[個人情報保護法] 第3回：個人情報の利用、管理の場面

この記事の著者

光和総合法律事務所弁護士

1.利用、管理の場面における検討の流れ

個人情報は、取得時に通知・公表等した利用目的の達成に必要な範囲で取り扱う必要がある（個人情報保護法（以下「法」という。）16条）。令和2年改正で、不適正利用の禁止に関する条文が追加された（法16条の２）。同条の内容の詳細はガイドライン等で明らかにされる予定である。利用の場面では、令和2年改正で、仮名加工情報の概念が創設された（法35条の2）。なお、匿名加工情報については、第三者提供の場面で説明する。

個人データを管理の場面では、安全管理措置の内容を順守することが必要であり、安全管理措置（法20条）、従業者に対する監督（法21条）、委託先に対する監督（法22条）について説明する。また、令和2年改正で、一定の漏えい等が発生した場合に個人情報保護委員会への報告等が義務化されている（法22条の2）。

＊企業が個人情報を取り扱う場面のイメージ（利用の場面は②、管理の場面は③）

企業が個人情報を取り扱う場面のイメージ（利用の場面は②、管理の場面は③）

2.個人情報の利用（16条）と不適正利用の禁止（16条の2）（令和2年改正）

事業者は、特定した利用目的の範囲内で個人情報を取り扱わなければならず、その目的の範囲を超えて取り扱う場合、あらかじめ本人の同意を得る必要がある（個人情報保護法16条1項）。「変更前の利用目的と関連性を有すると合理的に認められる範囲」であれば、利用目的の変更が許される（法15条2項）が、当該範囲は非常に制限的に解されていることに注意が必要である。

個人情報ごとに、取得した際に通知・公表した利用目的が異なる場合、個人情報と利用目的を紐づけて、管理しなければならないことに注意が必要である。

令和2年改正法では、「個人情報取扱事業者は、違法または不当な行為を助長し、又は誘発する恐れがある方法により個人情報を利用してはならない」との条文が新設されている（改正法16条の2）。取得の場面における適正な取得（法17条1項）と同様に、利用の場面においても適正かという観点が重要であることを明確化するものと評価できる。どのような場合が対象となるかは、個人情報保護委員会のガイドラインやQ&Aで例が示されることとなる。国会審議では、破産者マップのような事例や、反社会勢力に特定の個人情報を提供する場合が想定されているが、プロファイリングにおける分析なども対象に含まれるかは、注視していく必要がある。

3.仮名加工情報（35条の2）（令和2年改正）

令和2年改正法では、一定の措置を講じて、他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報を「仮名加工情報」として（改正法2条9項、35条の2）、利用目的の変更（法15条2項）、漏洩等の報告等（改正法22条の2）、開示・利用停止請求への対応（法27条から34条）の規定は適用しないものとされている（改正法35条の2第9項）。

当初の利用目的には該当しない目的や、該当するか判断が難しい新たな目的での内部分析が想定されている。現時点では、①医療・製薬分野等における研究、不正検知・売上予測等の機械学習モデルの学習等、②利用目的を達成した個人情報について、将来的に統計分析に利用する可能性があるため、仮名加工情報として加工した上で保管することなどが想定されている。

法令に基づく場合を除き、仮名加工情報を第三者に提供することは禁止されているが、委託（法25条3項1号）や共同利用（法25条3項3号）は可能である。

個人情報、匿名加工情報との比較は、第4回（第三者提供の場面）で説明する。

4.データ内容の正確性の確保等（19条）

データの消去については、個人情報保護法19条で、企業は「利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない。」とされており、適切に消去されなかった場合には、漏えい等、安全管理措置義務（法20条、21条、22条）違反につながるリスクが高くなる。

2019年には、神奈川県がリース契約満了に伴い、リース会社に返却したサーバーについて、同社がデータ消去を委託していた企業の従業員に盗まれ、オークションサイトに転売され、個人データが漏えいする事件が発生しており（神奈川県データ漏えい事件）、適正に廃棄がされているかを適切に把握する必要がある。

5.安全管理措置

(1)安全管理措置（20条）

情報漏えいが生じないようにするために、安全管理措置が必要であり、委員会GL通則編に従い、安全管理措置の内容を検討する必要がある。もっとも、形式的な規定を作るだけでは、かえって規程違反の状態が生じるだけであり、実際に遵守することができる実効的な内容とすることが重要である。

安全管理措置は、①組織的安全管理措置、②人的安全管理措置、③物理的安全管理措置、④技術的安全管理措置の4つに分類される。そして、各措置の前提として、安全管理措置に関する事項を含めた基本方針の策定が推奨され、個人データの取扱いに係る規律を整備することとされている（詳細な内容は、委員会GL通則編参照）。

(2)従業員の監督（21条）

安全管理措置の一環として従業者の監督が定められている（法21条）。

法21条における従業者に対する監督は、安全管理措置（同法20条）における人的安全管理措置と重なるところが多い。

(3)委託先の監督（22条）

企業が個人情報の取扱いを委託する場合、取扱いを委託する個人データの内容を踏まえ、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、委託する事業の規模及び性質、個人データの取扱状況（取り扱う個人データの性質及び量を含む。）等に起因するリスクに応じて、次の①から③までに掲げる必要かつ適切な措置を講じなければならないとされている（委員会GL通則編参照）。

①適切な委託先の選定：委託先の選定に当たっては、委託先の安全管理措置が、少なくとも法第20条及び本ガイドラインで委託元に求められるものと同等であることをあらかじめ確認しなければならない。
②委託契約の締結：委託契約には、当該個人データの取扱いに関する、必要かつ適切な安全管理措置として、委託元、委託先双方が同意した内容とともに、委託先における委託された個人データの取扱状況を委託元が合理的に把握することを盛り込むことが望ましい。
③委託先における個人データ取扱状況の把握：委託先における委託された個人データの取扱状況を把握するためには、定期的に監査を行う等により、委託契約で盛り込んだ内容の実施の程度を調査した上で、委託の内容等の見直しを検討することを含め、適切に評価することが望ましい。

委託先から個人データが漏えい等をした場合には、委託元の責任も問われることとなるため、適切な監督が必要である。

6.漏えい等報告義務（22条の2）（令和2年改正）

漏えい等報告について、令和2年改正法では、漏えい等が発生し、個人の権利利益を害する恐れがある場合には、個人情報保護委員会への報告及び本人への通知を義務化した（改正法22条の2）。改正前は、漏えい等報告は、個人情報保護委員会の告示に基づく義務であり、法的義務ではないとされていた。

その後、令和2年10月30日に開催された個人情報保護委員会の配布資料では、検討すべき主な論点が公表され、同日の委員会における議事録では引き続き検討を進めていくこととされている。

①基本的考え方

個人の権利利益に対する影響が大きいと考えられる、漏えい等した個人データの性質（要配慮個人情報に該当するか）・内容（財産的被害が発生するおそれがあるか）、漏えい等の態様（故意によるものか）、漏えい等の事態の規模（一定数以上の大規模な漏えい：1000人を基準とする）等を考慮した上で、対象となる事態を定めるものとする。