前回の第20回記事公開後、3年弱ほど本連載の更新が止まっていたが、その間、加藤・大島・松尾の3名は実務を積み重ねてきた。今般、2022年4月1日に令和2年・3年改正(うちデジタル社会形成整備法50条に限る)が施行されることに伴い、個人情報保護法の法務も激動の時代に入る。そのため積み重ねてきた実務経験を踏まえながら、本連載を「再始動」していきたい。連載の「再始動」にあたって、数藤雅彦弁護士が執筆者に参画することになった。数藤は個人情報保護法務を扱うほか、デジタルアーカイブ分野等情報法関係の実務経験も豊富であり、今後は4名協力体制で本連載を更新していきたい。
1 はじめに
令和2年・3年個人情報保護法改正により、プライバシーポリシーの改訂が必要になる。プライバシーポリシー(個人情報保護方針)は、個人情報の収集、管理・利用,提供等に関する取扱いの方針を明文化したものであり、各組織においてその記載内容は多様である。典型的なプライバシーポリシーの記載内容としては、表題(タイトル)、個人事業取扱事業者の氏名または名称、個人情報取扱いの基本方針、取得方法、利用目的、第三者提供、委託、安全管理措置、開示等の請求に応じる手続、苦情相談窓口等、継続的改善に関する事項等が挙げられるが、令和2年・3年個人情報保護法改正により記載事項の改訂・追加を検討する必要がある。
ひとくちにプライバシーポリシーの改訂といってもGDPR対応、CPRA対応、電気通信分野の新たな規制*1対応等、広く考えれば多数の論点がありうるが、以下では一般的な企業のプライバシーポリシーを考える上で重要な論点のみにフォーカスする。その結果、法改正のすべてを網羅するものではないことに留意されたい*2。また、条文番号については、現行の内容を「旧〇条」、2022年4月1日施行の内容を「新〇条」とする。個人情報保護委員会のガイドラインおよびQ&Aは、本連載公開日時点のものを基準とする。
2 概念・定義等
定義については、保有個人データに短期保有データが追加された(新16条4項。旧2条7項「一年以内の政令で定める期間」および旧政令5条を参照)以外は、実質的内容の変更はないものの、たとえば個人データ等の一部の定義が旧2条から新16条に移動している。プライバシーポリシーで条文を引用している場合には、修正が必要である。
なお、新たな概念として、仮名加工情報(新2条5項)および個人関連情報(新2条7項)が入っているが、10項で説明する。
3 個人情報取扱事業者に関する情報
個人情報取扱事業者の氏名または名称(旧27条1項1号)を本人の知り得る状態に置く義務は、「個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名」(新32条1項1号)を本人の知り得る状態に置く義務となった。そこで、プライバシーポリシーでこれらの事項を記載する際、法人の場合には、住所および代表者の氏名の追記が必要である。
4 利用目的
すべての保有個人データの利用目的を本人の知りうる状態に置く義務(旧27条1項2号、新32条1項2号)に改正はない。もっとも、ガイドライン通則編(略語の定義については第1回参照)の改正に対応する必要がある。
利用目的に関する最大の変更点は、ガイドライン通則編3−1−1で導入された日本版プロファイリング規制であり、本人から得た情報から、本人に関する行動・関心等の情報を分析する場合、個人情報取扱事業者は、どのような取扱いが行われているかを本人が予測・想定できる程度に利用目的を特定しなければならないとして、以下の各事例のような記載が要求されたことである。
事例1)「取得した閲覧履歴や購買履歴等の情報を分析して、趣味・嗜好に応じた新商品・サービスに関する広告のために利用いたします。」
事例2)「取得した行動履歴等の情報を分析し、信用スコアを算出した上で、当該スコアを第三者へ提供いたします。」
これはGDPRのように、一定の場合にプロファイリング等の自動処理のみによる決定を拒絶する権利を与えるといったものではなく、単に利用目的に明記すればよいというマイルドなものであるが、改正に伴うプライバシーポリシーの変更の際には留意が必要である。
