個人情報保護法の改正|要点・施行日・罰則などを弁護士が解説

監修者
弁護士 宮崎晃

弁護士法人デイライト法律事務所 代表弁護士

所属 / 福岡県弁護士会・九州北部税理士会

保有資格 / 弁護士・MBA・税理士・エンジェル投資家

目次

個人情報保護法の改正とは

「個人情報保護法」とは、個人情報に関するさまざまなルールを定めている法律です。

「改正」とは、法律の条文を変更してアップデートすることです。

したがって、法律が改正されると、その法律が定めているルールが変更になります。

2020年(令和2年)6月5日、国会の決議によって、個人情報保護法を改正することが決まりました。

したがって、個人情報の取扱いに関する法的ルールも、改正された個人情報保護法のもとで一部が変更されることになりました。

個人情報保護法の改正によって導入される新しいルールは、民間企業のビジネスに大きな影響を与えることが予想されています。

個人情報保護法は、民間企業が個人情報を取り扱うにあたって守らなければならないさまざまなルールや義務を定める法律です。

今回の改正によって、そのルールや義務が少し変わるのです。

個人情報保護法の改正によって新しく作られたルールは、2022年4月から有効になります。

そのため、民間企業の新ルールへの対応も、2022年4月までに済ませておく必要があります。

この記事では、個人情報保護法の改正(※1)によって新しくなった個人情報保護法のルールを解説していきます。

民間企業が個人情報保護法の改正によって(※2)どのような影響を受けるかについて、詳しく解説しますので、ぜひ参考になさってください。

(※1) この記事は、2020年6月12日公布、2022年4月1日施行予定(一部2020年12月12日に施行済み)の個人情報保護法について解説いたします。

この記事で「個人情報保護法の改正」というときは、特に断らない限り、この改正を指します。

(※2) 2020年の個人情報保護法の改正は、細部にわたって行われており、内容もたいへん複雑です。

この記事では、民間企業に対する影響が大きいと思われる部分に絞って解説しています。

 

個人情報保護法の改正は2021年にも行われました

この記事では、2020年(令和2年)6月5日に国会で決議され、2020年6月12日に公布された個人情報保護法の改正(2020年改正)を解説しています。

この2020年の改正は、2022年4月1日から有効になります。(一部例外があります。)

実は、個人情報保護法は、その後、さらにもう一度改正されています。

2021年5月12日、国会で、さまざまな法律をデジタル社会に対応した形に改正する法案が可決されました(※3)。

この可決によって、約60個の法律が、デジタル社会に対応させるために、まとめてアップデートされました。

アップデートされた約60個の中に、個人情報保護法も含まれています。

2020年の個人情報保護法の改正(2020年改正)は民間企業に与える影響がかなり大きかったのに比べ、この2021年の改正は、民間企業に与える影響はそれほど大きくありません。

そのため、2021年の改正が可決されたあとでも、2020年改正の方が民間企業の関心の的になり続けています。

この記事では、民間企業への影響の大きい2020年の個人情報保護法の改正に絞って解説をしていきます。

※3 このとき可決されたのは、「デジタル社会の形成を図るための関係法律の整備に関する法律」という名前の法律です。

 

 

個人情報保護法とは

「個人情報保護法」とは、「個人情報の保護に関する法律」という正式名称を持つ法律のことです。

個人情報保護法は、個人情報に関する基本的な法的ルールを定めています。

特に、民間企業が個人情報の取り扱うにあたって守らなければならない様々な法的ルールを定めているのが個人情報保護法の特徴です。

そのため、個人情報保護法は、日本の民間企業にとって、重要性の高い法律だといえます。

個人情報保護法の目的、しくみ、民間企業にどのような場合にどのような義務が課されるかなど、個人情報保護法の基本的なことはこちらの記事で詳しく解説しています。ぜひご参考になさってください。

 

 

個人情報保護法が改正された理由ーどんな目的があって改正されたの?

個人情報保護法は3年ごとに見直される!

社会のデジタル化が進むなか、社会の中の個人情報の利活用も昔と比べて大幅に拡大しました。

このような流れは今もなお進行中ですので、今後もデジタル社会の発展にしたがって個人情報の利活用がますます拡大すると予想されます。

このような社会的背景がありますから、個人情報保護法も、社会の急速な変化に合わせてそのルールを変えていく必要があります。

社会の変化に合わせて個人情報保護法をアップデートしていくため、個人情報保護法は、原則として3年ごとに見直されることになっています。

2020年の個人情報保護法の改正も、このような3年ごとの見直しの一環として行われました。

 

個人情報保護法改正の目的

個人情報保護法の改正は、全体として、次のような「共通の視点」を持って行われました(「個人情報保護法いわゆる3年ごと見直し精度改正大綱」令和元年12月13日個人情報保護委員会)。

  1. ① 個人の権利利益を保護する
  2. ② 個人情報の保護と利用のバランスをとる
  3. ③ 国際的な調和や連携
  4. ④ 海外事業者や国境を超える個人情報の取扱いへの対応
  5. ⑤ AI・ビッグデータ時代の個人情報の取扱いのための環境整備

このうち、①と②は、個人情報保護法の目的を定めた個人情報保護法第1条にも明示的に書かれており、いわば個人情報保護法の永遠のテーマといえます。

個人情報保護法の目的などはこちらにまとめていますので、よろしければご参考にしてください。

③と④と⑤は、デジタル化・国際化の潮流を捉えて個人情報保護法のあるべき方向性を示したものといえそうです。

では、次に、このような全体的な視点のもとで行われた個人情報保護法の改正によって、法的なルールが具体的にどのように変更されたかを解説します。

 

 

個人情報保護法の改正ポイント

このたびの個人情報保護法の改正で、いくつかの新しいルールが追加されたり、これまでのルールが変更されたりすることになります。

これらの新しいルールには、
・民間企業にとって負担が増えるもの
・民間企業にとって情報の利活用の拡大につながるものの2種類があります。

それぞれ、主なものを確認してみましょう。

 

