インテグリティな日々

『憲法ガール』著者(弁護士)の大島義則が日々思ったことを綴ります。

個人情報保護法に関する政令案及び規則案の概要

PDF版:個人情報保護法に関する政令案及び規則案の概要.pdf

        

         個人情報保護法に関する政令案及び規則案の概要

 

                             平成28年9月16日

                              弁護士 加藤 伸樹

                              弁護士 松尾 剛行

                              弁護士 大島 義則

 

1.はじめに

 本ブログの管理者である大島義則と、弁護士の加藤伸樹及び松尾剛行は、共同で個人情報保護法に関する研究を進めており、共同研究の成果として、『金融機関における個人情報保護の実務』(経済法令研究会、2016年)等が存在します。(なお、同書では、私たち3人以外にも、多くの弁護士に執筆者となって頂きました。)

 ここで、平成28年8月2日に個人情報保護法に関する政令案及び規則案が公表され、パブリックコメントに付され、私たちもこの政令案及び規則案の内容を検討しましたので、その概要をご紹介し、皆様の研究や実務のお役に立てればと考えております。

 

2.個人情報の意義

・個人識別符号型個人情報

・要配慮個人情報

・匿名加工情報

等の定義については、政令及び規則に委任されており、本書では政令や規則の改正・制定の方向性について言及していたところです。

 以下、政令案・規則案の概要を説明します。

 

(1)個人識別符号型個人情報

ア 法の定め

 個人識別符号型個人情報については、法2条2項が「この法律において「個人識別符号」とは、次の各号のいずれかに該当する文字、番号、記号その他の符号のうち、政令で定めるものをいう。」とした上で、1号で「特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの」(1号個人識別符号)を、2号で「個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行されるカードその他の書類記載され、若しくは電磁的方式により記録された文字、番号、記号その他の符号であって、その利用者若しくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ、又は記載され、若しくは記録されることにより、特定の利用者若しくは購入者又は発行を受ける者を識別することができるもの」(2号個人識別符号)と規定しており、1号個人識別符号及び2号個人識別符号は政令で具体化されることとなっています。

 

イ 1号個人識別符号に関する政令案・規則案

 1号個人識別符号について政令案1条1号柱書は「次に掲げる身体の特徴のいずれかを電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、特定の個人を識別するに足りるものとして個人情報保護委員会規則で定める基準に適合するもの」と定義し、符号性及び特定個人識別性の2側面から1号識別符号の概念を明確化しようとしました。

 そして、政令案1条1号は、1号個人識別符号に該当しうる符号として、以下のものを指定しました。

 

【1号個人識別符号に該当しうる符号】

・細胞から採取されたでオキシリボ核酸(別名DNA)を構成する塩基の配列(イ)

・顔の骨格及び皮膚の色並びに目、鼻、口その他の顔の部位の位置及び形状によって定まる容貌(ロ)

虹彩の表面の起伏により形成される線状の模様(ハ)

・発声の際の声帯の振動、声門の開閉並びに声道の形状及びその変化(ニ)

・歩行の際の姿勢及び両腕の動作、歩幅その他の歩行の態様(ホ)

・手のひら又は手の甲若しくは指の皮下の静脈の分岐及び端点によって定まるその静脈の形状(へ)

・指紋又は掌紋(ト)

 

法2条2項1号は1号個人識別符号の要素として「当該特定の個人を識別することができるもの」(特定個人識別性)を定めています。法2条2項1号の特定個人識別性の要件に関しては必ずしも法令上明らかではなく、政令又は規則における具体化が必要とされますが、技術の進歩に応じて頻繁に見直す必要性があることから[1]規則で定めることとしました(政令案1条1号柱書)。そして、規則案2条は「特定の個人を識別することができる水準が確保されるよう、適切な範囲を適切な手法により電子計算機の用に供するために変換することとする。」と規定しました。

