Legal Note

リーガルノート

2021.06.02

2021-5-1 シリーズ 2020年改正個人情報保護法と実務への影響 第1回 利用停止・消去、第三者提供の停止

M&P Legal Note 2021 No.5-1

シリーズ 2020年改正個人情報保護法と実務への影響
第1回 利用停止・消去、第三者提供の停止

2021年6月2日
松田綜合法律事務所
弁護士 森田岳人

PDFダウンロード

 

1 はじめに

今でこそ個人情報が保護されることは当たり前のように感じられますが、個人情報保護法(以下「個情法」)が制定されたのは2003年5月であり、今から18年前のことに過ぎません。それまでは個人情報を保護する包括的な法律はありませんでした。

また、個情法の制定後、社会の情報化はすさまじい勢いで進展を遂げており、個情報が制定された当時とは全く異なる状況です。Facebookが登場したのは2004年、Twitterが誕生したのは2006年、iPhoneが初めて発売されたのは2007年です。SNSの普及や、iPhoneをはじめとするスマホの高機能化も、情報化社会を急速に発展させました。さらにここ最近はAI、IoT、ビッグデータなどが注目され、その勢いは加速する一方です。

このような社会の急激な変化に合わせ、個情法も2015年9月に改正されましたが、その際、3年ごとに個人情報の保護に関わる国際的動向、情報通信技術の進展、それに伴う個人情報を活用した新たな産業の創出および発展の状況等を勘案して施行状況を検討する旨の規定も置かれました(2015年改正個情法付則12条3項)。

この3年ごとに見直す旨の規定を受け、個人情報保護委員会では個情法の改正について継続的に検討され、2019年4月25日に「個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理」[1]、2019年12月13日に「個人情報保護法 いわゆる3年ごと見直し 制度改正大綱」[2]が公表されました。

その後、パブリックコメントなどを経たうえ、個情法改正法案が2020年3月10日に閣議決定され、第201回国会に提出、その後衆参両議院で審議のうえ可決され、同年6月5日に成立、同月12日に公布されました。

なお、2020年改正個情法(以下「改正法」)の全面施行は、2022年4月1日となっています[3]

その後、2020年改正個情法の法律施行令(以下「改正施行令」及び施行規則(以下「改正規則」が制定され、2021年3月24日に公布されました。

現在は、個人情報保護委員会で2020年改正個情法のガイドラインやQ&Aの作成が行われており[4]、2021年5月19日にはガイドライン案がパブリックコメントに付されています[5]

 

改正法は、開示請求の充実、利用停止・消去等の個人の請求権の拡大、不適正な方法による利用禁止、仮名加工情報の創設、域外適用の範囲の拡大、越境移転にかかる情報提供の充実など、多岐にわたり、かつ実務において影響の大きい事項を多く含んでいます。

本シリーズでは、改正法の要点と実務への影響について、数回に分けて解説していきます。

 

2 利用の停止・消去請求権

(1)現行法

現行法でも、自己の保有個人データが目的外利用されていたり、不正取得されていた場合に、個人情報取扱事業者に対して当該保有個人データの利用の停止または消去を請求することができます(現行法30条1項)。

(2)改正法

ア 改正法による請求権の拡大

しかし、現行法の利用停止・消去請求権は、請求できる事由が狭いため、本人が望まない形で保有個人データの利用が続くことに多くの意見や不満が集まっていたことから、個人の権利利益の保護を強化するために、改正法では、利用停止・消去請求権を行使できる事由を拡大することになりました。

改正法で新たに追加される事由は以下の4つです。

①違法又は不当な行為を助長し、または誘発する恐れがある方法により保有個人データを利用している場合(改正法30条1項、16条の2)

具体例

個人情報を提供した場合、提供先において法第 23 条第1 項に違反する第三者提供がなされることを予見できるにもかかわらず、当該提供先に対して、個人情報を提供する場合(ガイドライン案3-2)。

②保有個人データを利用する必要がなくなった場合(改正法30条5項)

具体例

ダイレクトメールを送付するために個人情報取扱事業者が保有していた情報について、当該個人情報取扱事業者がダイレクトメールの送付を停止した後、本人が消去を請求した場合(ガイドライン案3-8-5-1)

