内容
1 破産者情報を提供する事業者※11 多数の破産者(破産手続開始決定を受けた者)等の個人データをウェブサイトで容易に検索可能な形で違法に提供した事業者が、個人情報保護委員会による法145条2項に基づく命令や法143条1項に基づく報告徴収に係る対応をしなかった事案について、同事業者に対し、関係捜査機関への告発を実施したもの 法173条に係る違反行為及び法177条1号に係る違反行為に関する関係捜査機関への告発(1月11日)
2 兵庫県尼崎市の業務の再委託先事業者※12 尼崎市から臨時特別給付金支給事務を受託していた事業者から再委託されたITサービス事業者の従業員が、同市の住民の個人データが保存されたUSBメモリを紛失した事案について、同事業者に対し、安全管理措置の十分性の確認及び改善策の実施等を指導したもの 法144条に基づく指導(2月22日)
3 送配電事業者及び小売電気事業者※13 電力の送配電を行う事業者及びそのグループ会社又は同一会社の小売部門である電力の小売事業を行っている事業者において、共同利用している顧客データベースを保管するシステムや操作端末の管理の不備が生じていたとされ、個人データの取扱いの委託先の監督が必要かつ適切なものといえず、また、同データベースから個人データが取得されていた方法が適切でないと評価された事案について、同事業者らに対し、法上の問題点を踏まえた確実な対策を講ずること並びに個人データの適正な取得、安全管理措置の確認及び委託先の管理を講じること等を指導したもの 法147条に基づく指導(6月29日)
4 個人データの取扱業務の委託先※14 車両利用者に対するサービスを提供する事業者が同サービスに関する個人データの取扱いを関連会社に委託していたところ、同サービスのためのサーバが公開状態に置かれていたことにより同個人データが外部から閲覧できる状態にあった事案について、個人データの安全管理のために必要かつ適切な措置を講ずること等を指導したもの 法147条に基づく指導(7月12日)

3. 個人情報漏えい等事案

 株式会社東京商工リサーチの調査※15によりますと、2023年に上場企業とその子会社が公表した個人情報の漏えい・紛失事故は175件、漏えいした個人情報は前年の約7倍の4,090万8,718人分と大幅に増加しており、ウイルス感染・不正アクセスの件数が過去最多であったとも指摘されています。

 2023年11月には、国内のIT事業者において、第三者の不正アクセスにより40万件を超える個人情報の漏えい(おそれを含みます。)が発生したことが、当該事業者により公表されました。海外の関係会社の委託先従業員のPCがマルウェアに感染したことを契機として、共通の認証基盤で管理されていた海外の関係会社のシステムを介して、当該事業者のシステムにも不正アクセスが行われたことによるものです。

 委託先を含めたサイバー攻撃への対策やネットワーク環境・アクセス管理について、自社の備えを確認しておくのも一案と思われます。

3. 注目を集めたトピック

 以上のほか、2023年に注目を集めた個人情報保護・プライバシーに関する主なトピックとしては、以下が挙げられます。

1. 生成AIに関する注意喚起

 2022年末にOpenAI社が公開したChatGPTの利用が世界中で急速に拡大する中、各国のデータ保護当局が生成AIにおける個人情報の利用について検討し、2023年3月末にはイタリアのデータ保護当局がChatGPTを一時使用禁止としました。そのような中、個人情報保護委員会は、2023年6月2日、生成AIサービスの利用に関して注意喚起文書(以下「本件文書」といいます。)を公表しました※16

 本件文書は、OpenAI社に対する注意喚起の概要とともに、生成AIを利用するに当たって個人情報取扱事業者や一般の利用者に向けた留意事項を公表したものです。本件文書では、生成AIサービスを利用する個人情報取扱事業者において、①生成AIサービスに個人情報を含むプロンプトを入力する場合には、特定された当該個人情報の利用目的の範囲内であることを十分に確認すること、②本人の事前の同意を得ることなく生成AIサービスに個人データを含むプロンプトを入力する場合、AIサービス提供事業者が、プロンプトに対する応答結果の出力以外の目的(例:機械学習)で入力された個人データを取り扱わないことを十分に確認することとされています。

 上記②は、プロンプトに入力した個人データがプロンプトに対する応答結果の出力の目的でのみ取り扱われる場合、当該プロンプトに入力する行為は個人データの「提供」に該当せず※17、本人の事前の同意を要しないが、それ以外の目的で取り扱われる場合は個人データの「提供」に当たり得ることを前提としていると考えられ、これは、少なくとも生成AIのプロンプト入力の場面に限っては、個人情報保護委員会がいわゆるクラウド例外の解釈を拡張したものと見ることもできるように思われます。

2. 全国初の不正提供罪の適用

 以前勤務していた会社の営業先等に関する名刺データを不正に転職先に提供したという容疑で、当該会社の元従業員が2023年9月に個人情報保護法の不正提供罪(法179条)により逮捕・起訴され、その後有罪が確定しました。不正提供罪は2015年に新設されましたが、警視庁によると、同罪による逮捕は全国初とのことです。

 通常、営業秘密の不正持ち出しには不正競争防止法の適用が考えられますが、本件の名刺データのように「営業秘密」に該当しない可能性のある情報の不正持ち出しであっても、個人情報保護法上の罰則の適用を受ける可能性があることは注目されます※18