民間企業にとって負担が増える新ルール

改正ポイント① 個人情報の利用に対する新しい規制ー不適正な方法による利用の禁止

改正ポイント② 個人データの漏えいなどが発生した場合の行政への届出と本人への通知の義務化

改正ポイント③ オプトアウトによる第三者提供の規制が拡大

改正ポイント④ 提供先で個人データとなる情報の規制

改正ポイント⑤ 「保有個人データ」を対象とする義務が拡大ー本人から請求できる事項の拡大など

改正ポイント⑥ 違反時のペナルティの厳罰化

改正ポイント⑦ 国際化への対応

 

民間企業にとって情報の利活用の拡大につながる新ルール

「仮名加工情報」という新しいカテゴリの情報が誕生。

 

 

改正ポイントの詳しい解説ー民間企業はどのように対応すべき?

ここでは、2020年の個人情報保護法の改正で新しくなるルールのひとつひとつを紹介します。

あわせて、民間企業がとるべき対策も解説していきます。

改正ポイント①
個人情報の利用に対する新しい規制ー不適正な方法による利用の禁止

2020年改正によって、民間企業による個人情報の「利用」に対して新しいルールが追加されました。

個人情報保護法のルールでは、民間企業(個人情報取扱事業者)が個人情報を取り扱うときは、あらかじめ特定した目的の範囲内のみで個人情報を取り扱わなければなりません。

例えば、一般に、民間企業のプライバシーポリシーには、個人情報の利用目的が書かれています。

民間企業は、個人情報を、プライバシーポリシーに書かれている利用目的の範囲内だけで利用することができます。

2020年の個人情報保護法の改正では、このルールが少し変更されました。

2020年の改正後の個人情報保護法のルールでは、違法・不当な行為を助長したり誘発したりするような個人情報の利用は、たとえプライバシーポリシーなどに書かれている利用目的の範囲内であっても禁止されます。

例えば、ある民間企業がプライバシーポリシーの中に個人情報保護法の利用目的として「販売促進活動のために利用する」ということが書かれていたとします。

この民間企業は、お客さんから取得した個人情報を販売促進活動のために利用することができます。

しかし、2020年の改正後の個人情報保護法のルールのもとでは、たとえ販売促進活動のためであっても、差別を助長するような販売促進活動に個人情報を利用することは禁止されます。差別は「違法な行為や不当な行為」に該当するからです。

改正前のルール
  • 民間企業(※4)は、個人情報の利用目的を特定する必要がある(個人情報保護法15条1項)。
  • 民間企業は、個人情報を、特定した利用目的の範囲内でのみ利用することができる(個人情報保護法16条)。
  • 特定した利用目的の範囲を超えて利用するときは、本人の同意が必要(個人情報保護法16条)。
改正後のルール

改正前のルールはそのまま残る。
ただし、特定した利用目的の範囲内で個人情報を利用する場合であっても、違法な行為や不当な行為を助長したり、そのような行為が誘発するおそれがあったりするような方法での個人情報の利用は禁止。(改正後個人情報保護法16条の2)

※4 民間企業のうち個人情報保護法の対象となるのは「個人情報取扱事業者」のみです。この記事では、「民間企業(個人情報取扱事業者)」のような表記をします。

どのような民間企業が「個人情報取扱事業者」に該当するかは、こちらの記事に詳しく解説していますので、ぜひお読み下さい。

民間企業がとるべき対応

個人情報をプライバシーポリシーなどに記載している利用目的の範囲内だけで利用するということは、2020年の個人情報保護法の改正の前からとても重要なルールでした。

自社の個人情報の利用が利用目的の範囲を逸脱していないか、この機会に改めて確認するのがよいでしょう。

さらに、2020年の個人情報保護法の改正では、利用目的の範囲内であっても、違法・不当な利用は禁止されます。

自社が個人情報を違法・不当と評価されそうな方法で利用していないか、点検しておきましょう。

具体的にどんな利用が違法・不当と評価されそうかは、少し難しい判断かもしれません。判断に迷ったときは、個人情報保護法に詳しい弁護士に相談することもお勧めです。

改正ポイント②
個人データの漏えいなどが発生した場合の行政への届出と本人への通知の義務化

2020年の個人情報保護法の改正では、個人情報に関するインシデントが発生した場合の報告義務が新しく作られました。

2020年に改正された個人情報保護法のもとでは、
ア 「個人データ」の漏えい(データが外部に漏れること)・滅失(データが消えてなくなること)・毀損(データが壊れてしまうこと)などの事案が発生してしまったとき、あるいは、
イ 漏えい・滅失・毀損が発生したかどうかはっきりは断定できなくても、発生したおそれがあるときには、民間企業は、
(a) 個人情報保護委員会にそれを報告しなければならない、そして
(b) 個人データの本人にもそれを通知しなければならない

という義務が新しくできました。

ただし、漏えい・滅失・毀損などであっても、一定以下の軽い事案であるときは、報告・通義の義務は課せられません。

なお、「個人データ」とは何か?については、こちらの記事に詳しくまとめましたので、ぜひご覧下さい。

合わせて読みたい
個人データとは?
改正前のルール

特にルールなし(個人データの漏えいなどが発生した場合でも、行政や本人への届出・通知の義務なし)