③保有個人データの漏えい、滅失、毀損等が生じた場合(改正法30条5項、22条の2第1項、規則6条の2)

具体例

EC サイトからクレジットカード番号を含む個人データが漏えいした場合

ランサムウェア等により個人データが暗号化され、復元できなくなった場合

(ガイドライン案3-5-3-1)

④その他本人の権利または正当な利益が害されるおそれがある場合(改正法30条5項)

具体例

ダイレクトメールの送付を受けた本人が、送付の停止を求める意思を表示したにもかかわらず、個人情報取扱事業者がダイレクトメールを繰り返し送付していることから、本人が利用停止等を請求する場合

(ガイドライン案3-8-5-1)

なお、④は法目的に照らして保護に値する正当な利益が存在し、それが侵害される恐れがある場合をいうとされています(ガイドライン案3-8-5-1)。「正当」という文言は抽象的ですが、ガイドライン案では、「「正当」かどうかは、相手方である個人情報取扱事業者との関係で決まるものであり、個人情報取扱事業者に本人の権利利益の保護の必要性を上回る特別な事情がない限りは、個人情報取扱事業者は請求に応じる必要がある」と記載されており、幅広く正当な利益が認められる可能性があります。

イ 必要な限度での対応

個人情報取扱事業者は、上記アの利用の停止または消去請求に対しては、「本人の権利利益の侵害を防止するために必要な限度で」対応すれば足ります(改正法30条2項、6項)。

この文言自体は現行法にもありましたが、改正法では、法の趣旨を明確化するため、ガイドライン案でいくつかの具体例を示しています。

具体例

本人から保有個人データの全てについて利用停止等が請求された場合に、一部の保有個人データの利用停止等によって、生じている本人の権利利益の侵害のおそれを防止できるものとして、一部の保有個人データに限定して対応を行う場合(ガイドライン案3-8-5-2)。

ウ 代替措置

個人情報取扱事業者は、上記アの利用停止または消去請求の要件を満たす場合であっても、多額の費用を要する場合その他利用停止または消去を行うことが困難な場合は、「本人の権利利益を保護するため必要なこれに代わるべき措置」によって対処することも認められます(改正法30条2項、6項)[6]

この文言自体は現行法にもありましたが、改正法では、法の趣旨を明確化するため、ガイドライン案でいくつかの具体例を示しています。

具体例

既に市販されている名簿の刷り直し及び回収作業に多額の費用を要するとして、名簿の増刷時の訂正を約束する場合や必要に応じて金銭の支払いをする場合

個人情報保護委員会への報告の対象となる重大な漏えい等が発生した場合において、当該本人との契約が存続しているため、利用停止等が困難であるとして、以後漏えい等の事態が生じることがないよう、必要かつ適切な再発防止策を講じる場合

(ガイドライン案3-8-5-3)。

(3)実務への影響

以上のとおり、改正法では本人の利用停止・消去請求権がかなり拡大しています。特に④は文言が抽象的で、解釈によっては適用範囲がかなり広がるため、今後、利用されることが多くなると思われます。

もちろん、利用停止・消去請求をされた場合に、常に請求どおりに利用停止や消去をしなければならないというものではなく、請求のための法律上の要件を満たさなければ応じる必要はありませんし、また、要件を満たしたとしても、必要な限度で対応したり(上記(2)イ)、代替措置をとったりする(上記(2)ウ)ことも可能です。

しかし、本人が納得しない場合には、本人から、利用停止や消去について仮処分や訴訟提起を受ける可能性や、民事上の損害賠償請求を受ける可能性もあり、また、個人情報取扱事業者の対応が不適切であった場合には個人情報保護委員会の指導・助言(改正法41条)、勧告・命令(改正法42条1項、2項)、命令違反による公表(改正法42条4項)及び罰金(改正法83条、87条)の対象となります。

