© Business & Law LLC.

はじめに

2020年6月12日に公布され、2022年4月1日に施行予定の改正個人情報保護法(以下、「改正法」という)は、企業に、現状における自らの個人情報の取扱状況の確認を求めるとともに、プライバシーガバナンスのあり方を問うものとなっている。ウェブサイトの閲覧履歴や位置情報のなどのデータを集積・分析してデジタルマーケティングに活かす取り組みは多数の企業が行っており、今回の改正法の影響を受ける企業は多い。
2021年3月24日の規則・政令の公布、また、同年8月2日の個人情報保護委員会(以下、「個情委」という)のガイドラインの公表により、改正法の要求事項はかなり具体的になっており、まさに、今、各企業において改正法への対応を進める時期に来ているといえる。改正法のポイントを俯瞰すると図表1のとおりであるが、本稿においては、その中でも特に重要な論点に絞って解説する。

図表1 個人情報保護法・施行令・施行規則の改正内容

改正法の内容 改正政令・施行規則の内容
改正項目 改正法条文 改正項目 改正政令・改正規則条文
1.個人関連情報の第三者提供の制限等
提供元による第三者提供を行う際の本人同意の確認義務 26条の2第1項1号 本人同意の確認方法 規則18条の2第1項および3項
提供元による提供先が外国第三者である場合の追加確認義務 26条の2第1項2号、2項 情報提供等の確認方法 規則18条の2第2項および3項
提供元による第三者提供を行う際の確認記録作成 26条の2第3項 提供元による確認記録作成の方法 規則18条の3
提供元による確認記録事項 規則18条の4
提供元による確認記録の保存期間 規則18条の5
提供先による第三者提供を受ける際の記録作成 現行26条1項、3項 提供先による記録事項 規則17条1項3号
2.個人の権利の拡大
6か月以内短期保有データの例外の撤廃 2条7項
個人データの共同利用に係る追加公表事項 23条5項3号、6項
保有個人データに係る追加公表事項
27条1項1号 安全管理措置の公表 政令8条1号
保有個人データの開示の電子化 28条1項、2項、3項 開示の具体的な方法 規則18条の6
個人データの第三者提供記録の開示対象化 28条5項 第三者提供記録から除外されるもの 政令9条
保有個人データの利用停止等の請求の拡充 30条1項、5項、6項
3.個人データの漏えい発生時における個情委への報告および本人への通知の義務化
個人データの漏えい発生時における個情委への報告 22条の2第1項 報告・通知の対象となる漏えい等 規則6条の2
個情委報告の時期・範囲・報告事項(速報義務と確報義務) 規則6条の3
委託先の委託元への通知義務 規則6条の4
個人データの漏えい発生時における本人への通知 22条の2第2項 本人通知の時期・範囲・通知事項 規則6条の5
4.個人データの越境移転規制・域外適用の強化
本人同意に基づく外国第三者提供時における参考情報の提供 24条2項 外国第三者提供に係る同意取得時の情報提供の方法および内容 規則11条の3
外国第三者の相当措置に基づく外国第三者提供時における対応 24条3項 外国第三者による相当措置の継続的な実施を確保するために必要な措置の内容、ならびに、情報提供の方法および内容 規則11条の4
5.不適正利用禁止の明文化
違法または不当な行為を助長・誘発する方法による利用禁止 16条の2
6.仮名加工情報の創設とデータ利活用促進
仮名加工情報の作成にあたっての加工方法 35条の2第1項 仮名加工情報の作成方法に関する基準 規則18条の7
仮名加工情報に係る削除情報等の安全管理措置 35条の2第2項 削除情報等に係る安全管理措置の基準 規則18条の8
個人情報である仮名加工情報に係る義務 35条の2第3項~第8項 連絡先情報利用禁止関連の電磁的方法 規則18条の9
個人情報ではない仮名加工情報に係る義務 35条の3
7.オプトアウト規制の強化
オプトアウトによる第三者提供が認められない情報 23条2項
オプトアウトによる第三者提供実施の際の追加届出事項 追加届出事項の内容 規則7条4項
8.ペナルティの強化
個情委からの命令違反の場合 83条
個情委への報告義務違反、検査忌避および虚偽報告等の場合 85条
個情委の命令違反およびデータベース不正提供罪の場合の法人両罰 87条1項
9.その他
認定個人情報保護団体制度の改正 4章5節
外国事業者に対する報告徴収・立入検査および命令 75条

