個人情報保護法改正について

法律コラム

個人情報保護法改正について



弁護士 皆川 征輝

1 はじめに

 令和2年6月5日、「個人情報の保護に関する法律」(個人情報保護法)の改正法(令和2年改正)が成立しました(未施行)。

 この令和2年改正の背景事情の一つとして、就職情報サイト「リクナビ」を運営する株式会社リクルートキャリア(リクルートキャリア社)が提供していた企業向けのサービスが、個人情報保護法の趣旨を潜脱していた問題が挙げられます(リクナビ事件)。

 そして、令和元年12月4日、個人情報保護委員会は、同問題に基づきリクルートキャリア社等に対して勧告を行い、同社の提供するサービスを利用した企業に対して指導をした上で、当該勧告等の事実が公表されました 。

 令和2年改正では、リクナビ事件を教訓として、次の各条項が盛り込まれました 。

①個人関連情報の第三者提供の制限

 (26条の2)

②個人情報の不適正利用の禁止

 (16条の2)

③利用停止・消去権の拡充

 (30条5項・6項)

④第三者提供記録の開示義務

 (28条5項)

 本稿では、令和2年改正のうちこの4つの条項について概要を述べます。

 

2 個人関連情報の第三者提供の制限

 (26条の2)

 リクルートキャリア社は、採用活動に応募した学生等の情報とリクナビ会員情報を突合せ、リクナビ上の閲覧履歴等を基に内定を辞退する確率(内定辞退率)を算出して、企業に提供するサービスを提供していました。

 その際、リクルートキャリア社は、突合せに、個人情報である氏名の代わりに、Cookie を使用しました。この点、リクルートキャリア社は、Cookieのみでは、特定の個人を識別することができないため、提供する情報は個人データに該当しないとして、個人データの第三者提供の際に得るべき本人の同意を取得していませんでした。

 しかし、リクルートキャリア社から内定辞退率の提供を受けた企業側では、当該企業が保有している情報(Cookieに紐づいた氏名等の情報)と結びつけることで特定の個人を識別することができ、実質的には個人データを第三者提供する場合と同様の状況でした。そして、リクルートキャリア社は、その事実を認識していました。

 個人情報保護委員会は、このような事実関係から、リクルートキャリア社の提供するサービスは個人情報保護法の趣旨を潜脱した不適切なものであると判断しました 。

 そこで、令和2年改正では、個人データに該当しない情報を「個人関連情報」として、提供元では個人を識別することができない個人関連情報であっても、提供先において保有している情報と結びつけることで個人データとなることが想定される情報を提供する場合には、本人の同意が得られていること等を確認することが義務付けられることになりました。

3 不適正利用の禁止

 (16条の2)

 従来、個人情報を取扱う際には利用目的を特定する必要があるとされ、目的外利用が原則として禁止されていました。

 令和2年改正では、上記のリクナビ事件を受け、利用目的の特定に加え、違法又は不当な行為を助長・誘発するおそれがある方法により個人情報を利用してはならない旨が明確にされました。

 

4 利用停止・消去権の拡充

 (30条5項・6項)

 保有個人データの不正取得等の法令違反がある場合、本人は、個人情報取扱事業者に対し、利用停止・消去等の請求が可能です(30条1項)。

 令和2年改正では、上記の法令違反に加えて、個人情報取扱事業者が、利用する必要がなくなった場合や、個人データの漏えい等が生じた場合、個人の権利又は正当な利益が害されるおそれがある場合にも利用停止・消去請求をすることが可能になりました。

 

5 第三者提供記録の開示義務

 (28条5項)

 個人情報取扱事業者が個人データを第三者に提供し、または、第三者から提供を受けた際に作成する記録を、本人が開示請求できることになりました。

 

6 さいごに

 個人情報の収集・分析・利用が進み、新たなサービスが生み出される一方で、個人が自己の情報を完全にコントロールすることができなくなるおそれがあります。このような個人情報の収集・利用とバランスをとるため、個人情報保護法は、個人の権利を保護すると同時に、個人情報取扱事業者に対する規律を設けており、令和2年改正もその方針に則ったものといえます。

 令和2年改正においては、本稿で記載した改正の他、個人データの漏えい、滅失、毀損等によって、個人の権利利益を害するおそれがある一定の場合には、個人情報取扱事業者は、個人情報委員会への報告及び本人への通知をしなければならないものとされ、また、個人情報保護法に違反した場合の罰金の法定刑が引き上げられる等の改正もなされています。さらに、令和2年改正そのものではありませんが、リクナビ事件のように勧告等の結果が公表されることによるレピュテーションリスクも軽視できません。

 新しいサービスが個人情報の収集・利用等につながる可能性がある場合には、法令違反になるおそれがないか、十分にご検討ください。