改正後のルール
  • 個人データの漏えい(データが外部に漏れること)・滅失(データが消えてなくなること)・毀損(データが壊れてしまうこと)が起きた場合の民間企業(個人情報取扱事業者)の義務が新たに作られた。
  • 対象となる個人データの漏えい・滅失・毀損は、
    • (a) 漏えいした個人データが要配慮個人情報(※5)を含んでいるとき
    • (b) 個人データが不正に利用されて個人に損害が出そうなとき
    • (c) 漏えいなどが不正な目的で行われたおそれのあるとき
    • (d) 1000人分以上の個人データのときなど。
  • このような漏えい・滅失・毀損が起きたとき(または起きるおそれがあるとき)は、漏えいを起こした民間企業(個人情報取扱事業者)は、個人情報保護委員会に、漏えいが起きたことを報告しなければならない。(改正後個人情報保護法22条の2第1項)
  • さらに、個人データの漏えいを起こした民間企業は、漏えいした個人データの本人にも、漏えいが起きたことを通知しなければならない。(改正後個人情報保護法22条の2第2項)

※5 「要配慮個人情報」とは、個人情報の中でも、個人の人種、身上、身分、病歴、犯罪歴など特に取扱いに配慮を要する情報のことをいいます(個人情報保護法2条3項)。

民間企業がとるべき対応

業務で個人情報を取り扱うことのある民間企業は、すでに、個人データの漏えいなどのインシデントが発生した場合の対応マニュアルを整備済みのはずです。(整備していない民間企業は、この機会に速やかに整備しましょう。困ったときは個人情報保護法に詳しい弁護士にご相談ください。)

2020年の個人情報保護法のルール改正で、インシデント発生時の対応マニュアルの中に、個人情報保護委員会への報告や本人への通知などの対応を組み込むことになるでしょう。

対応マニュアルのアップデートなどは、弁護士に依頼することもできます。

改正ポイント③
オプトアウトによる第三者提供の規制が拡大

「オプトアウト」って何?「オプトイン」とあわせて解説

個人情報保護法のルールのひとつに、「民間企業(個人情報取扱事業者)が個人データを第三者に提供するには、その個人データの本人から同意をとらなければならない」というものがあります。

例えば、通信販売のビジネスを行っている会社があるとしましょう。

この会社は、通信販売の商品を注文したお客さんの個人情報を取得し、これを個人データとして保管することになるでしょう。

この通販会社が、取得した個人データを自社以外の第三者に提供しようとするときは、この通販会社は、原則として、個人データの本人から「私の個人データを第三者に提供してよいですよ」という同意をとらなければなりません(※6)。

※6 個人情報保護法が定める一定の場合を除きます。

このように、民間企業が手持ちの個人データを第三者に提供しようとする場合に、個人データの本人から同意を取得する方法には、「オプトイン」と「オプトアウト」という2つの方法があります(※7)。

「オプトイン」とは、個人情報(個人データ)の本人から、「私の個人データを第三者に提供してよいですよ」というはっきりした同意を得ることをいいます。

これに対し、「オプトアウト」とは、個人情報(個人データ)の本人から「私の個人データを第三者に提供してよいですよ」というはっきりした同意はとらないけれど、本人が「私の個人データの第三者提供を止めてください」と求めたときは、個人データの第三者提供をやめる、という形で個人データを第三者に提供する形のことです。

個人情報保護法のルールでは、民間企業が個人データを第三者に提供するには、「オプトイン」の方法で本人から同意をとらなければならないのが原則です。

「オプトアウト」の方法を使うためには、(a) プライバシーポリシーなどに必要な事項を記載して公表し、さらに、(b) 個人情報保護委員会に「当社は個人データを第三者に提供するにあたり、本人の同意はオプトアウトでとります」ということなどを事前に届出しなければなりません(個人情報保護法23条2項)。

参考:オプトアウト届出書一覧|個人情報保護委員会
オプトアウトの方法による第三者提供を個人情報保護委員会に届け出た企業の一覧を、個人情報保護委員会のウェブサイトで見ることができます。

これが、民間企業が手持ちの個人データを第三者に提供するにあたって、本人から同意をとる場合の「オプトイン」・「オプトアウト」の考え方です。

※7 「オプトイン」「オプトアウト」は、実は個人情報保護法の中に出てくる正式な法律用語ではありません。しかし、上記の個人情報保護委員会のウェブサイトでも「オプトアウト」の言葉が使われていることからもわかるように、個人データの第三者提供の場面では、これらは重要なキーワードになっています。

「オプトアウト」に関する改正

2020年の個人情報保護法の改正では、「オプトアウト」に関するルールが変更されました。

「オプトアウト」の方法を使えない個人データが増えた

個人情報保護法のルールのもとでは、従来から、個人データの中でも個人にとって重要なものについては、上記で説明したような手続をしても、「オプトアウト」の方法による第三者への提供はできないことになっています。

例えば、個人の病歴に関する情報は、上記で説明したような手続をしても、「オプトアウト」の方法による第三者提供はできないことになっています。このような情報を第三者に提供するには、必ず「オプトイン」の方法が必要になります。

2020年の個人情報保護法の改正では、「オプトアウト」の方法を使えない個人データ(つまり「オプトイン」の方法しか使えない個人データ)が増えました。

改正前のルール

「要配慮個人情報」(※8)は、オプトアウトの方法で第三者提供することができない(個人情報保護法23条2項)

改正後のルール
  • 次のいずれかに該当する個人データは、オプトアウトの方法で第三者提供することはできない
    1. 要配慮個人情報
    2. 不正な手段で取得された個人情報
    3. オプトアウトの方法による第三者提供の方法によって取得した個人情報
    4. 上記(2.) または(3.)を複製(コピー)したり加工したりしたもの(改正後個人情報保護法23条2項ただし書き)
  • 上記(2.)から(4.)が、2020年改正で新しく追加されたものです。