 政令案1条1号及び規則案2条に照らすと、例えば、遺伝子情報、容貌、虹彩、声紋[2]、歩行、静脈、指紋又は掌紋をデジタルデータ化した符号であって、その変換範囲・方法が、特定の個人を識別することができる水準を確保するものが、1号個人識別符号となると理解されます。

 

ウ 2号個人識別符号に関する政令案・規則案

 2号個人識別符号については、法2条2項2号が「個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ」た符号等と定めているように、法の文言上は民間の商品・サービスの販売に伴う会員番号等も想定されていたと思われますが、実際には次表のとおり政令案1条2号以下で公的な番号のみが指定されました。

  

【政令・規則で指定された2号個人識別符号】

・旅券の番号(政令案1条2号)

基礎年金番号(政令案1条3号)

・運転免許証の番号(政令案1条4号)

・住民票コード(政令案1条5号)

・個人番号(政令案1条6号)

国民健康保険の被保険者証の記号、番号及び保険者番号((政令案1条7号イ・規則案3条1号)

後期高齢者医療制度及び介護保険の被保険者証の番号及び保険者番号(政令案7号ロ・規則案3条2号)

介護保険の被保険者証の番号及び保険者番号(政令案1条7号ハ・規則案3条2号)

・上記に準じるものとして個人情報保護委員会規則で定める文字、番号、記号その他の符号(政令案1条8号):規則案4条1号~20号において20種類指定[3]

*各種被保険者証の番号等については政令案ではなく規則案で規定されている[4]

 このように、政令指定によって個人識別符号型個人情報の内容が明確化されたので、金融機関は、このような情報についても従来型個人情報(法2条1項1号)と同様に個人情報として保護をしなければならないことに留意が必要です。

 

(2)要配慮個人情報

ア 法の定め

 (法2条3項は、①人種、②信条、③社会的身分、④病歴、⑤犯罪の経歴、⑥犯罪により害を被った事実に加え、⑦その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報を要配慮個人情報としており、⑦の詳細について政令に委任されています。

 

イ 要配慮個人情報に関する政令案・規則案

 政令案2条は、以下のように障害、健康診断結果、指導・診療・調剤、刑事手続、少年保護手続に関する5種類の情報を要配慮個人情報に加えました。

 

【政令指定された要配慮個人情報】

・身体障害、知的障害精神障害発達障害を含む。)その他の個人情報保護委員会規則で定める心身の機能の障害[5]があること(政令案2条1号)

・本人に対して医師その他医療に関連する職務に従事する者(次号において「医師等」という。)により行われた疾病の予防及び早期発見のための健康診断その他の検査(同号において「健康診断等」という。)の結果(政令案2条2号)

・健康診断等の結果に基づき、又は疾病、負傷その他の心身の変化を理由として、本人に対して医師等により心身の状態の改善のための指導又は診療若しくは調剤が行われたこと(政令案2条3号)

・本人を被疑者又は被告人として、逮捕、捜索、差押え、勾留、公訴の提起その他の刑事事件に関する手続が行われたこと(政令案2条4号)

・本人を少年法(昭和二十三年法律第百六十八号)第三条第一項に規定する少年又はその疑いのある者として、調査、観護の措置、審判、保護処分その他の少年の保護事件に関する手続が行われたこと(政令案2条5号)

 

 法2条3項の「病歴」は病気に罹患した経歴を言うため、障害、健康診断結果、指導・診療・調剤及びゲノム情報についてはこれに該当することが明らかではなく、「病歴」に準ずるものとして政令指定することが検討されていました。今回の政令案においては、障害(政令案2条1号)、健康診断結果(同条2号)、指導・診療・調剤(同条3号)については政令指定されることとなりました。ゲノム情報については政令案2条2号の「健康診断等」又は同条3号の「診療」に含まれ、重ねて規定する必要はないことを理由に政令指定がされませんでした[6]