改正法のポイント

個人関連情報の第三者提供時の確認記録義務

(1) 概要

改正法においては、個人関連情報注1(たとえば、氏名と結びついていないインターネットの閲覧履歴、位置情報、Cookie情報など提供元では特定の個人を識別できないデータ)の提供元は、提供先が個人関連情報を個人データとして取得することが想定されるときは、あらかじめ個人関連情報を個人データとして取得することを認める旨の本人の同意が得られていることを確認しなければならないとされる。これは、現行法においては、提供元で特定の個人を識別できるデータの提供が個人データの第三者提供に該当し、原則として提供元における本人同意の取得が要求されるところ、新たに、提供元では特定の個人を識別できないが、提供先では特定の個人を識別できるようになることが想定される(すなわち個人データ化することが想定される)データの提供につき、提供元における、本人同意が得られていることの確認を義務付けるものである。
各種サービス内容は多様であり一律に類型化することはできないものの、たとえば、概要図表2のような仕様で、ユーザ企業において自社顧客のアカウント情報等と紐付けて利用することを想定した、パブリックDMP(Data Management Platform)サービスの活用事例などにおいて、本規制が典型的に適用されることになると考えられる。

図表2 個人関連情報規制の適用場面の一例

※1 各ユーザ本人を識別できる情報は含まない。

(2) 「個人データとして取得することが想定されるとき」の語義について

本規制は、あくまでも提供先が個人関連情報を「個人データとして取得することが想定されるとき」(改正法26条の2第1項)に適用される。この点、2021年8月2日に改正版が公表された個情委の「個人情報保護法ガイドライン(通則編)」(以下、「改正通則ガイドライン」という)注2では、提供先が、個人関連情報を、ID等を介して自らが保有する他の個人データに付加する場合には「個人データとして取得する」場合に該当するが、こうした紐付けがない場合には、提供先が保有している個人データとの容易照合性が排除しきれないことをもって「個人データとして取得する」場合にはただちに該当するものではないとしている(改正通則ガイドライン3-7-2-1)。
さらに、改正通則ガイドラインでは、「想定される」とは、提供元において提供先が「個人データとして取得する」ことを現に想定している場合、または、一般人の認識(同種の事業を営む事業者の一般的な判断力・理解力を前提とする認識をいう)を基準として「個人データとして取得する」ことを通常想定できる場合をいうとし、以下の例を挙げている(改正通則ガイドライン3-7-2-2)。

 現に想定している場合に該当する例 

事例1 提供元の個人関連情報取扱事業者が、顧客情報等の個人データを保有する提供先の第三者に対し、ID等を用いることで個人関連情報を個人データと紐付けて取得することが可能であることを説明している場合

事例2 提供元の個人関連情報取扱事業者が、提供先の第三者から、個人関連情報を受領した後に個人データと紐付けて取得することを告げられている場合

 

 通常想定できる場合 

事例 個人関連情報を提供する際、提供先の第三者において当該個人関連情報を氏名等と紐付けて利用することを念頭に、そのために用いるID等も併せて提供する場合

(3) 本人からの同意取得の主体・方法について

改正通則ガイドラインでは、原則として、個人関連情報の提供先が、「個人データとして取得する」対象たる個人関連情報を特定できるよう示したうえで、同意を取得すべきとされる。また、例外的に、提供元による同意取得代行も認められるとしつつ、その場合には、個人関連情報を「個人データとして取得する」提供先が具体的にどこであるかを、個別に明示することが必要であるとされる(改正通則ガイドライン3-7-3-2)。
同意取得の方法はさまざま想定されるが、たとえば、本人から、同意する旨を示した書面や電子メールを受領する方法やウェブサイト上で本人に示すべき事項を記載したうえで同意ボタンのクリックを求める方法等が考えられる(改正通則ガイドライン3-7-3-3)。実務上の多くは、個人関連情報の第三者提供と関連する既存の各種サービスにおけるプライバシーポリシーを適切に改訂し、改めて同意を取得する方法がとられることになると考えられる(そのために、自社における個人関連情報の取得状況の精査が必要となる)。

