2020年6月7日

「クッキー」の利用規制等(個人情報保護法の改正法成立)

 いわゆる個人情報保護法(平成15年法律第57号)に関する改正法が2020年6月5日参院本会議で可決、成立し、2022年6月までに施行される見通しとなりました。
 個人情報に対する意識の高まり、技術革新を踏まえた保護と利用のバランス、個人情報が多様に利活用される時代における事業者責任の在り方及び越境データの流通増大に伴う新たなリスクへの対応等の観点から、個人情報の漏えい等が生じた場合における委員会への報告及び本人への通知を義務付け、個人情報等の外国における取扱いに対する個人情報の保護に関する法律の適用範囲を拡大するとともに、個人情報に含まれる記述等の削除等により他の情報と照合しない限り特定の個人を識別することができないように加工した仮名加工情報(いわゆる「クッキー」)の取扱いについての規律を定める等の措置を講ずるものとされています。
 「クッキー」(ビックデータ)の利用を巡っては、2019年8月にリクルート社の就職情報サイト「リクナビ」が学生(就活生)の内定辞退率のデータを収集・分析して企業に販売していたことが発覚してその問題性が指摘されるようになり、その法規制が求められていたところでしたが、さらに、改正法により、個人が企業(例えば巨大IT企業等)に対し、個人の権利や利益が損なわれるおそれがある場合にも、個人情報の利用停止を求めることができることになりました。
 今後、個人及び企業の双方において、「クッキー」の利用のあり方、あるいは利用停止を求め得るのはどのような場合であるのか、具体的・実務的に検討して行くことが必要と言えます。

<主な新設条文>
第2条(定義)
9 この法律において「仮名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報をいう。
  一 第一項第一号に該当する個人情報 当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
  二 第一項第二号に該当する個人情報 当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
 10 この法律において「仮名加工情報取扱事業者」とは、仮名加工情報を含む情報の集合物であって、特定の仮名加工情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の仮名加工情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの(第三十五条の二第一項において「仮名加工情報データベース等」という。)を事業の用に供している者をいう。ただし、第五項各号に掲げる者を除く。

第16条の2(不適正な利用の禁止)
 個人情報取扱事業者は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない。

第30条(利用停止等)
 【第一項中「第十六条」の下に「若しくは第十六条の二」を加え、「とき又は」を「とき、又は」に改め、同条第五項中「第一項」及び「第三項」の下に「若しくは第五項」を加え、同項を同条第七項とし、同条第四項の次に次の二項を加える。】
 5 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データを当該個人情報取扱事業者が利用する必要がなくなった場合、当該本人が識別される保有個人データに係る第二十二条の二第一項本文に規定する事態が生じた場合その他当該本人が識別される保有個人データの取扱いにより当該本人の権利又は正当な利益が害されるおそれがある場合には、当該保有個人データの利用停止等又は第三者への提供の停止を請求することができる。
 6 個人情報取扱事業者は、前項の規定による請求を受けた場合であって、その請求に理由があることが判明したときは、本人の権利利益の侵害を防止するために必要な限度で、遅滞なく、当該保有個人データの利用停止等又は第三者への提供の停止を行わなければならない。ただし、当該保有個人データの利用停止等又は第三者への提供の停止に多額の費用を要する場合その他の利用停止等又は第三者への提供の停止を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。

第35条の2(仮名加工情報の作成等)
 個人情報取扱事業者は、仮名加工情報(仮名加工情報データベース等を構成するものに限る。以下同じ。)を作成するときは、他の情報と照合しない限り特定の個人を識別することができないようにするために必要なものとして個人情報保護委員会規則で定める基準に従い、個人情報を加工しなければならない。

第35条の3(仮名加工情報の第三者提供の制限等)
 仮名加工情報取扱事業者は、法令に基づく場合を除くほか、仮名加工情報(個人情報であるものを除く。次項及び第三項において同じ。)を第三者に提供してはならない。

Category: Author: 近藤 剛史
近藤総合法律事務所
タイトルとURLをコピーしました