メディア

「リクナビ事件」を再び起こさないために 個人情報保護法改正のポイントを弁護士が解説

2019年12月、リクナビによる内定辞退率の販売問題が、個人情報の保護と活用を両立させる仕組みの在り方を社会に問いかけた。リクナビ事件も背景に2020年6月に公布された改正個人情報保護法のポイントを、弁護士が解説する。

» 2021年02月03日 07時00分 公開
[BUSINESS LAWYERS]

本記事は2020年9月14日のBUSINESS LAWYERS掲載記事をキーマンズネット編集部が一部編集の上、転載したものです。

サマリー

  • 改正個人情報保護法のポイントを理解するための前提知識
  • 個人情報保護委員会による監督権限
  • 民間事業者が順守すべきルール
  • 2020年改正のポイントは「仮名加工情報」と「第三者提供に関する新たな規定」
  • 新たに導入された「仮名加工情報」は「個人情報であるもの/ないもの」の2種類があることに留意
  • 「提供先で個人データとなることが想定される情報」の第三者提供時における提供元への新たな義務を追加
  • 外国にある第三者への個人データの提供制限を強化

 一般財団法人情報法制研究所(JILIS)による第4回情報法制シンポジウムが2020年6月16日〜24日に開かれました。5テーマを5日間にわけて開催する充実した内容で、初日の開会挨拶を述べた江口清貴専務理事によると、新型コロナウイルス流行の影響による初めてのオンライン開催ながら、800名を超える申し込みがあったといいます。

 本稿では2020年6月16日に実施された、「個人情報保護法 改正の行方」をテーマとした板倉 陽一郎氏(ひかり総合法律事務所弁護士、情報法制研究所(JILIS)参与、理化学研究所革新知能統合研究センター(AIP)客員主管研究員)による講演を紹介。2020年6月12日に公布された改正個人情報保護法について、成立の経緯や知っておくべき前提知識、改正のポイントを解説した同講演の内容をレポートします。

改正個人情報保護法のポイントを理解するための前提知識

 板倉氏は講演冒頭で、個人情報保護委員会作成の概要資料「改正個人情報保護法の基本※1」を抜粋して概説。個人情報保護法1条に規定されている「個人の権利・利益の保護と個人情報の有用性とのバランスを図るための法律」という法の目的を紹介しました。同法は、基本理念等を定める第1章から第3章と、民間事業者の個人情報の取り扱い等、具体的な義務を定める第4章以下に分かれています。

 「日本は事業者(個人情報取扱事業者)に義務を課すことによって、個人の権利・利益を保護しており、GDPRとは異なる」と板倉氏は解説。「個人の権利・利益の保護と個人情報の有用性バランスは改正の都度、検討されることになるだろう」と私見を述べました。

編集部注

※1:個人情報保護委員会事務局「改正個人情報保護法の基本」(2017年6月)より

個人情報保護委員会による監督権限

 現在は個人情報保護委員会が民間事業者を一元的に監督していますが、2003年(平成15年)の個人情報保護法成立から2015年改正(平成27年改正)以前までは主務大臣制がとられていました。

 これは成立から12年の間、一元的な監督体制を構築しなかったことが、個人情報保護に関する諸外国からの遅れや現在の「3年ごと見直し」の規定につながるため知っておくべき知識として説明されました。

 主務大臣制とは、各事業を所管する大臣が当該事業について個人情報保護法の監督執行をするもので、例えば、金融機関の個人情報保護については金融庁、電気通信事業者の個人情報保護については総務省が監督する制度です。しかし重畳的な監督体制であり、所管省庁が不明確なケースが生じるなどの課題があったことから、主務大臣が有していた監督権限は2015年改正で個人情報保護委員会に一元化されました。

 他方で、個人情報保護委員会は公的機関については監督していません。国の行政機関には行政機関個人情報保護法、独立行政法人等には独立行政法人等個人情報保護法、地方公共団体等にはそれぞれの地方公共団体において個人情報保護条例が設けられており、これは2020年改正でも変更はありません。

 さらに、板倉氏は個人情報保護法の関連法体系のイメージを説明。個人情報保護法の下位法令である政令、規則やガイドライン、Q&Aが整備されることで、今回の改正が実務レベルで対応可能になると解説したうえで、政令と規則は2020年8月までに基本的な考え方を示して年明けに意見募集が、ガイドラインは2021年5月ごろに意見募集が予定されているとスケジュールを説明しました。その後、2020年7月22日の第149回 個人情報保護委員会において、「改正個人情報保護法 政令・規則・ガイドライン等の整備に当たっての基本的な考え方について(案)」が公表されています。

個人情報保護法関連法体系のイメージ(出典:個人情報保護委員会 第1回 地方公共団体の個人情報保護制度に関する懇談会(令和元年12月2日)「資料3 個人情報保護法を巡る動向について」)

民間事業者が順守すべきルール

 続いて板倉氏は、個人情報の扱いに関し民間事業者が順守すべき基本的なルールを紹介。大要、下記の5つのルールがあると解説しました。

個人情報を取得・利用する時のルール

個人情報を取得した場合は、その利用目的を本人に通知、または公表すること(あらかじめ利用目的を公表している場合をのぞく)