(4) 本人からの同意取得の確認方法について

改正通則ガイドラインでは、提供先から申告を受ける方法(たとえば、口頭申告を受ける方法や、誓約する書面を受け入れる方法等)その他の適切な方法(たとえば、提供先が取得した本人同意を示す書面等を確認する方法や提供元において同意取得を代行して当該同意を自ら確認する方法)としている。
なお、提供先から申告を受ける場合、その申告内容は、一般的な注意力をもって確認すれば足りるとされる。仮に、提供先が提供元に虚偽申告(すなわち本人同意未取得であるにもかかわらず取得している旨申告)して個人関連情報を個人データとして取得するケースでは、通常、提供元は責任を問われず、提供先の不正取得の問題になるものと考えられる(以上、改正通則ガイドライン3-7-4-1)。

(5) 個人関連情報における確認記録義務について

個人関連情報の提供元および提供先は、それぞれ記録作成義務を負う。実務上の多くは、契約書その他の書面をもって記録とする方法がとられることになるものと考えられる。なお、提供元および提供先それぞれの記録事項を整理すると図表3のとおりである。

図表3 個人関連情報の提供にあたっての記録事項

個人関連情報の第三者提供を行う際の記録事項

(改正規則18の4)

個人関連情報の提供を受け、個人データとして取得した場合の提供先の記録事項

(改正規則17条1項3号)

① 本人同意が得られていることを確認した旨および外国第三者提供にあっては参考情報の提供が行われていることを確認した旨

② 個人関連情報の提供年月日

③ 当該第三者の氏名または名称および住所ならびに法人にあっては、その代表者の氏名

④ 当該個人関連情報の項目

イ 本人同意が得られている旨および外国第三者にあっては参考情報の提供が行われている旨

ロ 当該第三者の氏名または名称および住所ならびに法人にあっては、その代表者の氏名

ハ 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項

ニ 当該個人関連情報の項目

To Do

事業者としては、自社における、氏名と結びついていないインターネットの閲覧履歴、位置情報、Cookie情報などの取扱いを洗い出し、❶自らが提供元になるケースと❷提供先になるケースのそれぞれにおいて、個人データとの突合状況を精査し、❶では本人同意取得の確認体制整備と契約書の見直し(突合ありの場合の本人同意取得にかかる表明保証・記録義務関連事項、突合なしの場合の突合禁止条項など)を、❷ではプライバシーポリシーの改訂および本人同意取得ならびに契約書の見直しを、それぞれ行う必要がある。

個人の権利の拡大

(1) 開示・利用停止・第三者提供停止請求

改正法では、6か月以内に消去する短期保存データについても、開示、訂正等(訂正、追加および削除)、利用停止等(利用停止および消去)および第三者提供停止の請求対象となる保有個人データに含まれることとなった(改正法2条7項)。
また、現行法上、開示方法は書面交付が原則とされていたが、改正法では、電磁的記録の提供を含め本人が指定できることとなり(ただし、当該方法による開示に多額費用を要する場合その他の当該方法による開示が困難である場合にあっては、書面の交付による方法とする)、さらに、個人データの第三者提供記録も開示請求の対象に含められた。
さらに、現行法上、利用停止等の請求要件は、個人情報の目的外利用があった場合等、一定の法令違反があるケースに限定されていたが、改正法では、その要件が拡充されている。
具体的には、図表4のとおりである。

図表4 利用停止等の請求要件の拡充

現行法 改正法
開示請求
28条
原則書面 本人が電磁的記録の提供を含め開示方法を指定可能
第三者提供に係る確認記録も開示対象
訂正・追加・削除請求
29条
内容が事実でない 内容が事実でない
利用停止・消去請求
30条1項・5項
目的外利用の場合(法16条)
不適正取得の場合(法17条)

