改正個人情報保護法(以下、「改正法」という)が2022年4月に施行となった。
施行日を目前に控えた2022年1月、個人情報の取扱いを定めたプライバシー・ポリシー(PP)や自社WEBページ、社内諸規程の改訂が大詰めを迎えている多くの企業の疑問に答えるため、個人情報保護委員会(以下、「委員会」という)の示すガイドラインおよび実務上のポイントを解説した、御堂筋法律事務所のワークショップが開催された(2022年1月18日開催。登壇者:同事務所の岡本直己弁護士、今枝史絵弁護士、松田祐人弁護士、髙木佑衣弁護士)。
本稿では、ワークショップの要旨をQ&A形式でお伝えする。各社の対応確認・業務改善にあたり参考となれば幸いである。
Q1:改正法にかかる委員会Q&Aにおける重要なポイントを教えてください。
今枝弁護士 第一に、個人情報の利用目的の特定について、改正法にかかる委員会Q&A注1は「本人が一般的かつ合理的に予測・想定できる程度に特定できる記載とすること」と示しています。例として、本人に関する行動・関心等の情報について分析処理を行う場合は、当該処理の実施および対象情報(例:WEBサイトの閲覧履歴や購買履歴)と併せて、分析結果の利用目的(例:本人の趣味・嗜好に応じた広告の配信、信用スコアの算定)の両方を具体的に定める必要があります。
次に、個人データの「漏えい等」発生時の委員会報告および本人通知が努力義務から法的義務に改められることから、その報告義務の一類型である「不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等」該当性につき、漏えい等した情報の種類(非該当例:住所、電話番号、メールアドレス、SNSアカウント、銀行口座情報のみ、クレジットカード番号下4桁。該当例:クレジットカード番号)や漏えい等情報の回収状況等から、その事案が「漏えい等」に該当する否かを判断し、また、その判断根拠となる証跡(例:アクセスログ、誤った発信先・送信先での取扱い)の記録・保存体制を整備することが必要となります。
第三に、個人データ処理の委託における当該委託先が有する個人データや個人関連情報との突合回避(突合する場合は、個人データの委託ではなく「第三者提供」と整理して委託元にて本人同意を取得する等の対応が必要)を確保すること、さらに、海外支店や子会社の従業者に個人データを取り扱わせる場合は、その取扱状況・リスクに応じて当該国制度の把握および所要の安全管理措置を講じ、本人に公表通知すること等も必要です。
Q2:改正法に即したPPおよび個人情報取扱規程等の改訂のポイントを教えてください。
岡本弁護士 PP(プライバシーポリシー)等の公表資料の記載項目として、個人情報取扱事業者の住所と代表者氏名および安全管理措置の内容等が追加されましたが、中でも代表者氏名の適時更新には留意が必要です。
次に、新設の「個人関連情報」および「仮名加工情報」に関しては、改正法に則した定義および取扱基準を規定し、特に個人関連情報の第三者提供にあたっては、
① 提供先が本人を識別可能な個人データとして取得することへの本人同意の取得の確認
② 本人同意の方法による越境移転における個人情報保護にかかる当該国制度および移転先による保護措置その他参考情報の本人提供
③ 当該第三者提供・受領状況の記録義務
について留意し、周知徹底する必要があります。特に②については、PPやWEBサイトでの公表の方法を用いることも検討しつつ、社内規程への反映を確実に進めなければなりません。
さらに、新設された利用停止・消去・第三者移転停止の請求事由(個人データの不適正利用、漏えい等の事故の発生等)の記載ならびにかかる請求や個人データの開示請求を受けた場合の手続や個人データの第三者提供の記録方法についても確認すべきでしょう。その他、漏えい等発生時の委員会への報告(速報および確報)ならびに本人通知の期限・要領についても、規程改正等を通じて社内周知を徹底してください。
Q3:保有個人データの開示請求対応にあたり、請求者以外の第三者情報や会社指定の形式によらない請求方法が含まれるときの開示手続について教えてください。