個人情報※2を保管する時のルール

情報の漏えい等が生じないように安全に管理すること

個人情報※3を他人に渡す時のルール

個人情報を本人以外の第三者に渡すときは、原則として、あらかじめ本人の同意を得ること

個人情報※4を外国にいる第三者に渡す時のルール

本人から個人情報※5の開示を求められた時のルール

本人からの請求に応じて、個人情報を開示、訂正、利用停止等すること

 また各ルールの適用対象について、個人情報、個人データ、保有個人データの各区分に基づき、個人情報保護委員会の作成した図を用いて説明しました。

規律の適用対象概要(出典:第95回個人情報保護委員会(平成31年3月20日)「資料1 個人情報保護を巡る国内外の動向(個人データに関する個人の権利の在り方関係)」)

2020年改正のポイントは「仮名加工情報」と「第三者提供に関する新たな規定」

 こうした前提を踏まえ、板倉氏は2020年改正の経緯とポイントを解説。まず2020年改正が行われる経緯として、2015年改正の際に、個人情報保護法について施行後3年ごとに検討を加えて所要の措置を講ずる「3年ごと見直し」の規定※6が盛り込まれたことを説明しました。前述のとおり、この規定は、2003年の同法制定以降10年以上にわたって主務大臣制を継続し、個人情報保護委員会による一元的な監督体制を構築しなかったことが、海外諸国の対応と比較して遅れ気味だったことなどから設けられたものだといいます。

 また前回の改正法が2017年施行だったことから、今回の改正についてはさまざまな審議や手続きを考慮すると2020年5月ごろには結論を出しておかなければならないと見込まれていたと語りつつ、「検察官定年延長」を含む国家公務員法等の一部を改正する法案や新型コロナ感染症の影響によりなかなか審議が進まず、今国会での可決は無理だろうとする見方もあった、と板倉氏は説明しました。

 「結果的には可決に至りましたが、前回改正と比べ国会審議が短かったことから、解釈が曖昧なままで定まっていないのも実情です」(板倉氏)

新たに導入された「仮名加工情報」は「個人情報であるもの/ないもの」の2種類があることに留意

 今回の改正で注目されているのが、新たに導入された概念である「仮名加工情報」です。これはイノベーションを促進する観点から、活用を内部分析に限定すること等を条件に、開示・利用停止請求への対応等の義務を緩和するものとして、2020年改正法の2条9項1号、2号において新たに定義されています。

【個人情報保護法2条9項】

この法律において「仮名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報をいう。

一  第一項第一号に該当する個人情報 当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。

二  第一項第二号に該当する個人情報 当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。

 板倉氏は仮名加工情報について、匿名加工情報は本人の同意なしに目的外利用や第三者提供が可能なのに対し、仮名加工情報は第三者提供が行えないことを強調しました。

 加えて、仮名加工情報には「個人情報である仮名加工情報」(35条の2第3項〜第9項)と「個人情報でない仮名加工情報」(35条の3第1項〜第3項)の2種類があると指摘。原則は「個人情報である仮名加工情報」であり、「個人情報でない仮名加工情報」は、仮名加工情報部分だけが委託、共同利用、事業譲渡によって提供されるという例外的な場面でだけ、提供先で生じます。

 「個人情報である仮名加工情報」は個人情報であるため、原則、個人情報に関する規律が適用されるところ、上記条項で読み替えと同時に特則が定められているかたちです。利用目的は自由に変更できますが、変更のたびに公表が必要になります。主たる利点は、本人による開示請求等を受けないというところです。

 一方、「個人情報でない仮名加工情報」は、利用目的規制も適用されなくなると解説。ただし前述のとおり、個人情報である、ないにかかわらず仮名加工情報を同意に基づいて第三者提供することはできないとしました。

「提供先で個人データとなることが想定される情報」の第三者提供時における提供元への新たな義務を追加

 続いて板倉氏は、本人の同意を得ることが原則となる個人データの第三者提供について、今回の改正ポイントを理解するための前提知識として、2020年改正前の現行法においてはどのような場合が該当するのかを改めて説明。提供元で、例えば名簿のような個人情報データベース等を構成している個人情報(個人データ)については、その一部を切り取ることで提供先において単独では個人情報をなさない情報となるよう加工し提供するとしても、個人データの第三者提供になると解説しました。

 その前提となる考え方がいわゆる「提供元基準」です。「個人情報保護法 いわゆる3年ごと見直し 制度改正大綱※7」では「提供先で個人情報として認識できないとしても、個人情報を取得した事業者に、一義的に、本人の権利利益を保護する義務を課すという基本的発想から、提供元において、……個人情報として扱うことを求めている」と説明されていることを板倉氏は紹介しました。

2020年改正前の個人情報保護法における提供元基準のイメージ図(出典:BUSINESS LAWYERS)

 こうした提供元基準という考え方に関して大きな議論がなされたのがいわゆる「リクナビ事件」です。就職活動情報サイト「リクナビ」を運営するリクルートキャリアに対し、「内定辞退率」の提供スキーム等について、個人情報保護委員会より2019年8月と12月の2回にわたり指導・勧告がなされました。