なお、学術関係は改正前は一律の適用除外(旧76条1項3号)とされ、個人情報取扱事業者による学術機関への第三者提供には個人情報保護委員会(以下「PPC」)は権限を行使しない(旧43条2項)という仕組みであった。令和3年改正で、学術関係も適用対象に入ったものの(新57条)、学術関係の性質に鑑みた規定の整理がされている。その関係で、利用目的による制限(旧16条)の例外(旧16条3項)が改正され、新18条3項では、「当該個人情報取扱事業者が学術研究機関等である場合であって、当該個人情報を学術研究の用に供する目的(以下この章において「学術研究目的」という。)で取り扱う必要があるとき(当該個人情報を取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)。」(5号)、「学術研究機関等に個人データを提供する場合であって、当該学術研究機関等が当該個人データを学術研究目的で取り扱う必要があるとき(当該個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)。」(6号)が入っているので、プライバシーポリシーで旧16条3項各号の条文を引き写している場合には修正が必要となる*3。
新18条3項5号は学術研究機関等が個人情報を学術研究目的で取り扱う場合の定めのため、一般企業においては追記不要な場合もあるが、学術研究機関等に対する個人データの提供が必要な企業においては同項6号に対応した定めを置くことも検討に値しよう。
5 開示等に応じる手続
開示等に応じる手続(旧27条1項3号、新32条1項3号)については、開示(新33条)および利用停止等(新35条)の要件や内容が変更されている。プライバシーポリシーにこれらの要件等を具体的に記載している場合には、修正が必要になる。
開示については、電磁的記録の提供の方法等による開示請求に原則として応じるべきこと(新33条1項。例外につき同条2項括弧書き参照)、第三者提供記録の開示(新33条5項)が重要である。
利用停止等と、第三者への提供の停止について新たに追加された要件は、以下のとおりである。
利用停止等
|
第三者への提供の停止
|
① 新19条(不適正な利用の禁止)の規定に違反して取り扱われている場合(新35条1項)
② 当該本人が識別される保有個人データを当該個人情報取扱事業者が利用する必要がなくなった場合(新35条5項)
③ 当該本人が識別される保有個人データに係る新26第1項本文に規定する(漏えい等の)事態が生じた場合(新35条5項)
④ その他当該本人が識別される保有個人データの取扱いにより当該本人の権利または正当な利益が害されるおそれがある場合(新35条5項)
|
① 当該本人が識別される保有個人データを当該個人情報取扱事業者が利用する必要がなくなった場合(新35条5項)
② 当該本人が識別される保有個人データに係る新26条1項本文に規定する(漏えい等の)事態が生じた場合(新35条5項)
③ その他当該本人が識別される保有個人データの取扱いにより当該本人の権利または正当な利益が害されるおそれがある場合(新35条5項)
|
6 安全管理措置
保有個人データに関して(プライバシーポリシーにおける公表等を通じて)本人の知りうる状態に置かなければならない事項として、政令で定める事項(旧27条1項4号、新32条1項4号)のうち、「当該個人情報取扱事業者が行う保有個人データの取扱いに関する苦情の申出先」(旧政令8条1号、新政令10条2号)と「当該個人情報取扱事業者が認定個人情報保護団体の対象事業者である場合にあっては、当該認定個人情報保護団体の名称および苦情の解決の申出先」(旧政令8条2号、新政令10条3号)に変更はない。
大きな変更は、「法第23条の規定により保有個人データの安全管理のために講じた措置(本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置くことにより当該保有個人データの安全管理に支障を及ぼすおそれがあるものを除く。)」(新政令10条1号)の追加である。
ガイドライン通則編3−8−1(1)④は、「安全管理のために講じた措置として本人の知り得る状態に置く内容の事例」として、「個人データの適正な取扱いの確保のため、「関係法令・ガイドライン等の遵守」、「質問及び苦情処理の窓口」等についての基本方針を策定」等の具体的な事例を示しており、各社は基本的にはこのようなガイドラインの例示を参考にしてかかる義務を果たしていくことになる。もしガイドラインの例示よりも抽象的にしたい場合には、その事項についてその程度を超える具体性でプライバシーポリシーに記載してしまうと、当該保有個人データの安全管理に支障を及ぼすおそれがあるなどと説明できる必要があると思われる。