 法2条3項の「犯罪の経歴」の意義についても法令では不明確であり、前歴や少年事件が含まれるか争いになっていましたが、「犯罪の経歴」に準じるものとして政令案2条4号及び5号が定められ、少なくとも刑事手続が行われた場合及び少年の保護事件に関する手続が行われた場合には、政令の規定による要配慮個人情報に該当することが明確になりました。

 

(3)個人データ

ア 法の定め

 旧法においては個人情報データベース等を構成する個人情報が5000件以下の小規模事業者は法所定の義務を負う「個人情報取扱事業者」から除外され(旧法2条3項5号)、小規模事業者の負担を考慮してこの5000件をカウントする際にも市販の名簿等を編集・加工することなく利用している場合には、カウントから除外されていました。しかし今般の法改正により、この5000件以下除外規定が廃止されましたので、市販の名簿や同窓会名簿を扱っているだけでも「個人情報取扱事業者」になってしまうということが懸念されました。そこで、法2条4項括弧書きとして「個人情報データベース等」の中から「利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものを除く」という文言を追加し、政令において市販の名簿や同窓会名簿等について「個人情報データベース等」の概念から除外するかを検討することになりました。

 

イ 個人情報データベース等に関する政令案・規則案

 法2条4項括弧書きを受けて政令案3条1項は、以下の3条件を満たすものを「個人情報データベース等」から外すことにしています。

 

①不特定かつ多数の者に販売することを目的として発行されたものであって、かつ、その発行が法又は法に基づく命令の規定に違反して行われたものでないこと。

②不特定かつ多数の者により随時に購入することができ、又はできたものであること。

③生存する個人に関する他の情報を加えることなくその本来の用途に供しているものであること。

 

例えば、適法に作成・発行され、市販される電話帳や住宅地図等について、加工等を施さず、電話を掛けるためや行き先を探すため等の本来の目的で利用する場合、電話帳や住宅地図等は個人情報データベース等に該当しないことになります。他方で、同窓会名簿については政令指定されないことと整理されています。

 

3.要配慮個人情報の取得

 要配慮個人情報の取得については、以下の通り政令案及び規則案の定めが設けられています。

 

ア 法の定め

 要配慮個人情報の取得について法17条2項は「個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない。」とした上で、

・法令に基づく場合(1号)

・人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき(2号)

・公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき(3号)

・国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき(4号)

・当該要配慮個人情報が、本人、国の機関、地方公共団体、第七十六条第一項各号に掲げる者その他個人情報保護委員会規則で定める者により公開されている場合(5号)

を挙げた上で、6号で、「その他前各号に掲げる場合に準ずるものとして政令で定める場合」を挙げています。

 

イ 要配慮個人情報の取得に関する政令案・規則案

(ア)法17条2項6号に関する政令案

 法17条2項6号に基づき事前の本人同意なくして要配慮個人情報を取得できる場合として、政令案7条は、

①本人を目視し、又は撮影することにより、その外形上明らかな要配慮個人情報を取得する場合(同条1号)

②法第二十三条第五項各号に掲げる場合において、個人データである要配慮個人情報の提供を受けるとき(同条2号)

の2つを規定しています。

政令案7条1号は、いわゆる「映り込み」を想定して、例えば、銀行のATMを撮影するカメラに障害者が映り込んだとしても、これが違法とならないようにする趣旨と理解されます。要配慮個人情報を保有する本人が社会生活を送るにあたり外形上明らかなことについては要配慮個人情報に含まれる事項を公にすることを想定している一方で、映り込み等の事案に関する事業者の過度の負担を軽減する必要があることから、定められたものと考えられます[7]