※8 「要配慮個人情報」とは、個人情報の中でも、個人の人種、身上、身分、病歴、犯罪歴など特に取扱いに配慮を要する情報のことをいいます(個人情報保護法2条3項)。

オプトアウトによる第三者提供をする場合の通知・公表・届出事項が拡大

民間企業が手持ちの個人データを「オプトアウト」の方法で第三者に提供するときは、次の2つのことを行う必要があります。

  • (a) プライバシーポリシーなどに必要な事項を記載して公表する
  • (b) 個人情報保護委員会に対して事前に届出をする(個人情報保護法23条2項)。

2020年の個人情報保護法の改正では、この手続において通知・公表・届出をしなければならない項目が増加しました。

とても細かい変更ですのでこの記事では詳細には言及いたしませんが、今後オプトアウトの方法で個人情報の第三者提供をしようとする民間企業のみなさまはご注意が必要です。

不明なことがありましたら個人情報保護法に詳しい弁護士にご相談下さい。

民間企業のとるべき対応

現在、手持ちの個人データをオプトアウトの方法で第三者に提供している民間企業はそれほど多くないと思われます。

しかし、そのような企業であっても、第三者から個人データの提供を受ける立場になる可能性があるかもしれません。

第三者から個人データの提供を受ける場合は、その提供を受ける個人データが、改正後の個人情報保護法でオプトアウトの禁止されたものでないか、確認するようにしましょう。

もし提供を受ける個人データがオプトアウトの禁止されたものであったときは、その提供を受ける前に、本人からきちんとオプトインの方法で同意を受けているかを確認しましょう。

改正ポイント④
提供先で個人データとなる情報の規制

2020年改正の前に存在していたグレーゾーン

従来から、個人情報保護法のルールでは、民間企業が手持ちの「個人データ」(※9)を第三者に提供するためには、原則として本人(※10)の同意を得る必要がありました。(この同意を得る方法にオプトインとオプトアウトがあるのは、すでに説明したとおりです。)

「個人データ」について詳しいことは、こちらの記事で解説しています。ぜひあわせてご覧ください。

合わせて読みたい
個人データとは?

※9 「個人データ」とは、個人情報の種類のひとつで、個人情報を集めたデータベースに含まれているひとつひとつのデータのことです。
※10 「本人」とは、個人情報や個人データで特定される人のことをいいます(個人情報保護法2条8項)。

例えば、ある個人データがA市に住んでいるX歳の甲さんに関するデータであったときは、その甲さんがその個人データの「本人」です。

近年、デジタル社会の進展に伴って、データの提供元では「個人情報」(個人データ)に該当しないけれども、データの提供先では「個人情報」(個人データ)に該当するようなデータが登場し始めました。

なぜこのようなことが起こるかというと、「個人情報」には、「単体では個人を識別できないが、他のデータと簡単に組み合わせることができ(これを「容易に照合」といいます)、それによって個人を識別できるようになる情報」も含まれるからです(個人情報保護法2条1項1号)。

従来、このように提供元では個人情報(個人データ)ではないけれども、適用先では個人情報(個人データ)になるようなデータの第三者提供については、個人情報保護法のルールがなく、グレーゾーンになっていました。

2020年の個人情報保護法の改正では、このように「提供元では個人データに該当しないが、提供先では個人データに該当することになるデータ」について、民間企業がデータを第三者に提供する場合に守らなければならないルールが新しく作られました。

2020年の改正後の個人情報保護法のルールでは、「提供元では個人データに該当しないが、提供先では個人データに該当することになるデータ」を提供をする民間企業(提供元)は、データが提供先に提供されることについて本人の同意が取得されているかどうかをまず確認しなければなりません。

本人からの同意を提供元・提供先のどちらが取るべきかについては、2020年の改正後の個人情報保護法では明確に定められていません。

ただし、実務上は、データを受け取る側の企業(提供先の企業)が本人からの同意をとることが想定されます。

なぜならば、提供されるデータは提供元では個人情報に該当しませんから、提供元の企業は誰が「本人」であるかを知らないと思われるからです。

また、提供先・提供元のどちらも、このようなデータ提供について記録を作って保管しておく義務も追加されています。

なお、「個人情報」や「個人データ」の意味については、こちらの記事に詳しい解説があります。ぜひあわせてご覧ください。

合わせて読みたい
個人データとは?
改正前のルール

「提供元では個人情報に該当しないが、提供先では個人情報に該当することになるデータ」の第三者提供について、ルールなし

改正後のルール
  • 「提供元では個人情報に該当しないが、提供先では個人情報に該当することになるデータ」の第三者提供について、ルールが新しくできた
  • 個人に関係する情報ではあるが「個人情報」には該当しない情報のことを「個人関連情報」と呼ぶことになる(改正後の個人情報保護法26条の2第1項)
  • 個人関連情報をデータベース等にして業務で使用している民間企業を「個人関連情報取扱事業者」と呼ぶことになる(改正後の個人情報保護法26条の2第1項)
  • 個人関連情報をデータベース等にして業務で使用している民間企業(個人関連情報取扱事業者)は、個人関連情報を第三者に提供するにあたり、自分の手元では個人情報に該当しなくても、提供先で個人データとなることが想定されるときは、個人データの本人からの同意が取得済みであることを確認しなければならない(改正後の個人情報保護法26条の2第1項)
  • 本人からの同意は、データの提供先(データを受け取る側)が取得することが想定される
  • 提供先も提供元も、個人情報保護法に定める事項について記録を残さなければならない(改正後の個人情報保護法26条の2第3項)

 

民間企業が取るべき対応

自社のデータを他社に提供しようとする場合

従来は、自社において「個人情報」に該当しない情報については、第三者に提供する場合でも制限は特にありませんでした。

しかし、2020年改正後の個人情報保護法の新ルールでは、自社において「個人情報」に該当しない情報でも、提供先において「個人情報」に該当することが想定される場合には、本人からの同意が得られているかどうかを事前に確認しなければならないことになります。

これは2020年改正によって新しく設けられる義務ですから、うっかり違反してしまわないように注意しましょう。

個人情報でないデータであっても、何らかのデータを第三者に渡そうとするときは、相手先でそのデータが他のデータと組み合わされて「個人情報」に該当することになる可能性があるかどうか、確認するような社内オペレーションを整備しましょう。

