「個人情報保護法」（正式名称「個人情報の保護に関する法律」）が改正され、2022年4月に施行されました。

改正のポイントは、大きく分けて６つです。

※https://www.ppc.go.jp/files/pdf/200612_gaiyou.pdf

個人情報保護委員会「個人情報の保護に関する法律等の一部を改正する法律（概要）」より引用。

• 個人の権利の在り方
• 事業者の守るべき責務の在り方
• 事業者による自主的な取組を促す仕組みの在り方
• データ利活用に関する施策の在り方
• ペナルティの在り方
• 法の域外適用・越境移転の在り方

別記事「個人情報保護法」の改正について（1）は個人（本人）の側から改正ポイント1を、(２)は個人情報を取り扱う事業者の側から改正ポイント2．3．5をそれぞれみていきました。

今回は、時代の流れに焦点をあて、残り4．データ利活用に関する施策の在り方、6．法の域外適用・越境移転の在り方の2点について詳しくみていきたいと思います。

 

改正ポイント4「データ利活用に関する施策の在り方」について

①「仮名加工情報」が導入された！

これまで、「個人情報」に該当するものは、すべて個人情報の取扱いに関する規律の対象となっていました。

例えば、利用目的の制限や、漏えい等を報告する義務などがあげられます。

そのような状況のなか、改正により新たな概念が導入されました。

その名も、「仮名加工情報」です。

この「仮名加工情報」は、なんと本人の同意を得ずに利用目的を変更できます（ただし一定の条件あり）。

また、漏えい等報告の義務や開示・利用停止等の請求対応義務がありません。

では、「仮名加工情報」とはどんなものなのか、みていくことにしましょう。

 

「仮名加工情報」とは、ずばり特定の個人を識別できないように加工したものです。

例えば、ネットショッピングをするAさんがいたとして、そのショッピングサイトの会員情報として、氏名、住所、年齢、生年月日、購入履歴等が登録されています。

これらの情報は簡単にAさんとわかってしまうので、個人情報といえます。

「仮名加工情報」は、これらに加工を加えて、他の情報と結びつけないかぎりAさんとわからないようにしたものをいいます。

さきほどの例からすると、氏名の代わりに仮IDを使うといったようなことです。

※「仮名加工情報」は利用目的の変更や開示請求対応の義務がないといいましたが、第三者提供については原則できないとされているので注意が必要です。

 

「仮名加工情報」は施行されたばかりのため、まだ大きく活用はされていませんが、将来AI分野やマーケティングへ分野で力を発揮するのではないかといわれています。

 

②個人データに該当しない情報を第三者に提供するときも、本人の同意が必要となった！

タイトルの通りですが、もともと個人データに該当しない情報を第三者に提供する際に、なぜ本人の同意が必要なのか、疑問が出てくるかもしれません。

実は、本来個人を特定できない情報であっても、第三者提供することによって個人が特定されてしまうケースがあります。

例えば、さきほどのAさんの購入履歴（氏名や住所はなし）を某企業Bが、第三者の企業Cに提供しようと考えました。

購入履歴だけではAさんと特定できないので、第三者に提供しても問題がないようにみえます。

しかし、この第三者の企業Cは、Aさんの氏名や住所等の顧客情報をもともと所持していた会社でした。

そして、某企業Bから提供された購入履歴のID情報と、自分がもっている顧客情報のIDを組み合わせて、「この購入履歴はAさんのもの」という情報を結果的に手に入れることとなりました。

 

こういった事例が起こり得る可能性があり、個人データに該当しない情報であっても、個人データとなるおそれがある場合は、本人の同意が必要となりました。

ちなみに、本人から同意を取得しなければいけないのは、原則第三者の企業C側です（事情によっては企業Bでも可）。

その場合、某企業Bは、本人Aからの同意が得られているかを事前に確認しなければなりません。

そして、BCともにデータのやりとりについて記録を残さなければいけません。

 

別記事「個人情報保護法改正により、情報の宝庫「Cookie」の取扱いが変わる！？」でも同様の内容を記載しておりますので、ご参照ください。

（参照）別記事「個人情報保護法改正により、情報の宝庫「Cookie」の取扱いが変わる！？」

 

改正ポイント6「法の域外適用・越境移転の在り方」について

最後にポイント6「法の域外適用・越境移転の在り方」についてみていきたいと思います。

これまで海外の事業者には、個人情報の取扱いについて、指導・勧告といった強制力のない規定しか適用されていませんでした。

また、海外の事業者に個人情報を提供する際、本人の同意も簡素なものでした。

今回の改正に伴いこれらがどう変わったのか、具体的にみていきましょう。

 

①海外の事業者に個人情報が提供される際、本人への情報提供が充実することとなった！

海外の事業者に個人情報を提供する際、本人の同意を得ることが必要ですが、同意を得る際の本人への情報提供が充実することとなりました。

例えば、本人からの同意取得時に、提供先の国のなまえや当該外国における個人情報の保護に関する制度、また、当該外国先が講ずる個人情報の保護のための措置がどういったものなのか、こうした情報を提供元が本人に伝えることが義務となりました。

 

②海外事業者にも罰則規定を設けることができるようになった！

これまで、海外事業者は罰則対象ではなく、あくまで指導・勧告対象、つまり強制力を伴わない範囲にとどまっていました。

改正後は、個人情報保護委員会が、海外事業者にも罰則による強制力を伴う報告徴収・命令、命令に従わない場合の公表等を行うことができるようになりました。