 政令案7条2号は、法23条に基づく要配慮個人情報の提供の可否を整理する趣旨の規定であると考えられますまず、本人の同意に基づく場合又は法23条1項各号により第三者提供が行われる場合における受領者側の取得については、法17条2項の明文でこれが認められています。次に、法23条2項は要配慮個人情報についてオプトアウトが禁止されていることを明記していますから、オプトアウトにより要配慮個人情報を取得することはあり得ません。残された問題は、法23条5項各号の委託、事業譲渡等、そして共同利用の場合であり、この場合に受領者が要配慮個人情報を取得できるか否かは、法の条文からは明らかではなく、疑問が残っていたところです。政令案7条2号により、法23条5項各号の委託、事業譲渡等、そして共同利用の場合に適法に要配慮個人情報を提供し、これを取得することができることが明確になりました。要配慮個人情報を提供する側が法23条5号により本人同意なくして要配慮個人情報を提供できることとしていることとの取扱いの均衡を図るため、要配慮個人情報の受領者においても本人同意を不要としたものであると理解されます。

 

個人データの第三者提供が認められる場合

要配慮個人情報取得の可否

根拠

本人の同意がある場合(法23条1項柱書)

法17条2項柱書

法令に基づく場合(法23条1項1号)

法17条2項1号

人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。(法23条1項2号)

法17条2項2号

公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。(法23条1項3号)

法17条2項3号

国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。(法23条1項4号)

法17条2項4号

オプトアウト(法23条2項)

×

法23条2項括弧書

委託(法23条5項1号)

法17条2項6号・政令案7条2号

事業譲渡等(法23条5項2号)

法17条2項6号・政令案7条2号

共同利用(法23条5項3号)

法17条2項6号・政令案7条2号

  

 法17条2項5号の「個人情報保護委員会規則で定める者」について、規則案6条は、(イ)法17条2項5号に関する規則案

①外国政府、外国の政府機関、外国の地方公共団体又は国際機関(1号)

②外国において法76条1項各号に掲げる者に相当する者(2号)

を定めました。

 ①②ともに、法17条2項5号に列挙されている「国の機関、地方公共団体、法76条1項各号に掲げる者」に準じた外国の機関等を指定したものといえます。

 

4.個人情報の利活用

 個人情報の利活用については、

・外国第三者提供

・確認・記録義務等(いわゆるトレーサビリティに関する義務)

・匿名加工情報

・オプトアウト

 について政令案及び規則案の定めがありますので、以下、簡単に説明します。

 

(1)外国第三者提供

ア 法の定め

 法24条においては、外国にある第三者への提供についての特別の規制が規定され、「個人情報取扱事業者は、外国(本邦の域外にある国又は地域をいう。以下同じ。)(個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるものを除く。以下この条において同じ。)にある第三者(個人データの取扱いについてこの節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者を除く。以下この条において同じ。)に個人データを提供する場合には、前条第一項各号に掲げる場合を除くほか、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。この場合においては、同条の規定は、適用しない。」と定められています。

この意味は、個人データを外国にある第三者に提供する場合、法23条1項各号に掲げる場合[8]を除けば、①本人の同意を得る、②「個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定める」外国にある第三者に提供する、③「個人データの取扱いについてこの節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者」に提供するという3つのいずれかの1つを選ばなければならないということです。

 

イ 外国第三者提供に関する政令案・規則案の内容

②「個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国」に関する規定は規則案に存在しません。現在EUや米国との間で交渉中と言われており、この交渉の結果を踏まえ規定されるものと思われます。

これに対し、③「個人データの取扱いについてこの節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者」については、規則案11条が、

個人情報取扱事業者と個人データの提供を受ける者との間で、当該提供を受ける者における当該個人データの取扱いについて、適切かつ合理的な方法により、法第四章第一節の規定の趣旨に沿った措置の実施が確保されていること(規則案11条1号)

・個人データの提供を受ける者が、個人情報の取扱いに係る国際的な枠組みに基づく認定を受けていること(規則案11条2号)

の2つのいずれかを満たせばよいと定めています。

このうち、2号については、例えば、APECの越境プライバシールールシステム(CBPRシステム)等が想定されています。

これに対し1号については、一応法20条の安全管理措置と同程度の措置を構築している場合であろうと想定されるものの、抽象的な規定となっており、ガイドライン等による具体化がされるまでは、なかなか実務での判断が難しいように思われます。