目的外利用の場合(法16条)
不適正取得の場合(法17条)

+不適正利用の場合(法16条の2)
+利用する必要がなくなった場合
+個人情報保護委員会への報告対象となる情報漏えい等が発生した場合
+その他本人の権利または正当な利益が害されるおそれがある場合

第三者提供の停止請求
30条3項・5項
第三者提供の本人同意取得義務違反(法23条)
外国第三者提供違反(法24条)

第三者提供の本人同意取得義務違反(法23条)
外国第三者提供違反(法24条)

+利用する必要がなくなった場合
+個人情報保護委員会への報告対象となる情報漏えい等が発生した場合
+その他本人の権利または正当な利益が害されるおそれがある場合

To Do

事業者としては、6か月間短期保有データや個人データの第三者提供記録の取扱いならびに現状の開示等請求への対応体制を洗い出し、電磁的記録の提供等による開示方法への対応や、利用停止等請求への対応を検討し、新たな体制を整備する必要がある。

(2) 公表事項の拡充

現行法上、保有個人データの適正な取扱いの確保に関し必要な事項として「政令で定めるものの公表」が求められていたところ(法27条1項4号)、今回の政令改正により、安全管理措置(本人の知りうる状態に置くことにより安全管理に支障を及ぼすおそれがあるものを除く)の公表が求められることになった(改正政令8条)。
具体的には、図表5のとおりである。

図表5 公表事項の拡充

安全管理のために講じた措置の例

・ 内部規律の整備(取得、利用、提供、廃棄といった段階ごとに、取扱方法や担当者およびその任務等について規定を策定し、定期的に見直しを実施している旨等)

・ 組織体制の整備(責任者を設置している旨およびその役職・任務等、漏えい等を把握した場合の報告連絡体制等)

・ 定期点検・監査(定期的な自己点検、他部署監査、外部主体監査の実施等)

・ 従業者の教育(定期的に研修を実施している旨、秘密保持に関する事項を就業規則等に盛り込み周知している旨等)

・ 不正アクセス等の防止(外部からの不正アクセスから保護する仕組みを導入している旨等)

・ 外的環境の把握(外国で個人データを取り扱っている場合の外国の個人情報保護制度等)

支障を及ぼすおそれがあるものの例

・ 個人データが記録された機器等の廃棄方法、盗難防止のための管理方法

・ 個人データ管理区域の入退室管理方法

・ アクセス制御の範囲、アクセス者の認証手法等

・ 不正アクセス防止措置の内容等

出典:個人情報保護委員会「改正法に関連する政令・規則等の整備に向けた論点について(公表事項の充実)」(令和2年10月14日)7頁。

To Do

事業者としては、情報セキュリティポリシーやセキュリティホワイトペーパーの開示またはプライバシーポリシーの記載の充実等を検討する必要がある。

個人データの漏えい発生時における個情委への報告および本人への通知の義務化

改正法では、個人データの漏えい等が発生した場合の個情委への報告や本人への通知が法的義務化された(改正法22条の2)。個情委への報告や本人への通知の対象となる事態、報告の方法(速報義務と確報義務)、本人への通知の方法等については、図表6のとおり規定されている。

図表6 情報漏洩時の対応

報告・通知の対象となる漏えい等
(改正規則6条の2)

個人の権利利益を害する恐れが大きいものとして個情委規則で定めるものとは、以下のいずれかに該当するものとする。

① 要配慮個人情報が含まれる個人データ(高度な暗号化その他の個人の権利利益を保護するために必要な措置を講じたものを除く)の漏えい等が発生し、または発生したおそれがある事態

② 不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、または発生したおそれがある事態

③ 不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、または発生したおそれがある事態

④ 個人データに係る本人の数が千人を超える漏えい等が発生し、または発生したおそれがある事態

速報義務
(改正規則6条の3)