 

他者からデータの提供を受けようとする場合

他社から何かのデータの提供を受けようとする場合は、その提供を受けるデータが、自社の手持ちデータと簡単に組み合わされて(「容易に照合」されて)個人を特定できるようになるかどうか、つまり「個人情報」になるかどうかを検討する必要があります。

もし、提供されたデータと自社のデータを組み合わせて個人を特定できるようになるならば、事前に本人からの同意を得なければなりません。

他社から何かのデータを受け取るようなビジネスをしている会社は、業務オペレーションを見直して、他社から提供を受けるデータが自社の手持ちの他の情報と組み合わされて個人情報(個人データ)にならないかを確認する手順を追加しましょう。

業務オペレーションの見直しなどに困ったときは、個人情報保護法に詳しい弁護士に依頼することもお勧めです。

 

個人情報保護法の改正でcookieの取扱いはどうなる?

2020年の個人情報保護法の改正で、cookieの取扱いに影響があると言われることがあります。

ここでは、2020年の個人情報の取扱いがcookieにどのように影響するかを解説します。

 

cookieって何だろう?

「cookie」とは、コンピュータ(パソコンやスマートフォン)のウェブブラウザに保存されるファイルです。

「ウェブブラウザ」とは、Microsoft Edge、Google Chrome、Safariなど、パソコンやスマートフォンからインターネットのウェブサイトを見るために立ち上げるソフトウェア(アプリ)のことです。

私たちがウェブサイトを見るためにウェブブラウザを立ち上げたとき、実は、私たちに見えないところで、そのウェブブラウザに「cookieファイル」というものが作成されています。

このcookieファイルには、ユーザーがウェブブラウザをどのように使ったかなどの情報が保存されていきます。

例えば、あなたが通信販売のウェブサイトにログインし、いくつかの商品を買い物かごに入れたあと、購入手続きをせずにその通販ウェブサイトを離れたとしましょう。

次の日、あなたがまた同じ通信販売のウェブサイトを開いてみると、すでにログインされた状態になっており、昨日あなたが買い物かごに入れた商品がそのまま買い物かごに入っていることが多いでしょう。

このようなことができるのは、あなたがその通信販売ウェブサイトを見たときに使ったウェブブラウザの中にcookieファイルが作られており、そのcookieファイルが、あなたがそのウェブサイトにログインしたことや、あなたが何を買い物かごに入れたかという情報を保存しているからです(※11)。

※11 cookie以外の技術を使ってこのような機能を実現しているケースもあります。

このように、cookieとは、ウェブブラウザの中に私たちの知らないうちに作られるもので、その中には、ユーザに関する情報が記憶されていきます。

 

cookieはどのように活用されているか

現在、cookieはおもにマーケティングのために活用されています。

あなたがインターネットでいろいろなサイトを何気なく見ているとき、ウェブサイトに表示される広告の内容が変化していくことを経験したことはないでしょうか。

例えば、インターネットで英会話教室のことを調べていると、いろんなウェブサイトに表示される広告が英会話教室の広告ばかりになってくる、ということがよくあると思います。

これは、ユーザのインターネット上の行動履歴にあわせて、広告の内容が調整されているからです。

このような広告の調整が可能なのは、じつは、cookieの力です。

cookieは、ユーザがウェブブラウザ上でどのようなウェブサイトを見たか、何をクリックしたか、各ウェブサイトを何分くらい見たか、などの情報を記録することができます。

ウェブマーケティング会社は、このようなcookieの記録を見て、ユーザが何に関心を持っているかを割り出し、その関心にあわせた広告を表示しているのです。

 

cookieは個人情報に該当する?

cookieは個人情報に該当するでしょうか。

cookieは、個人情報に該当しないことが多いですが、場合によっては、個人情報に該当する場合や、個人関連情報としての規制が適用される場合があります。

つまり、「cookieは個人情報に該当するか」と考えても、ケースバイケースで答えが違ってきます。

それよりも、「cookieは個人情報に該当しない場合と該当する場合があるので、どのような場合にcookieが個人情報に該当するか」を考えることが大切です。

 

cookieが個人情報に該当する場合とは?

どのような場合にcookieが個人情報に該当するか、を考えるために、まず、「個人情報」とは何かを確認しましょう。

「個人情報」とは、例えば、

  1. ① 特定の個人を識別できる情報
  2. ② その情報だけからは特定の個人を識別できないが、他の情報と簡単に組み合わせる(これを「容易に照合」といいます)ことができ、これによって特定の個人を識別できるようになる情報などをいいます(※12)。

※12 ここでは、「個人情報」の定義を少し簡略化しています。「個人情報」の正確な定義など、詳細はこちらにまとめています。よろしければぜひご覧下さい。

cookieは、場合によっては、上記①や②に該当することがあります。cookieが上記①か②に該当する場合は、cookieは個人情報に該当します。

cookieが個人情報に該当する具体例を確認しましょう。

具体例① cookieにユーザの氏名などが記憶されているケース

ウェブサイトで会員登録などをするとき、ウェブページ上に設置された入力フォームに氏名や住所などを入力することがよくあります。

cookieは、ウェブページ上に設置された入力フォームに入力された内容を記憶することができます。

このように、cookieが入力フォームに入力された氏名や住所などを記憶している場合は、その内容だけで個人を識別できることになりますから、上記①に該当します。

したがって、この場合には、cookieは個人情報に該当することになります。

 