 

(2)確認・記録義務等(いわゆるトレーサビリティに関する義務)

ア 法の定め

 法25条1項及び2項は第三者に個人データの提供を行う場合の提供者の記録義務を定めます。

法25条1項は「個人情報取扱事業者は、個人データを第三者(第二条第五項各号に掲げる者を除く。以下この条及び次条において同じ。)に提供したときは、個人情報保護委員会規則で定めるところにより、当該個人データを提供した年月日、当該第三者の氏名又は名称その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければならない。ただし、当該個人データの提供が第二十三条第一項各号又は第五項各号のいずれか(前条の規定による個人データの提供にあっては、第二十三条第一項各号のいずれか)に該当する場合は、この限りでない。」とした上で、同条2項は「個人情報取扱事業者は、前項の記録を、当該記録を作成した日から個人情報保護委員会規則で定める期間保存しなければならない。」と定めています。

 法26条1項は第三者から個人データの提供を受ける場合の受領者の確認義務を定めています。同項は、「個人情報取扱事業者は、第三者から個人データの提供を受けるに際しては、個人情報保護委員会規則で定めるところにより、次に掲げる事項の確認を行わなければならない。ただし、当該個人データの提供が第二十三条第一項各号又は第五項各号のいずれかに該当する場合は、この限りでない」とした上で、確認すべき事項を次のとおり定めています。

・当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人)の氏名(1号)

・当該第三者による当該個人データの取得の経緯(2号)

 法26条3項及び4項は第三者から個人データの提供を受ける場合の受領者の記録義務を定めます。法26条3項は「個人情報取扱事業者は、第一項の規定による確認を行ったときは、個人情報保護委員会規則で定めるところにより、当該個人データの提供を受けた年月日、当該確認に係る事項その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければならない。」とし、同条4項は「個人情報取扱事業者は、前項の記録を、当該記録を作成した日から個人情報保護委員会規則で定める期間保存しなければならない。」としています。

 

イ 個人データ受領者の確認義務に関する政令案・規則案

 第三者から個人データの提供を受ける場合の受領者の確認義務については、確認すべき事項が法26条1項で明記されています。そのため、規則案は第15条という1条分しかありません。規則案15条1項は法26条1項1号の事実について「個人データを提供する第三者から申告を受ける方法その他の適切な方法」により、規則案15条2項は法26条1項2号の事実について「第三者から当該第三者による当該個人データの取得の経緯を示す契約書その他の書面の提示を受ける方法その他の適切な方法」により確認をするべきとしています。そして、既に同一の第三者から他の個人データの提供を受ける際に同一事項を確認し、記録している場合には「当該事項の内容と当該提供に係る法第二十六条第一項各号に掲げる事項の内容が同一であることの確認」を行えばよいとしています。

 

ウ 個人データの提供、受領における記録義務に関する政令案・規則案

(ア)記録の方法

これに対し、法25条及び法26条に基づく記録については、若干相違はありますが、まず、規則案12条1項及び規則案16条1項が文書、電磁的記録又はマイクロフィルムを用いて作成する方法により作成すべきことを定めています。そして、個人データを第三者に提供した都度、速やかに記録を作成することが原則とされています(規則案12条2項本文、規則案16条2項本文)。例外的に、特定の第三者に対して継続的に若しくは反復して提供したか、当該第三者に対し個人データを継続的に若しくは反復して提供することが確実であると見込まれるときには一括して作成できるものとされています(規則案12条3項本文、規則案16条3項本文)。

具体的な記載事項は、法25条と26条でかなりの部分が重複するものの、細部では若干異なります。

 

(イ)記録の内容(オプトアウトの場合)

 まず、オプトアウトの場合における法25条に基づく提供者側の記録の内容については、規則案13条が次のとおり定めています。

・当該個人データを提供した年月日(1項1号イ)

・当該第三者の氏名又は名称その他の当該第三者を特定するに足りる事項(不特定かつ多数の者に対して提供したときは、その旨)(1項1号ロ)