3. サイバーセキュリティ関係法令Q&Aハンドブックの改訂

 2023年9月、内閣官房内閣サイバーセキュリティセンター(NISC)により、「サイバーセキュリティ関係法令Q&Aハンドブック」の改訂版が公表されました※19。2023年は、ウクライナ情勢を巡る報道のほか、マルウェアであるEmotetの活動再開やランサムウェア被害の増加等、サイバーセキュリティを巡る話題が多く取り上げられましたが、本件Q&Aハンドブック改訂はこのようなサイバーセキュリティを取り巻く環境変化、関係法令・ガイドライン等の成立・改正を踏まえて行われたものです。本Q&Aハンドブックでは、ECサイトを模した「サイト構築型」のフィッシングによる個人情報漏えいに関する記載等もあり、サイバーセキュリティに関する最新の問題やその対策について触れられています。本Q&Aハンドブックを確認し、改めてサイバーセキュリティについての体制を整えることが有益であるといえます。

4. 2024年の展望

1. 個人情報保護法施行規則及びガイドライン改正

 2023年12月に、個人情報保護法施行規則及びガイドラインの改正が成立しました※20。実務への影響が想定される内容として、漏えい等報告及び安全管理措置について、対象となる個人データの範囲が、既に個人情報データベース等を構成する個人データのみならず、「個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、個人データとして取り扱われることが予定されているもの」に拡大されています※21

 当該改正は、近時問題となっているWebスキミングを念頭においたものであり、本年4月1日から施行される予定です。事業者においては、個人情報取扱規程その他の内部規定を見直し、当該改正を踏まえた安全管理措置及びインシデント対応を行う体制を整備することが望まれます。

2. 3年ごと見直しの検討状況

 個人情報保護法の令和2年改正法附則10条の規定を踏まえ、個人情報保護委員会は、現在、いわゆる3年ごと見直しについて検討を進めており、2023年11月には、3年ごと見直しについての検討の方向性を公表しました※22

 ここでは大きく3つの方向性が示されており、上記2.2に記載した破産者マップ事案や不正提供事案等を受け、①技術発展等を踏まえた実質的な個人の権利利益の保護の在り方、②このような重大かつ悪質な事案に対して実効性のある監視・監督の在り方、そして③各分野の特性も踏まえた個人情報等の利活用についての検討が進められています。本年春には「中間整理」が公表される見込みで、これを踏まえた改正法は令和7年の通常国会で審議されることが予定されています。次回改正法の方向性及び内容については、本ニュースレターでも随時取り上げる予定です。

脚注一覧

※1
令和3年改正法のうち、デジタル社会形成整備法51条による改正に係る部分(地方関係)の施行。なお、同法50条による改正に係る部分(国・独立行政法人等・学術研究関係)は、2022年4月1日に施行されています。

※2
なお、それを受けて都道府県や市区町村等各団体による個人情報保護法施行条例の整備がなされています。2023年12月20日時点での措置状況は、https://www.ppc.go.jp/files/pdf/231220_shiryou-6.pdfもご参照ください。

※3
https://www.ppc.go.jp/files/pdf/kaoshikibetsu_camera_system.pdf
本件報告書は、2022年1月に設置された「犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会」で取りまとめられたものであり、顔識別機能付きカメラシステムを導入する個人情報取扱事業者における留意事項や自主的取組事項について記載されています。

※4
その後、本件報告書を受けてガイドラインQ&Aが改正されたことに加え、「カメラに関するQ&A」として、ガイドラインQ&Aより抜粋したものも公表されているほか、個人情報保護委員会のHPにて特設サイトの設置も行われています。

※5
https://www.ppc.go.jp/news/careful_information/230913_alert_thermal_camera/
なお、サーマルカメラを製造・販売する事業者に対する文書も同時に公表されており、サーマルカメラのユーザー等に対する周知事項が示されています。

※6
詳細については、個人情報保護・データプライバシーニュースレターNo.26・テクノロジー法ニュースレターNo.32(「改正電気通信事業法(2023年6月16日施行)における、利用者情報の外部送信規制のポイント(2023年5月31日更新版)」)をご参照ください。

※7
改正後の正式名称は、「医療分野の研究開発に資するための匿名加工医療情報に関する法律」。

※8
詳細については、薬事・ヘルスケアニュースレターNo.26(「次世代医療基盤法の政省令改正案の概要及びガイドライン案等の公表について」)をご参照ください。

※9
ここでは個人情報保護委員会が直接受付又は実施したものの集計値を記載しており、この他に、委任先省庁等を経由して受付したもの及び委任先省庁の実施した報告徴収・立入検査が存在します。

※15
株式会社東京商工リサーチ「~2023年「上場企業の個人情報漏えい・紛失事故」調査~」(2024年1月19日)

※17
したがって、第三者提供規律である法27条及び28条の適用も受けないものと考えられます。

※21
漏えい等報告について改正後の施行規則7条3号、安全管理措置について法23条。

本ニュースレターは、各位のご参考のために一般的な情報を簡潔に提供することを目的としたものであり、当事務所の法的アドバイスを構成するものではありません。また見解に亘る部分は執筆者の個人的見解であり当事務所の見解ではありません。一般的情報としての性質上、法令の条文や出典の引用を意図的に省略している場合があります。個別具体的事案に係る問題については、必ず弁護士にご相談ください。


全文ダウンロード(PDF)

Legal Lounge
会員登録のご案内

ホットなトピックスやウェビナーのアーカイブはこちらよりご覧いただけます。
最新情報をリリースしましたらすぐにメールでお届けします。

会員登録はこちら

弁護士等

個人情報保護・プライバシーに関連する著書/論文

テクノロジーに関連する著書/論文

AI・ロボットに関連する著書/論文

サイバーセキュリティに関連する著書/論文

決定 業務分野を選択
決定