2020年改正の個人情報保護法

１．2020年改正予定の内容
　　　
　　　2019年、就活情報サイトに登録した学生の行動履歴などを分析して、学生が内定を辞退する確率を予測して
　　企業に販売していたことが問題になりましたが、データの利用活用が、こういった個人の不利益につながることが
　　ないように、2020年、個人情報保護法が改正される予定です。
　　　そこで今回は、改正予定の個人情報保護法の最低限知っておきたいポイントについてまとめます。

１．個人情報保護法 3年ごとの見直し（改正大綱）とは
　　　わが国の個人情報保護法は、3年ごとに検討のうえ、必要に応じて改正されることになっており、この「3年ごとの
　　見直し」が、2020年に予定されています。
　　　2019年12月13日に、個人情報保護委員会により「個人情報保護法（いわゆる3年ごと見直し）制度改正大綱」
　　が公表されました。

　　主な内容としては以下の４点です。
　　・個人の利用停止等の権利の拡充
　　・事業者が6カ月以内に消去するデータも保有個人データに含めること
　　・漏えい等報告の義務化
　　・データ活用推進のための「仮名化情報」の導入等

２．個人データと個人の権利
まず、改正される個人情報保護法で、個人の権利がどうなるのかを見てみましょう。

（１）利用停止権、消去権、第三者提供停止権の強化
　私たちは、自分の個人データを持つ事業者に対して、そのデータの利用停止、消去、第三者提供の停止を請求することができます。しかし現行では、個人情報保護法に違反し、事業者がデータを取得、取扱い、提供しているときのみ停止請求ができるということになっています。
　➡改正大綱では、現行要件を緩和し、個人の権利を拡大する方向。

（２）開示のデジタル化の推進
　現行、保有個人データの開示請求は、原則として書面の交付による。
　➡改正大綱では、「原則として、本人が指示した方法により開示するよう義務付ける」
　　　本人の利便性向上の観点から、電磁的記録の提供を含めるため。
　　例外：多額の費用を要するなど、その方法による開示が困難な場合→本人に対して通知を行うことが義務。

（３）保有個人データ範囲の拡大
　保有個人データとは、個人データのうち、個人情報取扱事業者が、本人の求めに応じて、開示、内容の訂正、追加または削除、利用の停止、消去、第三者提供停止を行うデータのこと。
　現行法では、取得時から6カ月以内に消去することとなる個人データは、保有個人データには該当しない。
　➡6カ月以内に消去する個人データについても、保有個人データに含める。
　　情報化の進展によって、個人の権利利益を侵害する可能性が高まっているため。

その他①届出があれば本人の同意なく第三者提供できる、いわゆるオプトアウト規定の範囲を限定。
　　　②第三者提供・受領時の記録開示ルールの厳格化等。

３．事業者の責務と取り組み方（事業者が対応すべき範囲の拡大）
　主なものは次の通りです。
（１）漏えい報告の義務化
　　現行の個人情報保護法では、個人情報取扱事業者の個人情報の漏えい等の報告は努力義務。
　　➡改正大綱では義務化される予定。「一定数以上の個人データ漏えい等、一定の累計に該当する場合」に限定。
　　　報告義務の対象となる漏えい等があった場合は、本人への通知が必要。

（２）適正な利用義務の明確化
　　改正大綱では、「個人情報取扱事業者は、適正とは認めがたい方法による、個人情報の利用を行ってはならない旨
　　の明確化」
　　◎情報通信技術等の進展により、個人情報が不適正に扱われている事例が増加しているため。

（３）保有個人データに関する公表事項の充実
「個人情報の取扱体制や講じている措置の内容、保有個人データの処理方法等の本人に説明すべき事項」の新たな公表事
　項としての追加。

４．データ利用、活用のあり方
（１）「仮名化情報」の創設
　　現行法法では、「匿名加工情報（個人が特定できない形に加工し、元に戻せない状態にしたデータ）」が定義され、
　個人の特定ができないため個人情報には該当せず、提供方法を公表すれば、本人の同意を得ることなく、データを第三
　者へ提供することが可能となっている。

　▲「匿名加工情報」は、従来から、その制約のため活用が難しいため、今回新たに「仮名化情報」が導入される。
　　データの一部を置き換える等の措置により、追加情報がないと個人を特定できない、個人情報の類型データとされています。

例えば、氏名、性別、年齢で構成されるデータがあったとします。氏名を別の文字、記号等に置き換えた場合、性別、年齢だけでは個人を特定できず、元データの氏名という追加的情報があった時に個人が特定できるようなデータが仮名化データとみなされます。

図：仮名化情報の事例

改正大綱では、「他の情報と照合しなければ特定の個人を識別することができないように加工された個人情報の類型として『仮名化情報』を導入する」。この仮名化情報は、「本人を識別する利用を伴わない、事業者内部における分析に限定するための一定の行為規制」の対象となります。
　◎イノベーションを促進する観点からの導入。
　➡仮名化情報については、本人からの請求（開示、訂正等、利用停止など）への対応義務が緩和され、様々な分析に活
　　用できるようになる。

（２）個人データの提供基準の明確化
個人情報保護法では、他の情報と容易に照合でき、その組み合わせによって個人を特定できる情報も個人情報に該当するとしています。この「他の情報と容易に照合でき」るかどうかの判定について、現状は、「提供元基準」と言われる、提供元で他の情報と容易に照合できる場合は個人情報に該当することになっています。
　➡改正大綱では、このような状況のもと、「提供元では個人データに該当しないものの、提供先において個人データになることが明らかな情報について、個人データの第三者提供を制限する規律を適用する」としている。

TEL:090-1103-1990 　　FAX: 045-471-1990
Mail: info@shio20.com