したがって、本人から利用停止・消去請求がなされた場合には、個人情報取扱事業者は、今まで以上に慎重な検討と対応が必要となります。

3 第三者提供の停止請求権

(1)現行法

現行法でも、自己の保有個人データが、本人の同意なく第三者提供をされたり、法の要件を満たさないまま第三者提供をされたりしている場合には、本人は個人情報取扱事業者に対して当該保有個人データの第三者提供の停止を請求することができます(現行法30条3項)[7]

(2)改正法

ア 改正法による請求権の拡大

しかし、現行法の第三者提供の停止請求権は、上記2の利用停止・消去請求権と同様に、請求できる事由が狭いため、本人が望まない形で第三者提供が続くことに多くの意見や不満が集まっていたことから、個人の権利利益の保護を強化するために、改正法では、第三者提供の停止請求権を行使できる事由を拡大することになりました。

改正法で新たに追加される事由は以下の3つです。上記2(2)アの利用停止・消去請求権と重複するので、詳細については省略します。

①保有個人データを利用する必要がなくなった場合(改正法30条5項)

②保有個人データの漏えい、滅失、毀損等が生じた場合(改正法30条5項、22条の2第1項、規則6条の2)

③その他本人の権利または正当な利益が害されるおそれがある場合(改正法30条5項)

イ 必要な限度での対応

個人情報取扱事業者は、上記アの第三者提供の停止請求に対しては、条文上は「本人の権利利益の侵害を防止するために必要な限度で」対応すれば足ります(改正法30条6項)。

しかし、現実的には第三者提供を停止すること以外の選択肢はほとんど考えられないのではないかと思われます。

なお、現行法でも改正法でも、すでに提供されてしまった保有個人データの回収までは義務づけられていません。

ウ 代替措置

また、個人情報取扱事業者は、上記アの第三者提供の停止請求に対しては、多額の費用を要する場合その他第三者提供の停止を行うことが困難な場合は、「本人の権利利益を保護するため必要なこれに代わるべき措置」によって対処することも認められます(改正法30条6項)。

(3)実務への影響

上記2(3)の利用停止・消去請求について述べたことと同様に、第三者提供の停止請求を行使できる事由が拡大したことによって、請求が増えることが予想されます。第三者提供の停止請求がされた場合、個人情報取扱事業者は、今まで以上に慎重な検討と対応が必要になります。

(つづく)

 

シリーズ 2020年改正個人情報保護法と実務への影響

第1回 利用停止・消去、第三者提供の停止

第2回 漏えい等報告・本人通知

第3回 不適正利用の禁止

第4回 認定団体制度の充実

第5回 公表事項等

第6回 仮名加工情報

第7回 個人関連情報

第8回 越境移転

第9回 その他

 

[1] https://www.ppc.go.jp/files/pdf/190425_chukanseiri.pdf

[2] https://www.ppc.go.jp/files/pdf/200110_seidokaiseitaiko.pdf

[3] https://www.ppc.go.jp/files/pdf/210324_sekoukizitu.pdf

[4] https://www.ppc.go.jp/files/pdf/200615_kongonotorikumi.pdf

[5] https://public-comment.e-gov.go.jp/servlet/Public?CLASSNAME=PCMMSTDETAIL&id=240000069&Mode=0

[6] 本条項は、あくまで個情法上の義務を免除するだけであり、民事上又は刑事上の責任まで免除されるというわけではありません。

[7] 厳密には現行法30条1項の利用停止請求権の中に、第三者提供の停止も含まれると解されています。

 

このリーガルノートに関連する法務

 

お問い合わせ

この記事に関するお問い合わせ、ご照会は以下の連絡先までご連絡ください。

松田綜合法律事務所
パートナー弁護士 森田岳人
info@jmatsuda-law.com

 

この記事に記載されている情報は、依頼者及び関係当事者のための一般的な情報として作成されたものであり、教養及び参考情報の提供のみを目的とします。いかなる場合も当該情報について法律アドバイスとして依拠し又はそのように解釈されないよう、また、個別な事実関係に基づく日本法または現地法弁護士の具体的な法律アドバイスなしに行為されないようご留意下さい。

    会社名

    部署・役職(任意)

    お名前 (必須)

    フリガナ

    電話番号 (必須)

    メールアドレス (必須)

    ホームページ

    お問い合わせ内容