【2022年4月1日施行】改正個人情報保護法を踏まえた対応【個人の権利】

1.個人情報保護法の改正

 2022年4月1日、改正個人情報保護法(以下「法」といいます。)が施行されました(以下「令和4年改正」といいます。)。
 令和4年改正の主な内容は、①個人が有する個人情報に関する権利の拡充、②事業者の守るべき責務の拡充、③事業者による自主的な取組を促す仕組みの拡充、④データ利活用に関する施策の拡充、⑤個人情報保護法違反に関するペナルティの強化、⑥域外適用、越境移転の在り方に関する拡充となります。
 本稿では、令和4年改正の内容のうち、個人情報を提供した個人(以下では「本人」といいます。)が有する個人情報に関する権利(前述した①)について解説いたします。

2.個人情報に関する権利の拡充内容

(1)拡充内容について

 令和4年改正では、本人が有する個人情報に関する権利に関して、以下の拡充がなされました。

  • ① 保有個人データの利用停止、消去、第三者提供の停止(以下「利用停止等」といいます。)の請求について、その要件が緩和されました。
  • ② 保有個人データの開示について、デジタル化が推進されました。
  • ③ 開示等の対象となる保有個人データの範囲が拡大されました。
  • ④ オプトアウト制度について規制が強化されました。
    ※オプトアウト制度とは、法第27条第2項に定める制度です。個人情報取扱事業者は、個人データの第三者への提供にあたり、法に定める事項を予め本人に通知し、又は本人が容易に知りうる状態に置くとともに、個人情報保護委員会に届け出た場合には、予め本人の同意を得ることなく、個人データを第三者に提供することができるという制度になります。

(2)保有個人データの利用停止等の請求について

ア 利用停止等の請求の要件緩和

 令和4年改正前、本人は、保有個人データが法第18条(利用目的による制限)の規定に違反して本人の同意なく目的外利用がなされている場合、法第20条(適正な取得)の規定に違反して偽りその他不正の手段により個人情報が取得され若しくは本人の同意なく要配慮個人情報が取得されたものであるときは、保有個人データの利用停止又は消去の請求をすることができるとされていました。また、保有個人データが法第27条第1項(第三者提供の制限)又は法第28条(外国にある第三者への提供の制限)の規定に違反して本人 令和4年改正では、保有個人データの利用停止等について、以下の場合にも請求が認められることとなりました(法第30条第1項、第5項)。

  • ① 法第19条(不適正な利用の禁止)違反の場合
  • ② 本人が識別される保有個人データを当該個人情報取扱事業者が利用する必要がなくなった場合
  • ③ 本人が識別される保有個人データに係る法第26条第1項(個人データの漏洩等が生じた場合における個人情報保護委員会に対する報告義務)に規定する事態が生じた場合
  • ④ その他本人が識別される保有個人データの取扱いにより当該本人の権利又は正当な利益が害されるおそれがある場合

イ 上記④の「本人の権利又は正当な利益が害されるおそれがある場合」について

 なお、前述した「本人の権利又は正当な利益が害されるおそれがある場合」とは、法目的に照らして保護に値する正当な利益が存在し、それが侵害されるおそれがある場合をいいます。例えば、以下の事情が存在する場合が考えられます。

  • ① ダイレクトメールの送付を受けた本人が、送付の停止を求める意思を表示したにもかかわらず、個人情報取扱事業者がダイレクトメールを繰り返し送付していることから、本人が利用停止等を請求する場合
  • ② 個人情報取扱事業者が、退職した従業員の情報を現在も自社の従業員であるようにホームページ等に掲載し、これにより本人に不利益が生じるおそれがあることから、本人が利用停止等を請求する場合

(3)保有個人データの開示

 令和4年改正前、保有個人データを本人に対して開示する際には、書面の交付による方法が原則とされており、開示の請求を行った者が同意した方法があるときは、当該方法によるとされていました。そのため、本人に対する開示の方法は、書面によるか、本人が希望し事業者が同意した方法によることとされていました。
 令和4年改正では、本人が開示方法を指定することができるようにして、個人情報取扱事業者は、原則として、当該本人が指定した方法により保有個人データを開示する義務が定められました(法第33条第1項、第2項)。
 この改正により、本人は、電磁的記録の提供による方法で、保有個人データの開示を求めることができるようになりました。
 電磁的記録の提供による方法としては、①電磁的記録をCD-ROM等の媒体に保存して、当該媒体を本人に郵送する方法、②電磁的記録を電子メールに添付して送信する方法、③会員専用サイト等のウェブサイト上で電磁的記録をダウンロードしてもらう方法が考えられています。

(4)開示等の対象となる保有個人データの範囲の拡大

 令和4年改正前、個人データのうち取得から6か月以内に消去されるものは、法律上「保有個人データ」には該当せず、本人からの利用停止等の請求に応じる義務は存在していませんでした。
 しかし、令和4年改正により、この取得から6か月以内に消去される個人データも「保有個人データ」に該当することとなりました。そのため、本人から利用停止等の請求がなされた場合は、原則として、これに応じる義務が生じることになりました。

(5)オプトアウト制度についての規制強化

 令和4年改正により、オプトアウト制度についての規制が強化されました。
具体的には、令和4年改正前から規制されていた要配慮個人情報に加え、以下に定める個人データについても、オプトアウト制度に基づく提供を行うことができないようになりました。

  • ① 法第20条第1項(適正な取得)の定めに違反して、不正の手段により取得された個人データ
  • ② 他の個人情報取扱事業者からオプトアウト制度に基づき提供された個人データ(その全部又は一部を複製し、又は加工したものを含みます。)

3.さいごに

 令和4年改正により、個人情報に関して本人が有する権利が拡充されることになりました。個人情報取扱事業者たる企業や個人事業主において、このような権利が設けられたことを踏まえ個人情報の取扱いに関する業務フローの変更を行う必要が生じています。
 個人情報の取扱いは、インターネット社会において重要なものとなっています。個人情報の漏洩や不適切な取扱いは、企業や個人事業主のコンプライアンス意識の低さを表すこととなり、取引の見直し等不利益が生じることも考えられます。
 そのため、令和4年改正を踏まえた個人情報の取扱いについては、これに関する知識を有する弁護士と協議を行いながら、慎重にその方法を決定していくべきでしょう。
 当事務所では、プライバシーポリシーの作成等個人情報保護法関連の業務も取り扱っています。個人情報保護法改正に対する対応を行う必要がある企業・個人事業主の方は、ぜひ当事務所にご相談ください。

藏野 時光 弁護士法人フォーカスクライド アソシエイト弁護士執筆者:藏野 時光

弁護士法人フォーカスクライド アソシエイト弁護士。2017年に弁護士登録。離婚問題等個人間の法的紛争から知的財産紛争等企業間の紛争まで幅広い分野に携わっている。また、刑事事件も取り扱う。紛争に関する交渉、訴訟対応のみならず、企業間取引における契約書等の作成・リーガルチェック等、企業における日々の業務に関する法的支援も多数取り扱っている。個人、企業問わず、クライアントが目指す利益を実現するために採るべき具体的方法を検討し、リスクに関する説明も交えた丁寧な説明を心がけ、リーガルサービスを提供している。

pegetop