・当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項(1項1号ハ)

・当該個人データの項目(1項1号ニ)

 次に、オプトアウトの場合における法26条に基づく受領者側の記録の内容については、規則案17条が次のとおり定めています。

・個人データの提供を受けた年月日(1項1号イ)

・当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人)の氏名(1項1号ロ、法26条1項1号)

・当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項(1項1号ハ)

・当該個人データの項目(1項1号ニ)

・取得の経緯(1項1号ロ、法26条1項2号)

・法第二十三条第四項の規定により公表されている旨(1項1号ホ)

  受領者側の記録義務については、提供者側で記録すべき内容に加えて、取得の経緯(1項1号ロ、法26条1項2号)及び法第二十三条第四項の規定により公表されている旨(1項1号ホ)についても記録を要求していることに留意が必要です。

  

オプトアウトに関する提供者の記録(規則案13条)

オプトアウトに関する受領者の記録

(規則案17条)

当該個人データを提供した年月日(1項1号イ)

当該第三者の氏名又は名称その他の当該第三者を特定するに足りる事項(不特定かつ多数の者に対して提供したときは、その旨)(1項1号ロ)

当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人)の氏名(1項1号ロ、法26条1項1号)

当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項(1項1号ハ)

当該個人データの項目(1項1号ニ)

N/A

取得の経緯(1項1号ロ、法26条1項2号)

N/A

法第二十三条第四項の規定により公表されている旨(1項1号ホ)

 

(ウ)記録の内容(本人の同意に基づく提供の場合)

まず、法23条1項又は法24条に従い本人の同意に基づいて個人データを提供する場合における、法25条に基づく提供者側の記録義務については、規則案13条が次のとおり定めています。

・法第二十三条第一項又は法第二十四条の本人の同意を得ている旨(1項2号イ)

・当該第三者の氏名又は名称その他の当該第三者を特定するに足りる事項(不特定かつ多数の者に対して提供したときは、その旨)(1項2号ロ、1項1号ロ)

・当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項(1項2号ロ、1項1号ハ)

・当該個人データの項目(1項2号ロ、1項1号ニ)

 次に、法23条1項又は法24条に従い本人の同意に基づいて個人データを提供する場合における、法26条に基づく受領者側の記録義務については、規則案17条が、次のとおり定めています。

・法第二十三条第一項又は法第二十四条の本人の同意を得ている旨(1項2号イ)

・当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人)の氏名(1項2号ロ、1項1号ロ、法26条1項1号)

・当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項(1項2号ロ、1項1号ハ)

・当該個人データの項目(1項2号ロ、1項1号ニ)

・取得の経緯(1項2号ロ、1項1号ロ、法26条1項2号)

 受領者側の記録義務については、提供者側で記録すべき内容に加えて、取得の経緯(1項2号ロ、1項1号ロ、法26条1項2号)の記録も必要であることに留意が必要です。

 

本人の同意を得ての提供に関する提供者の記録(規則案13条)

本人の同意を得ての提供に関する受領者の記録(規則案17条)

法第二十三条第一項又は法第二十四条の本人の同意を得ている旨(1項2号イ)

当該第三者の氏名又は名称その他の当該第三者を特定するに足りる事項(不特定かつ多数の者に対して提供したときは、その旨)(1項2号ロ、1項1号ロ)

当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人)の氏名(1項2号ロ、1項1号ロ、法26条1項1号)

当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項(1項2号ロ、1項1号ハ)

当該個人データの項目(1項2号ロ、1項1号ニ)

N/A

取得の経緯(1項2号ロ、1項1号ロ、法26条1項2号)

 

 

(エ)記録の内容(個人情報取扱事業者以外の者から提供を受ける場合)

 個人情報取扱事業者以外の第三者から個人データの提供を受ける際には、受領者は、下記の記録を要するとされていることにも留意が必要です(規則案17条1項3号)。

・当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人)の氏名(1項3号、1項1号ロ、法26条1項1号)

