令和2年改正 個人情報保護法の概要


令和2年改正(施行日:2022年4月1日)の個人情報保護法の見直し内容は、以下の4点が柱となっている。

  1. 「個人情報保護法」、「行政機関個人情報保護法」、「独立行政法人等個人情報保護法」の3本の法律を1本の法律に統合し、地方公共団体の個人情報保護制度も統合後の法律において全国的な共通ルールとして、全体の所管を個人情報保護委員会に一元化。
  2. 医療分野や学術分野の規制を統一するため、国公立の病院や大学等には、原則として、民間の病院や大学等と同等の規律を適用。
  3. 学術研究分野を含めたGDPRの十分性認定への対応を目指し、学術研究に係る適用除外規定について、一律の適用除外ではなく、義務ごとの例外規定として精緻化。
  4. 個人情報の定義等を国や民間や地方で統一するとともに、行政機関等での匿名加工情報の取扱いに関する規律を明確化。

法改正の概要(「令和2年改正個人情報保護法 ガイドライン案の概要」より)

  • 利用停止等
    • 一部の法律違反の場合に加えて、本人の権利または正当な利益が害される恐れがある場合に拡充する
  • 漏えい等報告・本人通知
    • 漏えい等が発生し、個人の権利利害を害する恐れがある場合、要配慮個人情報や財産的被害が発生するおそれがある漏えい等に、委員会への速報と確報の2段階の報告および本人通知を義務化する。
  • 不適正利用の禁止
    • 違法または不当な行為を助長する等の不適正な方法により個人情報を利用してはならない旨を明確化する。
  • 認定団体制度の充実
    • 原稿制度に加えて企業の特定分野や部門を対象とする団体を認定できるようにする。
  • 公表事項等
    • 安全管理のために講じた措置を法定公表事項に追加する。
  • 仮名加工情報
    • 「仮名加工情報」を創設し、利用を内部分析等に限定することを条件に、利用目的の変更の制限等を緩和する。
    • 仮名加工情報の加工基準に従った加工の事例:氏名、年齢、性別、サービス利用履歴が含まれる個人情報を加工する場合で、氏名を削除。
  • 個人関連情報
    • 提供先において、個人データとなることが想定される情報の第三者提供について、本人同意が得られていること等の確認を義務付ける。
    • 同意取得の主体、同意取得の方法等について、事例を含め解釈を具体的に記載。
    • 同意取得の主体:原則として、情報を利用する主体となる提供先が同意を取得する。
    • 同意取得の方法:同意取得にあたっては、対象となる個人関連情報の範囲を示したうえで、明示の同意を要する。
  • 越境移転
    • 本人同意に基づく越境移転:同意の取得時に、本人への情報提供を求める。
    • 体制整備要件に基づく越境移転:移転先による個人データの適正な取扱いの継続的な確保のための「必要な措置」および本人の求めに応じた情報提供を求める。

用語の定義

  • 個人情報:
    • 生存する個人に関する情報であって、次のいずれかに該当するものをいう。
    • 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。)で作られる記録をいう。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
    • 個人識別符号が含まれるもの
  • 個人識別符号:
    • 次のいずれかに該当する文字、番号、記号その他の符号のうち、政令で定めるものをいう。
    • 特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの。
    • 個人に提供される役務の利用、若しくは、個人に販売される商品の購入に関し割り当てられ、又は、個人に発行されるカードその他の書類に記載され、若しくは、電磁的方式により記録された文字、番号、記号その他の符号であって、その利用者若しくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ、又は記載され、若しくは記録されることにより、特定の利用者若しくは購入者又は発行を受ける者を識別することができるもの。
  • 要配慮個人情報:
    • 本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいう。
  • 個人情報データベース等:
    • 個人情報を含む情報の集合物であって、次に掲げるもの(利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものを除く。)をいう。
    • 特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの。
    • 前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの。
  • 個人情報取扱事業者:
    • 個人情報データベース等を事業の用に供している者をいう。ただし、次に掲げる者を除く。
    • 国の機関
    • 地方公共団体
    • 地方独立行政法人
  • 個人データ:
    • 個人情報データベース等を構成する個人情報をいう。
  • 保有個人データ:
    • 個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの又は一年以内の政令で定める期間以内に消去することとなるもの以外のものをいう。
  • 本人:
    • 個人情報によって識別される特定の個人をいう。
  • 仮名加工情報:
    • 次に掲げる個人情報の区分に応じて別に定める措置を講じて他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報をいう。
    • 法第一項第一号に該当する個人情報:当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
    • 法第一項第二号に該当する個人情報:当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
  • 仮名加工情報取扱事業者:
    • 仮名加工情報を含む情報の集合物であって、特定の仮名加工情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の仮名加工情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの(法第三十五条の二第一項において「仮名加工情報データベース等」という。)を事業の用に供している者をいう。ただし、法第五項各号に掲げる者を除く。
  • 匿名加工情報:
    • 次の各号に掲げる個人情報の区分に応じて別に定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう。
    • 法第一項第一号に該当する個人情報:当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
    • 法第一項第二号に該当する個人情報:当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
  • 匿名加工情報取扱事業者:
    • 匿名加工情報を含む情報の集合物であって、特定の匿名加工情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の匿名加工情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの(法第三十六条第一項において「匿名加工情報データベース等」という。)を事業の用に供している者をいう。ただし、法第五項各号に掲げる者を除く。
  • 個人関連情報:
    • 生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいう。
  • 個人関連情報取扱事業者:
    • 個人関連情報データベース等(個人関連情報(生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいう。以下同じ。)を含む情報の集合物であって、特定の個人関連情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の個人関連情報を容易に検索することができるように体系的に構成したものとして政令で定めるものをいう。
  • 個人関連情報データベース等:
    • 個人関連情報(生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいう。
  • オプトイン:
    • 本人から事前の同意を得ること。
  • オプトアウト
    • 本人に対して、あらかじめ個人データを第三者提供することについて、通知または認識できる状態にしておいて、本人がこれに反対しない限り、同意したものとみなすこと。ただし、要配慮個人情報は除く。
    • オプトアウト手続きにより個人データを第三者提供しようとする者は、個人情報保護委員会に届け出ることが必要(法第23条第2項)。また、届け出た内容は、インターネット等の方法により、公表しなければならない。
    • 上記届出が不要なケース:
      • 本人から同意を得ている場合
      • 個人データに該当しない個人情報を第三者提供する場合
      • 業務の委託、事業の継承、共同利用を行う場合

コメントフォーム

名前

 

メールアドレス

 

URL

 

 

コメント

トラックバックURL: 
2024年3月
 123
45678910
11121314151617
18192021222324
25262728293031
最近の投稿
エトセトラ
カテゴリー
運営情報
メタ情報