1 はじめに
本連載でも解説を重ねてきた2022年4月施行の個人情報保護法改正への対応として、多くの会社が社内規程(いわゆる「個人情報取扱規程」等)の改訂をすでに行い、またはこれから行おうとしていると思われる。
今回は、社内規程の改訂対応においていかなる点にどのように留意すべきかを、①あらゆる会社にとって重要な事項と②それ以外の事項に分けて解説する。ただし、例えばプライバシーポリシーで対応すべき事項については、すでに第21回でまとめたことから、本記事では基本的に優先度を下げている。また、外国企業については想定していない*1。よって、すでに社内規程を有している日本企業にとって必要な改訂内容のみにフォーカスしている。
2 重要な改訂事項
(1)保有個人データの定義の変更
まず、保有個人データの定義が変更され、6か月以内に消去する短期保存データも保有個人データとされた。この点は、社内規程の改訂による対応が必要なことが多い*2。そして、条文を形式的に変更するだけではなく、実際に自社がどのような短期保存データを保有しているかを把握し(データマッピング)、いざ本人の権利行使等があった場合に、そのような短期保存データも含めて適切に保有個人データとして対応できるような実務対応の準備の有無が問われる。
また、(保有)個人データの保存期間については従来通り(例えばQ&A5-3、Q&A 9-24も参照)であるものの、このタイミングを利用して、「利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない」(22条(旧19条)。改正なし)の趣旨との合致の観点から、保管する個人データの内容等を再度見直すことも考えられる。
(2)本人の権利行使への対応
本人の権利関係としては、プライバシーポリシーに関し第21回で述べた通り、開示の方法、権利行使の要件等について大きな改正が行われている。そこで、社内規程の改訂が必須である。その際には、例えば電磁的開示について実務上どのように対応するか等、自社における情報の保存態様を踏まえて検討すべきである*3。
また、第三者提供記録に対する開示対応も必要であり、個人関連情報の第三者提供記録は開示対象ではない(Q&A9-14)ことや、第三者提供記録が契約書である場合の抜粋等の対応(Q&A9-16)等を踏まえてルールを整備すべきである。
なお、例えば、保有個人データにかかる(事実ではない)評価部分や、(確かに現在の状況と異なるものの)過去の一時点の記録を残すことこそが利用目的である保有個人データに対して、本人が訂正を求めることがある*4。そのような場合には、訂正請求の要件(法34条1項の「当該本人が識別される保有個人データの内容が事実でないとき」)を満たしていないため権利行使を正当に拒むことができる*5。しかし、要件を満たしていなくても、苦情への対応が必要な場合はあり得るので、苦情に対し適切に対応できるよう業務フローを整備すべきである(Q&A9-21)。
(3)漏えい等の場合の対応
2022年4月1日の令和2年改正施行前から、すでにいわゆる漏えい告示(個人データの漏えい等の事案が発生した場合等の対応について(平成29年個人情報保護委員会告示第1号)「個人データの漏えい等の事案が発生した場合等の対応について」)に基づき、個人情報保護委員会への報告が努力義務とされるとともに、一定の措置を講ずることが望ましいとされていた。そのため、各社の社内規程にも、すでに漏えい等の場合の対応に関する規定が入っていると思われる。しかし、令和2年改正では、告示と異なり報告対象となる事情が限定されている反面、速報と確報の2段階の報告が義務づけられ、また、速報についても確報についても期間制限がかかっている等の相違がある。そして、個人情報取扱事業者としては、トラブルが発生した段階で、アドホックに対応するのではなく、あらかじめ、取扱規程等によって、漏えい等事案が発覚した場合の適切かつ迅速な報告連絡体制を整備しなければならない(Q&A6-3)以上、従来の社内体制(対応部署および緊急対応手順等)をベースに、令和2年改正に対応して修正する必要がある。なお、近時においては、ランサムウェア攻撃等の新たな漏えい等のリスクが増大しており、これらの点も踏まえた対応が必要である*6。
期間制限については、部署内におけるある特定の従業者が報告対象事態を知った時点をもって「部署が知った」として計算が始まる(Q&A6-21)ことが、重要である。
報告対象となるか否かの判断については、ガイドライン通則編とQ&A6-1以下が参考になるものの、実際には悩ましい場合も多いので、弁護士等の専門家に確認するフローとすべきである*7。
なお、従来はかなり軽微な漏えい等であっても報告対象となっていたのが、改正で報告対象の裾切ラインが高まっているので、従来なら報告すべきであったケースでも改正法では報告不要な場合がある。しかし、報告不要な場合であっても、報告書の様式における「規則第7条各号該当性」の項目に「非該当(上記に該当しない場合の報告)」と記載したうえで、任意に報告を行うことが可能である(Q&A6-15)。
(4)国際関係
外国第三者提供については、主に利用される①提供先の第三者がEU・英国に所在する場合、②同意スキーム、③相当措置スキームのいずれを利用するかが問題となるところ、社内規程もそれぞれに応じた改正対応を行うべきである。改正対応が特に重要となるのは、②および③である(これらについては、第23回も参照のこと)。