・取得の経緯(1項3号、1項1号ロ、法26条1項2号)

・当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項(1項4号、1項1号ハ)

・当該個人データの項目(1項3号、1項1号ニ)

 

(オ)記録の保存期間

 保存期間(法25条2項、法26条4項)については、規則14条及び規則18条が3つのパターンに分けてそれぞれ保存期間を定めています。

 1つ目は、本人に対する物品又は役務の提供に関連して当該本人に係る個人データを第三者に提供した場合です。保存期間は、当該提供に関して作成された契約書その他の書面に記録すべき事項が記載されているときには最後に当該記録に係る個人データの提供を行った(受けた)日から起算して一年を経過する日までの間とされています(規則案14条1号、規則案18条1号)。

2つ目は、第三者に対し個人データを継続的に若しくは反復して提供しまたは提供されることから、一括して記録を作成する場合です。保存期間は、最後に当該記録に係る個人データの提供を行った(受けた)日から起算して三年を経過する日までの間とされています(規則案14条2号、規則案18条2号)。

3つ目は、上記2つの場合以外の場合です。保存期間は、記録作を作成した日から3年間です(法25条2項、規則案14条3号、規則案18条4号)。

 

(3)匿名加工情報

ア 法の定め

 法2条9項は、「匿名加工情報」について「次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう」と定義し、従来型個人情報(法2条1項1号)については「当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)」、個人識別符号型個人情報(法2条1項2号)については「当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。」こととしています。

匿名加工情報については様々な規律があるところ、当該規律の中でも、匿名加工情報の作成の方法に関する基準(法36条1項)、加工方法等情報に係る安全管理措置の基準(法36条2項)、公表等(法36条3項、4項、37条)についてそれぞれ規則に委任されています。

 

イ 匿名加工情報に関する規則案

(ア)匿名加工情報の作成の方法に関する基準

 このうち、匿名加工情報の作成の方法に関する基準については、規則案19条が、次のように定めています。

 

【規則案で定められた匿名過去情報の作成方法】

・特定の個人を識別することができる記述等の全部又は一部の削除又は置換(1号)

・個人識別符号の全部又は一部の削除又は置換(2号)

・個人情報と当該個人情報に措置を講じて得られる情報とを連結する符号の削除又は置換(3号)

・特異な記述等の削除又は置換(4号)

・前各号に掲げる措置のほか、個人情報に含まれる記述等と当該個人情報を含む個人情報データベース等を構成する他の個人情報に含まれる記述等との差異その他の当該個人情報データベース等の性質を勘案し、その結果を踏まえて適切な措置を講ずること(5号)

 

 このうち、3号については、社内IDのようないわゆるキー情報は削除・置換しなければならないとする趣旨と理解されますが、「現に個人情報取扱事業者において取り扱う情報を相互に連結する符号に限る。」という限定が入っていることから、匿名加工に際して新たな仮ID等を用いることは可能のようにも読めます。

4号については、いわゆる特異値の削除・置換のことと理解されます。

5号の規定の内容は曖昧であるところ、経済産業省が「事業者が匿名加工情報の具体的な作成方法を検討するにあたっての参考資料(「匿名加工情報作成マニュアル」)」を公表しており[9]、また、認定個人情報保護団体の作成する個人情報指針(法53条1項)にも「匿名加工情報に係る作成の方法、その情報の安全管理のための措置その他の事項」が入るようになることから、実務的にはこれらを参考に「適切な措置」を講じていくことになると思われます。

 

(イ)加工方法等情報に係る安全管理措置の基準

 加工方法等情報に係る安全管理措置の基準については、規則案20条が、次のとおり定めています。

・加工方法等情報)を取り扱う者の権限及び責任を明確に定めること(1号)

・加工方法等情報の取扱いに関する規程類を整備し、当該規程類に従って加工方法等情報を適切に取り扱うとともに、その取扱いの状況について評価を行い、その結果に基づき改善を図るために必要な措置を講ずること(2号)