上記の事態を知った後、速やかに、当該事態に関する次に掲げる事項(報告をしようとする時点において把握しているものに限る)を報告しなければならない。

❶ 概要

❷ 漏えい等が発生し、または発生したおそれがある個人データの項目

❸ 漏えい等が発生し、または発生したおそれがある個人データに係る本人の数

❹ 原因

❺ 二次被害またはそのおそれの有無およびその内容

❻ 本人への対応の実施状況

❼ 公表の実施状況

❽ 再発防止のための措置

❾ その他参考となる事項

確報義務
(改正規則6条の3)

個人情報取扱事業者は、当該事態を知った日から30日以内(不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、または発生したおそれがある事態の場合は60日以内)に、上記❶~❾の事項を委員会に報告しなければならない。

委託先の委託元に対する通知義務
(改正規則6条の4)

委託先は、漏洩等の事態を知った後、速やかに上記❶~❾の事項を委託元に通知しないければならない。

本人への通知義務
(改正規則6条の5)

個人情報取扱事業者は、本人に対して通知する場合には、漏洩等の事態を知った後、当該事態の状況に応じて速やかに、当該本人の権利利益を保護するために必要な範囲において、以下の事項を通知しなければならない。

① 概要

② 漏えい等が発生し、または発生したおそれがある個人データの項目

④ 原因

⑤ 二次被害またはそのおそれの有無およびその内容

⑨ その他参考となる事項

To Do

事業者としては、現状の情報漏えいインシデント対応フローにおいて、改正法における上記義務を果たすことができるかを検証のうえ、情報漏えいインシデント対応マニュアルを改訂、社内周知することが必要になる。

個人データの越境移転規制

現行法上、外国にある第三者に対して個人データを移転するためには、

① 本人の同意がある。

② 外国第三者所在国が日本と同水準の個人情報保護制度を有していると個情委規則が定めている(現状、EUと英国のみ)。

③ 外国第三者が個情委規則で定める基準に適合する体制を整備している。

のいずれかの要件を満たす必要があるとされる(法24条)。この点、改正法では、さらに追加要求事項が設けられた。具体的には図表7のとおりである。

図表7 越境移転にあたっての追加要件

現行法の要求事項 改正法の追加要求事項 追加要求事項の具体的内容
① 外国第三者への提供を認める旨の本人の同意

以下の情報を当該本人に提供する。

・ 当該外国における個人情報保護制度

・ 当該第三者が講ずる個人情報保護のための措置

・ その他当該本人に参考となるべき情報

情報の具体的内容は、以下のとおり。

・ 当該外国の名称

・ 適切かつ合理的な方法により得られた当該外国における個人情報の保護に関する制度に関する情報

・ 提供先の第三者が講ずる個人情報の保護のための措置に関する情報

② 外国第三者所在国が日本と同水準の個人情報保護制度を有していると個人情報保護委員会規則が定めている
③ 外国第三者が個人情報保護委員会規則で定める基準に適合する体制を整備している

以下を実施しなければならない。

・ 当該第三者による相当措置の継続的な実施を確保するために必要な措置

・ 本人の求めに応じて当該必要な措置に関する情報を当該本人に提供

実施措置の具体的内容は、以下のとおり。

・ 当該第三者による相当措置の実施状況ならびに当該相当措置の実施に影響を及ぼすおそれのある当該外国の制度の有無およびその内容を、適切かつ合理的な方法により、定期的に確認する

・ 当該第三者による相当措置の実施に支障が生じたときは、必要かつ適切な措置を講ずるとともに、当該相当措置の継続的な実施が困難となったときは、個人データの当該第三者への提供を停止する

To Do

事業者としては、自社内において外国第三者提供を行っているケースを洗い出し、そのうち、特に、①本人同意に基づいて提供しているケースと②外国第三者における体制整備に基づいて提供しているケースを特定のうえ、①は本人同意に先立つ情報提供の実施、②は外国第三者における体制整備の継続的な実施を確保するために必要な措置の実施および本人の求めに応じた実施措置の内容通知ができる体制の整備を進める必要がある。
なお、特に、海外のクラウドサービスを利用しているケースでは、「「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A」のQ5-33に規定される「クラウドサービス提供事業者が、「当該個人データを取り扱わないこととなっている場合」」注3に該当するかも含め、精査を進めることが必要になると考えられる。