なお、Q&A(2022年4月施行時には、「個人情報の保護に関する法律についてのガイドライン」 に関するQ&A」として適用されるもの。以下同じ。)ではより具体的な記載方法について詳細を示しており、特にQ&A10-25は、外国にある第三者の提供するクラウドサービスを利用し、その管理するサーバに個人データを保存する場合につき、「「保有個人データの安全管理のために講じた措置」として、クラウドサービス提供事業者が所在する外国の名称及び個人データが保存されるサーバが所在する外国の名称を明らかにし、当該外国の制度等を把握した上で講じた措置の内容を本人の知り得る状態に置く必要があります。他方、個人データが保存されるサーバが所在する国を特定できない場合には、サーバが所在する外国の名称に代えて、①サーバが所在する国を特定できない旨及びその理由、及び、②本人に参考となるべき情報を本人の知り得る状態に置く必要があります。②本人に参考となるべき情報としては、例えば、サーバが所在する外国の候補が具体的に定まっている場合における当該候補となる外国の名称等が考えられます。」との見解を示しており、プライバシーポリシーの記載においても参考になる*4。
7 不適正利用規制
「違法又は不当な行為を助長し、又は誘発するおそれがある方法」による個人情報の利用の禁止(新19条)については、ガイドライン通則編3-2において事例が6つ示されることで一定程度明確化されたものの、不透明なことも多い。プライバシーポリシーの記載としては、当面は「当社は違法又は不当な行為を助長し、又は誘発するおそれがある方法によって個人情報を利用しません」という程度とするほかないのではなかろうか。
8 第三者提供および外国第三者提供
(1)第三者提供
第三者提供規制に関しては、共同利用の規制について、「当該個人データの管理について責任を有する者の氏名又は名称」(旧23条5項3号)が「当該個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名」(新27条5項3号)として、改正法のもとでは、「住所並びに法人にあっては、その代表者の氏名」が追加されているのが重要である。プライバシーポリシーで共同利用について記載している(本人が容易に知り得る状態に置いている)場合には、追記が必要となる。
また、新27条1項各号の内容が、上記4で述べた学術関係の適用除外の変更によって、「当該個人情報取扱事業者が学術研究機関等である場合であって、当該個人データの提供が学術研究の成果の公表又は教授のためやむを得ないとき(個人の権利利益を不当に侵害するおそれがある場合を除く。)。」(新27条1項5号)、「当該個人情報取扱事業者が学術研究機関等である場合であって、当該個人データを学術研究目的で提供する必要があるとき(当該個人データを提供する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)(当該個人情報取扱事業者と当該第三者が共同して学術研究を行う場合に限る。)。」(新27条1項6号)「当該第三者が学術研究機関等である場合であって、当該第三者が当該個人データを学術研究目的で取り扱う必要があるとき(当該個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)。」(新27条1項7号)が追記されているので、プライバシーポリシーで旧23条1項各号の条文を引き写している場合には修正が必要となる。
新27条1項5号および6号は学術研究機関等が個人データを提供する場合の定めのため一般企業においては追記不要である場合もあるが、学術研究機関等に対する個人データの提供が必要な企業においては同項7号に対応した定めを置くことも検討に値しよう。なお、オプトアウト規制強化として、偽りその他不正の手段により取得したものおよびオプトアウトにより提供を受けたもののオプトアウトによる第三者提供が禁止されており、オプトアウトによる第三者提供を行っている会社では、これらをオプトアウトの対象情報から外す等の対応が必要であるが*5、一般的なプライバシーポリシーとの関係が薄いのでここでは詳述しない(新27条2項)。
(2)外国第三者提供
外国第三者提供については、大幅に規制が強化されており、具体的な規制については松尾剛行「法の域外適用・越境移転とパーソナルデータ法制の国際的整合性」NBL 1181号(2020年)38頁を参照されたい。
実務的なプライバシーポリシーに関する対応としては、①同意取得時の情報提供(新28条2項)をプライバシーポリシーで行うか、②相当措置の継続的な実施を確保するために必要な措置に関する情報提供(新28条3項)をプライバシーポリシーで行うかによると思われる。