・加工方法等情報を取り扱う正当な権限を有しない者による加工方法等情報の取扱いを防止するために必要かつ適切な措置を講ずること(3号)

 

(ウ)公表等

 公表等については、特に重要と思われる匿名加工情報作成に際する公表について、規則案21条1項が「匿名加工情報を作成した後、遅滞なく、インターネットの利用その他の適切な方法により行う」としています。遅滞なき公表を求めている点に留意する必要があります。

 

(4)オプトアウト

ア 法の定め

 いわゆるオプトアウトについては、法23条2項が、「個人情報取扱事業者は、第三者に提供される個人データ(要配慮個人情報を除く。以下この項において同じ。)について、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出たときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。」とした上で、以下の事項についてあらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出るべきことを求めています。

・第三者への提供を利用目的とすること(1号)

・第三者に提供される個人データの項目(2号)

・第三者への提供の方法(3号)

・本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること(4号)

・本人の求めを受け付ける方法(5号)

 

イ オプトアウトに関する規則案

 ここで、「個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置く」という部分については、規則案7条1項が次のように定めています。

・第三者に提供される個人データによって識別される本人(次号において「本人」という。)が当該提供の停止を求めるのに必要な期間をおくこと(1号)

・本人が法第二十三条第二項各号に掲げる事項を確実に認識できる適切かつ合理的な方法によること(2号)

オプトアウトを利用する場合には、このようなルールに従う必要があります。

なお、「個人情報保護委員会に届け出」るという部分については、規則案7条2項がオンライン提出と届出書(及び光ディスク)による提出を要求する[10]ほか、届出書の様式として別紙様式第一が公表されているので参考にしてください。

 

5.その他

その他、法44条は個人情報保護委員会の権限の委任について「個人情報保護委員会は、緊急かつ重点的に個人情報等の適正な取扱いの確保を図る必要があることその他の政令で定める事情があるため、個人情報取扱事業者等に対し、第四十二条の規定による勧告又は命令を効果的に行う上で必要があると認めるときは、政令で定めるところにより、第四十条第一項の規定による権限を事業所管大臣に委任することができる」と規定していますが、政令案上は、明確にどのような権限が委任されるかは不明です。ただ、政令案13条3項が委任の際に委任を受ける事業所管大臣、委任しようとする事務の範囲及び委任の期間を公示すること等を規定していることから、かかる公示の動向を見守る必要があるでしょう。

その他、認定個人情報保護団体等についても、政令案、規則案が規定されているので適宜参照してください。

以上

 

[1] 「個人識別符号及び要配慮個人情報の定義規定(案)一覧」(http://search.e-gov.go.jp/servlet/PcmFileDownload?seqNo=0000147944)1頁「備考」欄参照。

[2] 政令案の「発声の際の声帯の振動、声門の開閉並びに声道の形状及びその変化」という文言がいわゆる声紋を意味するのか、やや不明確である。

[3]主に社会保険関係の番号であるが、旅券番号(規則案4条5号)、在留カードの番号(規則案4条6号)、特別永住者証明書の番号(規則案4条20号)等も含まれることに留意されたい。

[4] その背景については、「個人識別符号及び要配慮個人情報の定義規定(案)一覧」2頁「備考」欄参照。

[5]規則案5条各号で、身体障害、知的障害精神障害、一定の難病が指定されている。

[6]「個人識別符号及び要配慮個人情報の定義規定(案)一覧」3頁の「備考」欄参照。

[7] 但し、その表現ぶりについては、映り込み事例以外も広く除外するものではな いか、議論があり得るところです。

[8] 即ち、① 法令に基づく場合、②人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき、③公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき、④国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。

[9] http://www.meti.go.jp/press/2016/08/20160808002/20160808002.html

[10]なお、当初は、オンライン提供は受け付けない予定であるようです(規則案附則2条参照)。