不適正利用禁止の明文化

改正法では、「違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない」との規制が設けられた(改正法16条の2)。現行法では、個人情報の不正取得や目的外利用は禁じられるが、違法ではないが個人の権利に影響を与えかねない適正性を欠く個人情報の取扱いに対する明文規制はなかったため、今回、不適正利用禁止が明文化された。
本条は法目的に照らして看過できないような相当程度悪質なケースを念頭においた規律であるとされ注4、具体例として、以下の各行為などが不適正利用に該当するとされている(改正通則ガイドライン3-2)。

  • 違法な行為を営むことが疑われる者(例:貸金業登録を行っていない貸金業者)からの突然の接触 による本人の平穏な生活を送る権利の侵害等、当該違反事業者の違法な行為を助長するおそれが想定されるにもかかわらず、当該違反事業者に当該本人の個人情報を提供すること
  • 裁判所による公告等により散在的に公開されている個人情報(例:官報に掲載される破産者情報)を、当該個人情報に係る本人に対する違法な差別が、不特定多数の者によって誘発されるおそれがあることが予見できるにもかかわらず、それを集約してデータベース化し、インターネット上で公開すること
  • 暴力団員により行われる暴力的要求行為等の不当な行為や総会屋による不当な要求を助長し、または 誘発するおそれが予見できるにもかかわらず、事業者間で共有している暴力団員等に該当する人物を本人とする個人情報や、不当要求による被害を防止するために必要な業務を行う各事業者の責任者の名簿等を、みだりに開示し、または暴力団等に対しその存在を明らかにすること
  • 個人情報を提供した場合、提供先において法23条1項に違反する第三者提供がなされることを予見できるにもかかわらず、当該提供先に対して、個人情報を提供すること
  • 採用選考を通じて個人情報を取得した事業者が、性別、国籍等の特定の属性のみにより、正当な理由なく本人に対する違法な差別的取扱いを行うために、個人情報を利用すること
  • 広告配信を行っている事業者が、第三者から広告配信依頼を受けた商品が違法薬物等の違法な商品であることが予見できるにもかかわらず、当該商品の広告配信のために、自社で取得した個人情報を利用すること

To Do

事業者としては、個人情報の不適正利用の禁止につき個人情報管理規程に追記のうえ、具体例とともに社内周知を図る必要がある。

プライバシーガバナンス体制の構築

以上解説してきたように、改正法対応のためには、事業者において、現状における自らの個人情報の取扱状況の洗い出し・精査が求められ、ゆえに、改正法は自社のプライバシーガバナンス体制のあり方を再検討する好機となっている。現に、改正法対応に既に着手されている企業においても、今回を機に、表面上の改正法対応ではなくプライバシーガバナンス体制の全体的な見直しに取り組まれているところも多い印象である。
そもそも、個人データを取得・管理・利用・提供する社内の取組みまたはそのような外部サービスを設計するにあたっては、最終的な個人データの利用目的や提供先も踏まえたうえで、あらかじめ個人データの取得の際に、ユーザへの透明性ある説明と同意取得など、個人情報保護法への遵守や情報主体のプライバシーの保護を適切に図る措置がとられる必要がある。そのためには、どのようなチャネルから個人データを取得し、どこで個人データを管理し、どの個人データを連携させ、どのような施策・利活用を行い、どこに対して個人データの提供を行うのか、データの取得・管理・利用・提供を一気通貫でレビューし可視化することが重要である。これを我々は「データ・マッピング」と呼んでいるが、具体的には図表8のイメージとなる。