 また2019年2月までリクルートキャリアで実施されていた内定辞退率の提供スキームにおいて、提供先(新卒採用を進めている企業)では個人情報となることを知りながら、提供元(リクルートキャリア)では個人が特定できないとして、本人同意なくデータが第三者提供されたことも問題視されました※8。個人情報保護委員会は、リクルートキャリアが提供元基準の考え方をもとに、CookieやIDを駆使することで第三者提供の同意取得を回避したことから「法の趣旨を潜脱(せんだつ)した極めて不適切なサービス」と指摘しています。

 「こうした問題に基づいて立法化されたのが、2020年改正における、提供先で個人データとなることが想定される情報の、第三者提供についての規定です」(板倉氏)

2019年2月までリクルートキャリアで実施されていた内定辞退率の提供スキーム(出典:リクルートキャリア「『リクナビDMPフォロー』とは」)

 2020年改正においては、提供元である個人関連情報取扱事業者では個人データに該当しない個人関連情報について、提供先において個人データとなることが想定される場合には、提供先が本人の同意を得ることを、提供元が確認することが求められるようになりました。つまり、本人の同意を得るのは提供先ですが、きちんと同意を得たことの確認は提供元に義務付けられています。これは2019年に生じた「リクナビ事件」で浮き彫りとなった課題を解決するために設けられた規定といえます。

 また、この規定の対象となる「個人関連情報」は2020年改正で新設され、「生存する個人に関する情報」であって「個人情報」「仮名加工情報」「匿名加工情報」のいずれにも該当しないものを指します。

 「DMP(Data Management Platform)を運用する事業者は、個人関連情報取扱事業者に該当することが多いでしょう。彼らは通常、ユーザーと直接の接点を持たないため、実務上はCookieを埋め込むメディア等、もしくは個人データを突合するクライアントのもとでユーザーによる同意を取得することになるでしょう」(板倉氏)

外国にある第三者への個人データの提供制限を強化

 講演の最後に説明されたのが、外国にある第三者への個人データの提供制限を強化した、2020年改正法の24条についてです。同条では当該外国における個人情報の保護に関する制度や当該第三者が講ずる個人情報の保護のための措置の他、個人情報によって識別される本人に参考となるべき情報を提供することを求めています。

 板倉氏は、「情報の提供については個人情報保護委員会規則に委任されており、個人情報保護法のガイドラインに『外国にある第三者への提供編』※9があるので、細かい点については追って情報が出てくると考えられます。ただし、現時点で書いてあるとおりにやろうとすると重い作業になるでしょう」と解説し、講演を締めくくりました。

 第三者提供に関する新たな規定をはじめとして、企業の実務の在り方にも大きな影響を与える今般の個人情報保護法改正。法務担当者としては、今後の政令や規則、ガイドラインによる情報を参考に、まずは自社で提供・利用しているサービスのスキーム等が、改正によりどのような影響を受けるかについて棚卸しする必要があるでしょう。

編集部注

※2:正確には対象は「個人データ」

※3:正確には対象は「個人データ」

※4:正確には対象は「個人データ」

※5:正確には対象は「保有個人データ」

※6:平成27年法律第65号附則12条3項「政府は、前項に定める事項のほか、この法律の施行後三年ごとに、個人情報の保護に関する国際的動向、情報通信技術の進展、それに伴う個人情報を活用した新たな産業の創出及び発展の状況等を勘案し、新個人情報保護法の施行の状況について検討を加え、必要があると認めるときは、その結果に基づいて所要の措置を講ずるものとする」。なお、同条項も改正され、「三年ごと」ではなく「三年を目途として」とされた上で、新たな「三年ごと」見直し条項が2020年改正法(令和2年法律第44号)附則10条で導入されている。これは、2015年改正法の3年ごと見直し条項がそのまま残っていると、次の改正期限が2023年(2015年法の施行後3年である2020年+3年)となり、今回の改正ペース(2022年春〜6月施行)と合わない(施行後1年見直しになってしまう)からである。

※7:個人情報保護委員会 「個人情報保護法 いわゆる3年ごと見直し 制度改正大綱」(2019年12月13日)より

※8:2019年12月4日、リクルートキャリアは、「リクナビDMPフォロー」(「内定辞退率」の提供サービス)を扱う部署で異なるサービスの運用も行っており、そこで取得した情報を照合することによって、特定の個人を識別することが可能な状態になっていたことも公表しています(リクルートキャリア「『リクナビDMPフォロー』の法的な不備とその影響範囲」(2019年12月4日)より)。

※9:個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)」(2016年11月、2019年1月一部改正)

本記事は2020年9月14日のBUSINESS LAWYERS「2020年6月成立の個人情報保護法改正の経緯とポイントを板倉弁護士が講演 第三者提供に関する新たな規定への対応と、「2種類の仮名加工情報」に着目を」をキーマンズネット編集部が一部編集の上、転載したものです。

© BUSINESS LAWYERS

会員登録(無料)

製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。