②の場合には、同意取得後に外国の制度に変更がなされた場合に再度説明しなくても同意自体は有効だが、一定の場合には情報提供が望ましいとされ(Q&A12-13)、当初説明できないものの、その後説明できるようになった場合には本人の求めに応じて情報提供を行うことが望ましいとされていること(Q&A12-14)等にも留意が必要である。
③の場合には、契約等により相当措置の継続的な実施を確保するために必要な措置を講じた上で、本人の求めに応じて当該必要な措置に関する情報を当該本人に提供する必要がある(Q12-6参照)。なお、自社の取り扱い実態を踏まえて該当する場合には、氏名等を削除した上での提供についてのQ12-8や、「相当措置の実施に影響を及ぼすおそれのある当該外国の制度」が存在する場合においても、当該制度の存在自体により、直ちに外国にある第三者による「相当措置の継続的な実施の確保が困難となった場合」 に該当するものではないとされていること(Q&A12-17)、外国にある第三者による「相当措置の継続的な実施の確保が困難となった場合」の措置(Q&A12-18)等を参考とした取り扱いを検討すべきであろう*8。
(5)不適正利用禁止
不適正利用禁止については、規程等の上位の規範では個人情報保護法19条の文言どおり「個人情報取扱事業者(当社)は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない」とすれば足りると思われるが、より下位の運用細則やマニュアル等に落とすうえでは、何をやってよいか、何をやってはならないかが明確にならないといけない。
ガイドライン通則編は6例を挙げており、Q&A3-1〜3-4は、それをより具体的に説明しているので、これらを参考にしてマニュアル等を整備することになる。
3 その他の改訂事項
(1)仮名加工情報
個人情報保護法が適用される情報類型としては、以下のものが挙げられる。
・保有個人データ
・個人データ
・個人情報
・仮名加工情報
・匿名加工情報
・個人関連情報
・非個人情報*9
自社においてどのような類型の情報がどのような目的で利用されているかを把握し、それぞれの規制に対応したうえで、社内規程も改訂しなければならない。
令和2年改正で新たに設けられた類型を順に見ると、まず仮名加工情報は、「利用目的を変更したり、利用目的達成後も利用を続けたり、開示等の義務を免れたい」といったニーズに対応したものである。そこで、社内にそのようなニーズがあるかを検討し、仮名加工情報に関連する規律の適用を受ける負担と天秤にかけるべきである。仮名加工情報に関連する規律としては、第三者提供の原則禁止(Q&A14-17)等の規律が重要である。
なお、安全管理のために個人データの加工をした結果、結果的に仮名加工情報の加工基準に沿った加工がなされてしまうことがある。客観的に仮名加工情報の加工基準に沿った加工がなされている場合であっても、引き続き個人情報の取扱いに係る規律が適用されるものとして取り扱う意図で加工された個人に関する情報については、仮名加工情報の取扱いに係る規律は適用されない(Q&A14-4)。このことは、匿名加工情報と同様であるが、自社の社内規程において仮名加工情報に関する条項を盛り込むべきかの検討において参考とすべきである。
なお、社内でニーズがなかったり、負担との衡量の結果を踏まえ、仮名加工情報制度を利用しないなら、社内規程上「当社は仮名加工情報を取り扱わない。」とすることもありうる。
(2)個人関連情報
個人関連情報については、自社が個人関連情報を第三者において個人データになると想定される場合に提供していないか(することは考えられないか)、または、自社が第三者から個人関連情報を受領して個人データとしていないか(することは考えられないか)を確認し、その可能性があれば、同意の取得確認等の規律を遵守しなければならない。社内規程にも、このような規律を明記することが考えられる。
なお個人関連情報については、Q&A8、特に8-11以下が実務的な確認方法を定めており参考になる。
(3)利用目的(特にプロファイリング)
ガイドライン通則編3-1-1(※1)およびQ&A2-1の通りであり、すでに第21回で述べた通りである。社内規程も同様に改訂することが考えられる。
(4)安全管理措置のプライバシーポリシー記載等
すでに第21回で述べた通りである。なお、今回の改正を機会に、もう一度社内の安全管理に関する規程を見直し、古いセキュリティを継続している(例えば、いわゆるPPAP、すなわちパスワード付きzipファイルを用いたファイル共有手段の利用を継続している等)ところを改善し、近時の例えばランサムウェア攻撃にも対応できる体制を構築し、それを社内規程にも反映することも考えられる。
(5)オプトアウト規制強化
オプトアウト規制が厳しくなり、個人データの取得の時点にかかわらず、オプトアウトにより提供を受けた個人データを、オプトアウトにより再提供することはできなくなる(個人情報保護法27条2項。Q&A7-31)。
基本的には、自社が個人データをオプトアウトで受領したり、オプトアウトで提供していないかの確認が必要である。
受領の典型例は、名簿の購入であり、名簿購入はオプトアウト手続を適正に行っている業者のみから購入すべきである(Q&A4-2参照)。そのうえで、社内規程にも、このような規律を明記することが考えられる。