髙木弁護士 本人情報と第三者情報が混在する保有個人データについては、たとえば、録画データであれば、本人情報以外の部分にマスキング処理をしたり、録音データであれば、同様にトリミング処理をしたりして、本人情報のみを区別・抜粋して開示を行っている事業者が多いと思います。保有個人データの内容や性質上、そのような区別・抜粋が事実上不可能・困難である場合には、第三者の権利利益を害するおそれがあることを理由に、開示を拒否できるケースもあると思われますが(改正法33条1項1号)、そのような場合であっても、できる限り請求者の開示請求権を保護するため、録画データのスクリーンショットを印刷したものや、録音データを書き起こしたもの等に、必要な範囲でマスキング処理を施したものを書面で交付するなどして対応されている事業者も見受けられます。
なお、請求者が電磁的記録の提供による方法を指定した場合であっても、事業者においてファイル形式や記録媒体などの具体的な方法を定めることができるので、事業者の側で、たとえば、CD-ROM等の媒体に保存したうえで郵送する方法、電子メールに添付して送信する方法、ウェブサイト上でダウンロードしてもらう方法などを選択することが考えられます。また、書面の交付による方法と同様に、合理的範囲で請求者から手数料を徴収することも問題ありません(改正法38条)。
Q4:共同利用開始前に取得した顧客情報(個人データ)の共同利用および「同一の利用目的」の範囲の考え方について教えてください。
今枝弁護士 委員会Q&Aでは、既に事業者が取得している個人データについて共同利用を検討する際には「個人データの内容や性質等に応じて共同利用の是非を判断したうえで、(中略)特定した利用目的の範囲内であること」の確認を事業者に求めており、範囲の判断基準については、「社会通念上、共同して利用する者の範囲や利用目的等が当該個人データ本人が通常予期しうると客観的に認められる範囲内」と定めています。
具体例として、共同利用開始前に、分譲住宅事業を営むA社において、利用目的を「営業・商品案内のため」とのみ通知・公表して取得した顧客情報を、共同利用開始後、仲介・リフォーム事業を営むA社のグループ会社(同一企業グループ内の他社、親子・兄弟会社等)において共同利用することは可能であると考えられ、グループ会社等、本人が通常予期しうる共同利用先が、当該利用目的の範囲内において、共同利用することは認められるものと整理できます。
Q5:個人関連情報の第三者提供にかかる本人同意の確認の方法等について教えてください。
今枝弁護士 必ずしも、提供先が本人の同意を取得した旨を個々に確認する方法に限定する必要はありません。たとえば、提供先(B社)が提供元(A社)に対し、
「所定の方法により「個人関連情報の提供を受ける」ことについて対象者本人(例:B社従業員)の同意を得ていること」
を誓約した場合(同文言が記載されたA社が提供するサービス規約へのB社の同意による誓約でもよい)、提供元(A社)は、当該誓約の事実をもって、対象者本人の同意が得られていることを一括して確認したこととなり、提供元(A社)から対象者のIDリストと紐づいた個人関連情報を、個人データとして取得することになる提供先(B社)へ提供することが可能です。
なお、個人関連情報の提供についても記録義務がありますので、提供先(B社)に提供した個人関連情報の内容は、たとえば提供元(A社)規約に記載するとともに、提供先(B社)の名称・住所・代表者氏名、個人関連情報の提供期間(初日および末日)ならびに同意確認の事実・同意取得の方法は、提供元(A社)にて付帯資料(個人関連情報の提供にかかる基本契約に記載する方法等でも可)を別途作成して記録し、保存しておくことは必要です。
Q6:GDPRの十分性認定にかかる標準処理契約(SCC)のモデル改訂(2021年6月)の要旨と、日本企業がとるべき対応について教えてください。
松田弁護士 主な改訂内容として、
・ 技術的・組織的措置の整備が必要な個人データの輸入者として、「管理者」に加えて「処理者」も含める旨のモジュールの導入
・ 必要的記載事項の追加(個人データ移転の頻度、処理の性質、個人データ保持の期間等)
が挙げられます。関連する日本企業においては、現行SCCの巻き直し(再締結)を2022年12月27日までに完了する必要が生じるとともに、個人データ輸出者は、これらの輸入者の所在国において、規制当局による個人データへのアクセスを可能とする法制度・実務の調査を通じて、個人データの越境移転の影響評価を行ったうえでの当該当局の要求に備えた記録(文書化)義務が発生します。
Q7:すべての関連国のプライバシー規制に適合した統一内規を整備することが実務上困難な場合の代替策について教えてください。