具体例② cookieには個人情報が記憶されていないけれど、手持ちの他の情報と組み合わせると個人を識別できるケース

具体例1のようなケースを除き、cookieそのものに氏名や住所など特定の個人を識別できる情報が記憶されることはあまりありません。

cookieそのものに個人を識別できる情報が記憶されない場合は、cookieは単体では「個人情報」に該当しません。

しかし、cookieの情報と他の情報と簡単に組み合わせて個人を特定できる場合があります。

例えば、ある通信販売会社が通信販売のウェブサイトを運営しているとしましょう。その通信販売ウェブサイトは、cookieを利用して、ユーザーがどの商品に興味を持っているかの情報を取得していたとしましょう。一般に、このようなcookieにはID番号が付けられています。

このcookieは、特にユーザーの氏名や住所などを記憶するものではありませんので、これだけでは個人情報に該当しません。

一方で、この通信販売会社は、通信販売ウェブサイトで買い物をしたお客さんのリスト(購入顧客リスト)を作っているとします。

このリストには、お客さんの名前、住所、電話番号、購入した商品、購入した日時、そしてそのお客さんが使っていたウェブブラウザに記憶されているcookieのID番号が記載されていたとします。

そうすると、cookieは、それ単体だけでは特定の個人を識別することはできませんが、この購入顧客リストと簡単に組み合わせる(「容易に照合」といいます)ことができ、そのように組み合わせることによって、cookieの情報から個人を特定することができるようになります。(cookieのID番号がcookieと顧客購入リストの両方に含まれていますので、cookieのID番号をキーとして特定の個人にたどり着くことができます。)

したがって、このケースでは、cookieは上記②のパターンで「個人情報」に該当することになります。

 

具体例③ 2020年の個人情報保護法の改正で規制対象となった「提供元では個人情報に該当しないが、提供先では個人情報に該当することになるデータ」

上記の具体例①と具体例②は、2020年の個人情報保護法の改正の前でも、cookieが個人情報に該当するパターンでした。

これから説明する具体例③は、2020年の個人情報保護法の改正によって新しく規制対象になるcookieのパターンです。

改正ポイント④で説明しましたように、2020年改正では、新たに「提供元では個人情報に該当しないが、提供先では個人情報に該当することになるデータ」を第三者提供する場合に、民間企業が守らなければならないルールができました。

cookieは、この新ルールの対象になることがあります。

例えば、ある広告会社が、cookieを活用してインターネットユーザのウェブブラウザ上の行動履歴(どのウェブサイトを訪問したか、何をクリックしたか、などの情報)を集めていたとしましょう。

このcookieにはあるID番号がついていたとします。

上記具体例②でも説明しましたように、このcookieだけには氏名・住所など特定の個人を識別できるような情報は含まれていないのが普通です。

そのため、このcookieだけでは「個人情報」にはなりません(※13)。

※13「個人情報」には該当しませんが、個人に関連する情報であるとはいえますから、「個人関連情報」に該当するといえます。(「個人関連情報」については、上記の改正ポイント④をご覧ください。)

このような広告会社が、cookieの情報を第三者に提供しようとした場合を考えます。

このcookieの情報を提供する先が、通信販売ウェブサイトを運営している通信販売会社であり、そのウェブサイトで商品を購入したお客さんのリスト(購入顧客リスト)を作っているとしましょう。

この購入顧客リストには、やはり、お客さんの名前、住所、電話番号、購入した商品、購入した日時などが含まれていると思われます。さらに、この購入顧客リストに、広告会社と同じ番号IDがついていたとしましょう。

そうすると、広告会社がcookieの情報を通信販売会社に提供した場合、通信販売会社(つまりデータの提供先)では、もらったcookieのデータは、自社が持っている購入顧客リストと簡単に組み合わせて(「容易に照合」して)、特定の個人を識別できるデータになります。(広告会社が提供したcookieのデータにも、通信販売会社が持っていた購入顧客リストにも、共通のID番号が含まれていますから、これをキーにして特定の個人を識別できるようになるからです。)

つまり、cookieのデータは、提供元の広告会社では「個人情報」(個人データ」には該当しませんが、提供先の通信販売会社では、「個人情報」(個人データ)になる、ということなのです。

このような場合は、2020年改正で新しく導入されたルール(改正ポイント④)が適用されます。

したがって、提供元である広告会社は、cookieのデータが提供先である通信販売会社に提供されることについて、本人からの同意があることを確認しなければなりません。

また、提供元である広告会社、提供先である通信販売会社どちらも、cookieのデータのやりとりについて記録を残さなければなりません。

改正ポイント⑤
「保有個人データ」を対象とする義務が拡大ー本人から請求できる事項の拡大など

改正ポイント⑤は、「保有個人データ」に関するルールの変更です。

まずは、「保有個人データ」とは何かについて確認しましょう。

「保有個人データ」とは?

個人情報保護法のルールでは、「個人情報」のサブカテゴリに「個人データ」があり、さらに「個人データ」のサブカテゴリとして「保有個人データ」がある、という形になっています。

「個人データ」とは、多くの個人情報が集まって検索できるデータベースの形(あるいは索引をつけて紙ベースでまとめられている形)になっているものがある場合に、そのデータベースに含まれているひとつひとつの個人情報のことをいいます。

そして、「保有個人データ」とは、「個人データ」のうち、自社がコントロールする権限を持っているものをいいます。

「個人データ」や「保有個人データ」については、こちらの記事に詳しい説明を掲載していますので、ぜひご覧ください。

「保有個人データ」を対象とした民間企業の義務

個人情報保護法は、個人情報の取扱いについて民間企業の義務をたくさん定めています。このような民間企業の義務のうち、いくつかのものは、保有個人データを対象とした義務です。

保有個人データを対象とした民間企業の義務のうち、代表的なものは、①個人情報保護法に定められた一定の事項を公表する義務、②本人から要求されたときは、一定の条件のもとでその本人の個人データを開示、修正、消去などする義務、などがあります。

2020年の個人情報保護法の改正では、まず「保有個人データ」に該当する個人データの対象が拡大されました。さらに、上記①の義務も②の義務も、どちらにもルール変更がありました。