4 その他
最近のQ&A改訂の多くは個人情報保護法改正関連だが、それ以外にも例えばカメラ画像(1-12〜16、5-4、7-50、9-13。その他昔ながらのQだが、1-31、1-41、10-8等参照)等の加筆部分は、事業でカメラ画像を用いている会社の社内規程を改訂する際の参考になる*10。
また、プライバシーマークについては、個人情報保護マネジメントシステム構築・運用指針の改訂が2022年1月19日に公表された(2月1日に一部改訂)*11ので、対象事業者は対応がマストである。
なお、筆者らの実務経験においては、令和2・3年改正に対応する社内規則改訂のサポートを依頼されたものの、そもそも現行の規程が平成27年改正にすら対応していないという状況も散見された。令和2・3年改正対応のみならず、平成27年改正にも対応されているかの点にも留意すべきであろう。
*1:外国企業への個人情報保護法の適用についてはQ&A11-2以下を参照されたい。
*2:なお、すでに社内規程で「開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データ」であれば6か月以内に消去するものでも保有個人データに準じて扱うという趣旨の規定を設けている場合、規律内容は基本的には(つまり、第三者提供記録の開示義務等を除けば)変更はないことになる。
*3:本人が指定したファイル形式等による開示が技術的に困難な場合の対応についてQ&A9-10も参照。
*4:例えば、人事評価の内容を「自分はCではなくSと評価されるべきであり誤っていた」と本人が主張しても、それは個人情報保護法上の訂正請求としては認められない。また、過去のある時点で本人がある組織に属していたが、その後その組織を辞めたという場合、「現在の所属」を記録する目的の保有個人データであれば、訂正請求の枠組みに乗る可能性はあるが、それと異なり「当時どの組織に属していたか」を記録する目的なのであれば、その当時確かにその組織に属していた以上、個人情報保護法上の訂正請求としては認められないだろう。
*5:ただし、「特定時点でAという評価をした」という記録が存在する場合について、実際には当該特定時点ではBという評価をしており事実と異なっていた、ということであれば、これは事実の問題となるだろう(65条につき「本条における正確性の確保の対象は「事実」にとどまり、評価・判断には及ばないが、「個人Aが○○と評価・判断された」、「評価者Bが○○と評価・ 判断した」という情報は事実に含まれる。」とする個人情報の保護に関する法律についてのガイドライン(行政機関等編)5-2-4参照)。
*6:改正前であるが、大規模ランサムウェア攻撃事案の個人情報保護委員会への報告対応を支援した筆者(松尾)によるものとして、松尾剛行「ランサムアタックに関する法的考察―実務対応の観点から」情報ネットワーク法学会第21回研究大会(2021年11月28日)およびTakayuki Matsuo, Ransomware Attacks and Administrative Report Obligations of the Victim Institutions based on Data Privacy Laws - Comparing Japan and EU, 19th ASLI Conference (2022年5月29日)参照。
*7:提供者基準ならぬ「漏えい者基準」が適用されるので、漏えいされたデータについて第三者が特定の個人を識別できなくても、被害にあった個人情報取扱事業者が識別できれば漏えい等に該当しうる(Q&A6-8)こと等に留意が必要である。
*8:これらの細かな取り扱い上の論点は社内規程のうち、上位の規程に入れる必要はないだろうが、下位の実務マニュアルに入れるべきかを自社の取り扱い実態を踏まえて検討すべきであろう。
*9:ここでは、仮名加工情報、匿名加工情報、個人関連情報を含まない、統計情報(Q&A1-7は「複数人の情報から共通要素に係る項目を抽出して同じ分類ごとに集計して得られる情報」と定義)等を指す。なお統計情報と匿名加工情報との相違につきQ&A15-1、15-2参照。
*10:多数の相談を受けた経験からは、ほかに社内規程の改訂にも影響しうる論点として、在宅ワークに伴う対応(例えば、従業員のデバイスを使わせるか、使わせる場合のデータについてQ&A1-37が「従業者の私的な使用のみに用いられているのであれば、企業にとっての個人情報データベース等には含まれないと考えられます。しかし、従業者が企業における業務の用に供するために使用しているのであれば、企業の個人情報データベース等に該当することになり得ます。」としていることや、越境在宅ワークに関するQ&A10-23(第23回も参照))、コロナ対応(Q&A7-23で自社の従業者が指定感染症に罹患したため、当該従業者が感染可能期間中に訪問した取引先が適切な対応策をとることができるよう、情報提供する場合)、委託に関するリクナビ事件等を受けたQ&Aの追加(いわゆる「混ぜるな危険」についてのQ&A7-37、40〜43、統計情報への加工も業務の範囲外なら禁止されるとするQ&A7-38、分析技術改善のための利用についてのQ&A7-39、その他委託先から統計情報のみを提供させて委託規制を外すQ&A7-36)等が重要と思われる。