①については、ガイドライン外国にある第三者への提供編5−1(略語の定義については第1回参照)が事例4で「必要な情報をホームページに掲載し、本人に閲覧させる方法」を挙げており、ウェブサイトのプライバシーポリシーを閲覧させる方法も否定されていない。しかし、Q&A12-10は、「法第24条第2項の規定による本人への情報提供の方法として、必要な情報が掲載されたウェブサイトのURLを本人に提供することは認められますか」との質問に対し、「個別の事案ごとに判断されますが、例えば、施行規則第11条の3第2項から第4項までの規定により求められる情報が掲載されたWebページが存在する場合に、当該WebページのURLを自社のホームページに掲載し、当該URLに掲載された情報を本人に閲覧させる方法も、施行規則第11条の3第1項における『適切な方法』に該当すると考えられます。ただし、この場合であっても、例えば、当該URLを本人にとってわかりやすい場所に掲載した上で、同意の可否の判断の前提として、本人に対して当該情報の確認を明示的に求めるなど、本人が当該URLに掲載された情報を閲覧すると合理的に考えられる形で、情報提供を行う必要があると考えられます。」(強調筆者)としている。重要なのはこの但書であり、長いプライバシーポリシーに同意するというボタンを押させるだけで、この但書を満たしたといえるかは疑問である。その意味では、可能であれば、一般的なプライバシーポリシーへの同意プロセスの外にこの同意取得時の情報提供をおくべきといえるだろう*6。もしそのような方向性を選ぶ場合、プライバシーポリシー上は「外国にある第三者に個人データを開示・提供する場合には個人情報保護関連法令の規制を遵守し、原則として、個人情報保護関連法令によって提供が必要な情報を事前に提供した上で本人の同意を得ます。」という程度の記載になると思われる。
②については、ガイドライン外国にある第三者への提供編6−2−1が「必要な情報をホームページに掲載し、本人に閲覧させる方法」としており、Q&A12−19も「個別の事案ごとに判断されますが、たとえば、施行規則第11条の4第3項の規定により求められる情報が掲載されたWebページが存在する場合に、当該 Web ページのURLを本人に対して提供する方法も、改正後の施行規則第11条の4第2項における「適切な方法」に該当すると考えられます。」としている。①との相違としては、①が条文上「あらかじめ」「本人に提供しなければならない」(新28条2項)としてかかる情報提供が同意の前提であるのに対し、②が条文上「本人の求めに応じて当該必要な措置に関する情報を当該本人に提供しなければならない」(新28条3項)という形で本人の求めに応じて対応すればいいという点が挙げられる。そこで、たとえば本人からメール等で問い合わせがある場合に、「プライバシーポリシー〇〇項を見てください」等と丁寧に説明する前提で、かかる内容をプライバシーポリシーに記載することはあり得るだろう。
その場合、規則18条3項により以下の内容を記載することになる。
・当該第三者による体制の整備の方法
・当該第三者が実施する相当措置の概要
・確認の頻度および方法
・当該外国の名称
・当該第三者による相当措置の実施に影響を及ぼすおそれのある当該外国の制度の有無およびその概要
・当該第三者による相当措置の実施に関する支障の有無およびその概要
・当該の支障に関して当該個人情報取扱事業者が講ずる措置の概要
なお、PPCは31の国または地域の制度調査をする意向を表明している*7。
9 漏えい等の場合
従来は漏えい等の場合にはいわゆる「漏えい告示」(個人データの漏えい等の事案が発生した場合等の対応について(平成29年個人情報保護委員会告示第1号))に従った対応をすると規定する企業が多かったと思われる。今後は、漏えい告示の廃止に伴い、新26条に従った漏えい等の際の(認定個人情報保護団体ではなく)個人情報保護委員会への報告や本人への通知等の対応をすることをプライバシーポリシー等でも規定することになると理解される。
10 その他
(1)仮名加工情報
仮名加工情報は簡単にいえば、一定程度情報を削っているが、匿名加工情報ほど情報を削っていない情報を、仮名加工情報であるとすることで得られるメリットを期待してあえて意図的に作成等したものをいう。基本的には、社内で利用する場合(新41条6項の第三者提供禁止に注意)に、利用目的変更規制(新17条2項)や漏えい等報告規制(新26条)、開示等規制(新32条以下)の義務を免れる(新41条9項)というところに、仮名加工情報にするメリットがある。
逆にいえば、それが個人情報であることを前提に氏名等を安全管理(新23条)のために削除するだけで、特に仮名加工情報であるとすることで得られるメリットを期待してあえて意図的に作成等したわけではないのであれば、仮名加工情報に関する規制は適用されない(Q&A14−4*8)。