特に①に関するルール変更は、民間企業のプライバシーポリシーの内容にも影響があります。

「保有個人データ」の範囲が拡大

2020年の個人情報保護法の改正では、まず、「保有個人データ」の範囲が拡大されました。

上記で解説しましたように、「保有個人データ」とは、「個人データ」のうち、自社がコントロールする権限(変更したり、削除したり、修正したり、提供したりする権限)を持っているもののことをいいます。

2020年の改正より前の個人情報保護法では、自社がコントロールする権限を持っている個人データであっても、取得してから6か月以内に消去することになるデータは、「保有個人データ」から除外されていました。

しかし、2020年の個人情報保護法の改正では、いつ消去することになるかにかかわらず、自社がコントロールする権限を持っている個人データはすべて「保有個人データ」に該当することになりました。

つまり、短い期間だけ保有してすぐに消去するような個人データ(例えば、1日だけ保有してすぐに消去するような個人データなど)も、すべて「保有個人データ」に該当することになります。

改正前のルール

自社がコントロールする権限を持っている個人データは「保有個人情報」に該当する。ただし、6か月以内に消去することになるものは「保有個人データ」には該当しない(個人情報保護法2条7項)

改正後のルール

自社がコントロールする権限を持っている個人データはすべて「保有個人情報」に該当する(6か月以内に消去するかどうかは関係ない。6か月以内に消去するものでも「保有個人データ」には該当することになる。)
(改正後の個人情報保護法2条7項)

公表しなければならない事項の追加

2020年の改正より前から、個人情報保護法のルールでは、「保有個人データ」を取り扱う民間企業に、一定の事項を世間に対して公表しておかなければならない、という義務があります(個人情報保護法27条1項)。

さまざまな民間企業がプライバシーポリシーを作成し、ウェブサイト上で公表しているのは、この義務があるからです(※14)

※14 民間企業の多くがプライバシーポリシーを作成して公表しているのは、一般に、この義務を遵守するためと、利用目的の公表(個人情報保護法18条1項)をするため、という2つの目的があります。

2020年の個人情報保護法の改正では、「保有個人データ」を持っている民間企業が公表しておかなければならない事項が増えました。

改正前のルール

「保有個人データ」を取り扱う民間企業(個人情報取扱事業者)は、次の事項を公表しなければならない。

  • (1) 自社の名称
  • (2) 保有個人データの利用目的
  • (3) 本人からの個人データの取扱いに関する要求に応じる手続
  • (4) 個人データの取扱いに関する苦情の窓口の情報など。

((1)から(3)までは個人情報保護法27条1項、(4)は個人情報保護法施行令8条)

※この記事では法律で定める事項のうち一部だけを記載しています。より正確な要件は個人情報保護法の条文をご参照ください。

改正後のルール

「保有個人データ」を取り扱う民間企業(個人情報取扱事業者)は、次の事項を公表しなければならない。

上記(1)から(4)までの事項だけでなく、さらに、

  • (5) 自社の住所と代表者の氏名
  • (6) 本人からの第三者提供の記録の開示請求に応じる手続
  • (7) 本人からの利用停止・第三者提供の停止の要求に応じる手続((3)の拡張)

民間企業のとるべき対応

一般に、民間企業は、この公表義務を遵守するため、「プライバシーポリシー」の中に必要な事項を記載して公表していることが多いです。

したがって、民間企業は、2020年の個人情報保護法に対応するため、プライバシーポリシーを改定して、2020年の個人情報保護法で追加された事項をつけ加えなければなりません。

プライバシーポリシーをどのように改定したらよいか困ったときは、個人情報保護法に詳しい弁護士に依頼することもできます。

本人から請求できる事項の拡大

「保有個人データ」を持っている民間企業(個人情報取扱事業者)は、個人データの本人から、個人データの取扱いについて請求があったときは、それに応じる義務があります。

本人からの請求に応じる義務についてはこちらをご覧ください。

2020年の個人情報保護法の改正では、個人データの本人が、民間企業(個人情報取扱事業者)に対して請求できる事項が増えました。

改正前のルール
  • 利用停止・消去の請求
    個人は、企業(個人情報取扱事業者)に対して、①個人データが不正取得された、②個人データを利用目的の範囲を超えて利用した、のように企業側に一定の法律違反があった場合にだけ、その利用停止・消去などを請求することができる。
  • 第三者提供の停止の請求
    個人は、企業(個人情報取扱事業者)に対して、企業側に第三者提供に関する義務の違反があった場合にだけ、その利用停止・消去などを請求することができる。
  • 開示の方法
    企業が保有個人データを個人の請求に応じて開示するときは、原則として書面(紙)を渡す方法で行う。
  • 第三者提供記録の開示
    個人は、自分の個人データが第三者に提供された際の記録の開示を求めることはできない。
改正後のルール
  • 利用停止・消去の請求・第三者提供の停止の請求
    改正前のルールに加えて、個人は、企業(個人情報取扱事業者)に対して、企業が不適正な利用の禁止の義務に違反した場合や、本人の権利や利益が害される恐れがある場合にも、利用停止・消去の請求・第三者提供の停止の請求ができるようになった。
  • 開示の方法
    企業が保有個人データを個人の請求に応じて開示するときは、個人が開示の方法を指定できる。書面(紙)だけでなくデータでの開示を指定することも可能。
  • 第三者提供記録の開示
    個人は、自分の個人データが第三者に提供された際の記録の開示を求めることができる。