図表8 データ・マッピングのイメージ

改正法対応およびこれに伴うプライバシーガバナンス体制の構築においても、まずはこのデータ・マッピングを適切に実施することがポイントとなる。
次に、Fit & Gap、すなわち自社が守るべき要求事項を洗い出したうえで(改正法対応はもちろん、ニーズに応じて業界ガイドライン等への準拠状況を精査する)、当該要求事項と自社の現状の体制との差分比較を実施する。具体的には、自社のプライバシーポリシー・各種規程類(個人情報管理規程等)・各種マニュアル類(情報漏えいインシデント対応マニュアル等)等を、データ・マッピングで可視化された自社のデータフローに照らしてレビューし、必要に応じて担当部署へのヒアリング調査を行い、Gap事項を洗い出していく。
そして、Gap事項の内容に応じて、本人同意の再取得や同意取得方法の見直し、サービス設計の見直しなどを検討し、各種ドキュメントの修正を行っていく実装プロセスを行う。

なお、従来、法務部門に対しては、実装プロセスの一部に過ぎない、最終的なプライバシーポリシー等の修正作業のみが依頼されるケースが多かったものと推察される(たとえば、「改正法文言に合わせて調整してほしい」など)。しかしながら、本来、データ・マッピングとFit & Gapを適切に実施のうえ、Gap事項への対応方針検討を行わなければ、自社の体制において必要な法的ドキュメントは完成しえない。To Doでも示したとおり、今回の改正法対応との関係では、特にこの点が顕著であるため、留意が必要である。

最後に、忘れてはならないのが運用プロセスである。構築したプライバシーガバナンス体制を社内周知し、適切に運用していく必要がある。
以上、プライバシーガバナンス体制の構築プロセスをまとめると図表9のとおりである。

図表9 プライバシーガバナンス体制の構築プロセス

近時は、プライバシー保護組織やセキュリティ管理委員会を設置して、全社統一的にデータ利活用へのガバナンスを効かせる取り組みが行われており(DX推進部を設置して各部門のメンバーを揃えるといった手法もありうる)、このような取り組みを支援するケースも増えている。
各社、プライバシーガバナンス体制の構築への取り組み方はそれぞれであるが、令和2年改正個人情報保護法対応を2022年4月1日までに完了すべき点は同じである。なるべく早く改正法対応への取り組みを開始し、あわせて、効率的にプライバシーガバナンス体制の構築を図ることが望ましい。

[注]
  1. 個人関連情報とは、「生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないもの」をいうとされる(改正法26条の2第1項)。[]
  2. なお、個人情報保護委員会の令和3年4月7日付けの「改正法に関連するガイドライン等の整備に向けた論点について(個人関連情報)」も参照。[]
  3. なお、「当該クラウドサービス提供事業者が、「当該個人データを取り扱わないこととなっている場合」とは、契約条項によって当該外部事業者が「サーバに保存された個人データを取り扱わない」旨が定められており、「適切にアクセス制御を行っている場合」等が考えられます」とされている。[]
  4. 個人情報保護委員会「改正法に関連するガイドライン等の整備に向けた論点について(不適正利用の禁止)」(令和3年2月19日)2頁参照。[]

寺門 峻佑 氏

TMI総合法律事務所 パートナー弁護士

2007年一橋大学法学部法律学科卒業。2009年一橋大学法科大学院卒業。2010年弁護士登録。2011年TMI総合法律事務所入所。日本・ニューヨーク州弁護士、情報処理安全確保支援士、情報セキュリティ監査人補。内閣サイバーセキュリティセンタータスクフォース、経済産業省大臣官房臨時専門アドバイザー、防衛省陸上自衛隊通信学校非常勤講師、滋賀大学データサイエンス学部インダストリアルアドバイザーを歴任。
データ利活用における個人情報保護法・各国データ保護法対応・情報漏えいインシデント対応を中心としたデータ・プライバシー領域、eコマース・プラットフォーム/アプリ開発・ライセンス・ドメイン保護等を中心としたIT法務、不正調査案件、IT関連を中心とした国内外の紛争を主に取扱う。米国のQuinn Emanuel Urquhart & Sullivan, LLPおよびWikimedia Foundation, Inc.法務部、エストニアのLaw Firm SORAINENでの勤務経験も有する。

この記事に関連するセミナー