松田弁護士 日本本社(A社)と海外子会社(B社)との間でB社所在国の関連規制水準を満足する内容の業務委託契約を締結し、委託先(B社)が実施する安全管理等の措置やA社への定期報告義務について定め、A社のPP等で、従業員から開示請求を受けた場合の開示事項(B社の所在国や当該国における個人情報保護制度の概要および漏えい等発生時の対応)について、それぞれ公表することが考えられます。
業務委託契約の内容は、SCCのような合意書等をイメージするとよいでしょう。なお、委託先(B社)における安全管理措置の具体的内容までPPで公表する義務はありませんが、抽象度の高い文言でもあらかじめ説明することが個人データ本人との関係上望ましいといえます。
Q8:個人データの入力業務の国内委託先(B社)が業務の一部を海外事業者(C社)に再委託する場合に、委託元(A社)における改正法上必要な対応について教えてください。
松田弁護士 A社は越境移転に関する個人データ本人への情報提供等の義務を直接負いませんが、管理監督義務や安全管理措置義務の観点から、B社との委託契約において、再委託先(C社)の義務および当該国の名称ならびに個人情報保護制度および安全管理上の措置等の情報の本人への提供・通知を義務づけるとともに、B社がC社に対して上記対応を講ずるよう監督する必要があると考えられます。
Q9:海外子会社等の所在国において、個人情報保護規制に応じたPPを策定する場合の留意点について教えてください。
岡本弁護士 マイナンバー法(行政手続における特定の個人を識別するための番号の利用等に関する法律)の施行後、多くの日本企業においては既に、国内における一般法(改正法)の定めに即した個人情報取扱規程を制定し、これに一体ものとして盛りこむ(①)または特則として別個に定める(②)形で、特別法(マイナンバー法等)独自の規制を付加・反映させる体系を採用しているものと推察します。
外国の法規制に応じたPP策定についても考え方は同じで、たとえば、一般法(日本の改正個人情報保護法)および特別法(GDPR)の両方の規定に応じた内容を同一のPPで定める方法(①)も採りえますが、特別法(GDPR)に対応したPPを一般法(日本の改正個人情報保護法)に対応したPPの特則版として別途作成・公表する方法でも問題はなく、自社グループの事業形態・海外展開の現状と見通しに照らして上記①か②の方法を適宜選択すればよいと考えます。
ちなみに、欧米企業では、規制が最も厳格とされるGDPRの水準を満足する内規やPPで一本化する例(①)も相当数あります。また、今後、PP自体の記載を個人データ本人がより理解しやすいQ&A形式に改める等、より高度な説明責任を求める動きも想定されます。すべての外国規制への理解・対応は確かに難しいことですが、取締役の善管注意義務を果たすべく、高度な規制を課す法域から優先して整備するリスクベース・アプローチを踏まえた遵守・徹底を図ってください。
岡本 直己
御堂筋法律事務所(東京事務所) パートナー弁護士
2000年東京大学法学部卒業。2005年弁護士登録。2012年University of Washington School of Law LL.M.(Asian Law)卒業。2014~2015年事業会社出向。2016年東京弁護士会へ登録換え。
御堂筋法律事務所プロフィールページはこちらから
今枝 史絵
御堂筋法律事務所(大阪事務所) パートナー弁護士
2000年京都大学法学部卒業。2001年弁護士登録。2019年大阪府茨木市公平委員会委員。2019年大阪府茨木市個人情報保護運営審議会委員。
御堂筋法律事務所プロフィールページはこちらから
松田 祐人
御堂筋法律事務所(大阪事務所) パートナー弁護士
2010年大阪大学法学部卒業。2012年京都大学法科大学院卒業。2013年弁護士登録。2017年Northwestern University School of Law LL.M.卒業。2018~2019年Baker & Hostetler LLP(Washington D.C.)勤務。2019年ニューヨーク州弁護士登録。
御堂筋法律事務所プロフィールページはこちらから
髙木 佑衣
御堂筋法律事務所(東京事務所) アソシエイト弁護士
2010年慶應義塾大学経済学部卒業。2013年慶應義塾大学法科大学院卒業。2014年弁護士登録。2015年御堂筋法律事務所(東京事務所)入所。2017~2019年都市銀行勤務。2019年御堂筋法律事務所(東京事務所)復帰。
御堂筋法律事務所プロフィールページはこちらから