民間企業のとるべき対応

改正後の個人情報保護法のルールで認められることになる個人からの請求について、対応できる社内体制を整える必要があります。

まずは、現行の社内ルールや社内体制で改正後のルールに対応可能か、それとも新たなルールや体制の整備が必要かを確認しましょう。

少し複雑な内容ですので、個人情報保護法に詳しい弁護士に相談することもよい方法です。

改正ポイント⑥
違反時のペナルティの厳罰化ー民間企業が個人情報保護法の義務に違反した場合のペナルティが強化されました

個人情報保護法は、民間企業が守るべきさまざまな義務を定めている法律です。

民間企業がこのような義務に違反してしまったときは、ペナルティが課されます。ペナルティの中には、刑事罰も含まれています。

「刑事罰」とは、犯罪行為として処罰することです。

2020年の個人情報保護法の改正では、このようなペナルティの一部が厳罰化されました。

民間企業としては、個人情報の適切な取扱いについて、より慎重な対応が必要になるでしょう。

改正ポイント⑦ 国際化への対応

近年では、個人情報の利活用が拡大するにつれて、企業が持っている個人情報が国境を越えて他の国の企業に提供されることも増えてきました。

2020年の個人情報保護法の改正では、個人情報が外国に提供された場合に、その個人情報を受け取った外国の企業にも新たに一定の義務が課されるようになりました。

 

 

民間企業にとって情報の利活用の拡大につながる新ルール

上記のように、2020年の個人情報保護法の改正では、民間企業に課される義務が強化されました。

しかし、2020年の個人情報保護法の改正は、民間企業の義務を強化するだけではありません。民間企業による個人情報の利活用を促進するようなルール変更も行われます。

2020年の個人情報保護法の改正では、「仮名加工情報」という新しいカテゴリの情報が誕生しました。

「仮名加工情報」とは、個人情報から個人を特定できる部分を削除した情報のことをいいます。

2020年の個人情報保護法の改正による新しいルールのもとでは、民間企業は、「仮名加工情報」をデータ分析や機械学習(いわゆるAI)の学習データとして利用するなど、特定の個人を識別する必要のない作業のためのデータ利用が容易になります。

仮名加工情報に関するルールは複雑ですので、こちらの記事にまとめました。ぜひ参考になさってください。

 

個人情報保護法の改正法の施行日はいつ?

2020年の個人情報保護法の改正による新ルールは、2022年4月1日からスタートします。
(ただし、改正ポイント⑥のペナルティの厳罰化については、2020年12月12日から有効になっています。)

民間企業としては、2022年4月1日までに、プライバシーポリシーのアップデートや社内規定の改定など、新ルールへの対応を済ませておきましょう。

新ルールへの対応については、個人情報保護法に詳しい弁護士に相談することもお勧めです。

 

 

個人情報保護法に違反したときの罰則

民間企業が個人情報保護法に違反した場合は、さまざまなデメリットがあります。場合によっては、処罰を受けることもあります。

改正ポイント⑥で解説しましたように、2020年の個人情報保護法の改正では、処罰の一部が厳罰化されました。

民間企業にとって、個人情報保護法に違反しないことがますます大切になっています。

個人情報保護法違反についてはこちらの記事に詳しくまとめています。ぜひ参考にされてください。

 

 

条文の新旧対照表

政府から、2020年の個人情報保護法の改正前の条文と改正後の条文の対照表が公表されています。

条文のチェックにお役立てください。

参考:個人情報保護委員会ウェブサイト(新旧条文対照表)

 

 

まとめ

  • 2020年に個人情報保護法の改正が決定され、個人情報の取扱いに関するルールが変更に
  • 個人情報保護法の改正による民間企業への影響は大きい!
  • 新ルールは2022年4月1日から有効になる。民間企業はそのときまでに対応をすませましょう!
  • 新ルールのスタートが近づいています。対応に困ったときは個人情報保護法に詳しい弁護士に相談しましょう
  • 個人情報の適切な取り扱いは民間企業にとって今後ますます重要になってくる!

改正ポイントのまとめ

民間企業の負担が増加する改正

改正ポイント①個人情報の利用に対する新しい規制ー不適正な方法による利用の禁止

利用目的の範囲ないであっても、違法・不当な方法での個人情報の利用は禁止

改正ポイント②個人データの漏えいなどが発生した場合の行政への届出と本人への通知の義務化

個人データのインシデント(漏えい・滅失・毀損)が発生した場合には、行政と本人への報告・通知が必要

改正ポイント③オプトアウトによる第三者提供の規制が拡大
  • オプトアウトの方法ができない(オプトインしか認められない)個人情報の範囲が拡大
  • オプトアウト手続に必要な事項が増加
改正ポイント④提供先で個人データとなる情報の規制
  • 「個人関連情報」というカテゴリが新設
  • 提供元で個人情報(個人データ)に該当しない情報でも、提供先で個人情報(個人データ)に該当することになるときは、第三者提供の前に本人からの同意が必要
  • 提供元・適用先で記録を作成・保存する
改正ポイント⑤「保有個人データ」を対象とする義務が拡大ー本人から請求できる事項の拡大など
  • 「保有個人データ」の範囲が拡大。6か月以内に消去するかどうかにかかわらず「保有個人データ」になりうる
  • 民間企業がプライバシーポリシーなどに記載して公表する項目が増えた
  • 個人が民間企業に対して請求できる事項が増えた
改正ポイント⑥違反時のペナルティの厳罰化

一定の個人情報保護法の義務に違反した者に対する罰則が厳罰化

改正ポイント⑦国際化への対応

個人情報が外国に提供された場合に、それを受け取った外国の企業にも一定の義務が課される

 

民間企業による個人情報の利活用を促進する改正

「仮名加工情報」の新設
  • 「仮名加工情報」とは個人情報から個人を特定できる部分を削除した情報のこと
  • 「仮名加工情報」をデータ分析などの目的で利活用できる

以上、2020年の個人情報保護法の改正について解説いたしました。この記事が個人情報の保護に努める企業のみなさまの参考になれば幸いです。

 

 

 
アクセス
企業の相談は初回無料
無料相談の流れ
オンライン相談