プライバシーポリシーとの関係では、利用目的の公表義務等が発生し得るところ(新41条4項)、これらの仮名加工情報に関する義務を果たすべきかについては、上記の観点からそもそも自社で仮名加工情報を取り扱うのかという点によって決まってくるだろう。
(2)個人関連情報
個人関連情報規制(新31条)は、基本的には、Cookie等の個人情報ではない(自社にとって誰の情報かわからない)ものを第三者(たとえば広告会社)に提供した場合に、当該第三者(たとえば広告会社)のところで個人データになる(誰の情報かわかる)と想定される場合にかかってくる(新2条7項「個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないもの」参照)。
たとえば、広告会社に情報を提供するが、それは自社が誰の情報かわかっている、という場合、基本的にはそれは個人データの第三者提供(新27条)である。また、Cookieを利用しているだけでただちに新31条の対象になるのではなく、提供後に受領者(たとえば広告会社)のところで個人データになる(誰の情報かわかる)と想定されることが重要である。
なお、個人関連情報規制が関わる場合のプライバシーポリシーへの記載としては、たとえば「当社は第三者のところで個人データになると想定される場合には当該第三者に個人関連情報を提供しません」とか、「当社はXX社が既に本人から同意を得ているということを確認した上で、当社ウェブサイト閲覧者のCookieを個人関連情報としてXX社に提供し、XX社はこれを個人データとして取得します。」といった記載が考えられる*9。
以上は、2021年12月現在の実務に基づく対応の指針である。また、個別の企業の事情を踏まえたものではない。そのような留保を付させていただいた上で、読者の参考になれば幸いである。今後も施行までに複数回の記事を公表していきたい。
*1:https://www.nikkei.com/article/DGXZQOUA2563G0V21C21A1000000/
*2:なお、プライバシーマーク取得企業は雛形の改訂状況を注視することも必要であろう。
*3:学術関係の第三者提供をしていた個人情報取扱事業者としては、プライバシーポリシーの問題だけではなく、どのような立て付けで改正後の第三者提供を整理するかについて検討をする必要があるだろう。
*4:また、法の「本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)」という文言およびQ&A9-3を前提とすると、ホームページに掲載するプライバシーポリシーにおいて安全管理措置の概要および問合せ窓口を掲載し、本人からの問合せがあれば安全管理措置の具体的な内容を遅滞なく回答する体制を構築する方法も許容されると考えられる。もっとも、そのようなプライバシーポリシーとする以上、どのように回答するかは事前に統一的方法を決めておく必要があり、いざ問い合わせが来てから慌てるようなことがあってはならない。
*5:松尾が担当している案件では、PPCに対する届出の際、かなり積極的な行政指導が入っており、法の定めだけではなく、PPCの対応実務の変化にも注視が必要と考えられる。
*6:例えば「外国にある第三者の提供に関する情報」といったWebページを別途設けるという方法があり得るだろう。
*7:https://www.ppc.go.jp/files/pdf/210917_pp_offshore_kouhyou_sywkqc.pdf
*8:「仮名加工情報を作成するためには、仮名加工情報作成の意図を持って、法第35条の2第1項に基づき、施行規則第18条の7各号で定める基準に従い加工する必要があります。したがって、仮名加工情報の加工基準に基づかずに、個人情報を安全管理措置の一環等としてマスキング等によって仮名化した場合には、仮名加工情報としては扱われません。また、客観的に仮名加工情報の加工基準に沿った加工がなされている場合であっても、引き続き個人情報の取扱いに係る規律が適用されるものとして取り扱う意図で加工された個人に関する情報については、仮名加工情報の取扱いに係る規律は適用されません。」
*9:理論的には、「当社は第三者のところで個人データになると想定される場合には本人の同意が得られていることを確認することなく当該第三者に個人関連情報を提供しません」という記載でも良いと思われるが、この問題に注目が高まったからこそ法改正がなされた、という点に鑑みると、もしそのような提供をしているのであれば、提供方法をできるだけ具体的に説明することが望ましいだろう。