データ保護法は世界のデジタル化に応じて急速に進化を続けています。日本はデジタル化へのスピード感が鈍ることのないよう、懸命に取り組んでいます。(レポート/Putro Harnowo)
共同通信社は2月、2021年に日本の上場企業が公表した個人情報漏えい事故件数は前年比約30%増の137件に上り、過去最多を記録したと報じました。この数字は企業調査会社である東京商工リサーチの調査結果に基づくものです。
2019年、日本の大手就職活動プラットフォームであるリクナビが、ウェブサイトのCookieやその他のユーザー情報を、同意を得ることなく利用し、内定辞退率を予測していたことが発覚し、日本ではデータプライバシーが世間の関心を集めました。リクナビの運営会社は、最大500万円(4万7450米ドル)で、そうした情報をさまざまな企業に販売していました。
日本の個人情報の保護に関する法律(個人情報保護法:APPI)は3年ごとに見直しを行うことになっていますが、リクナビ事件など、大きな被害につながる情報漏えいが相次いで発生したため、法の不備や抜け穴についてのリスクが浮き彫りになり、2020年6月、日本の国会(議会)で同法が改正されました。
2022年4月1日に施行された改正個人情報保護法では、個人情報の取り扱いに関し、個人の権利を強化し、個人情報取扱事業者への義務を強化しました。こうした諸改正により、日本の法律はEUの一般データ保護規則(GDPR)の内容に、より近いものとなりました。
「改正個人情報保護法の下では、個人情報の利用目的を抽象的に特定するだけでは不十分であり、個人情報取扱事業者は個人情報の利用目的を注意深く特定する必要があります」と、モルガン・ルイス&バッキアス東京オフィスのパートナーである文永智子弁護士は指摘します。
「個人情報取扱事業者が特定し開示した利用目的から、本人が個人情報の取り扱い方法を合理的に予測または想定できない場合、個人情報取扱事業者は個人情報保護法の要件を満たしていないことになります」
文永弁護士によれば、本人は、個人情報取扱事業者に対して、本人が請求する方法(書面の交付による方法または電磁的記録の提供による方法)で、当該保有個人データを開示するよう要求することができます。また、偽り、その他不正の手段により個人情報が取得された場合、当該個人情報が個人情報取扱事業者にとって不要となった場合、個人情報が漏えいした場合、または本人の権利もしくは正当な利益が害されるおそれのある場合は、本人は当該個人情報の利用の停止または消去を請求することができます。
旧個人情報保護法の下では、個人情報が取得から6カ月以内に消去される場合、本人が個人情報を削除または訂正を請求する権利は認められていませんでした。改正法の下では、6カ月という基準が削除されました。
「6カ月以内に消去される個人データに適用されていた除外事由が廃止され、現在は、すべての個人情報が開示や利用停止等の請求の対象となっていることにも、個人情報取扱事業者は留意する必要があります」と文永弁護士は指摘します。
改正法の下では、個人情報保護法の違反行為に対する法定刑も引き上げられています。例えば、企業が、個人情報保護委員会(PPC:個人情報の保護に責任を負う日本政府の委員会)の命令に違反した場合の罰則は、改正前の30万円以下から、1億円以下に引き上げられました。
旧法の下では、第三者へのデータ移転に本人の同意を必要としない匿名加工情報(匿名化された個人データ)という概念が導入されました。しかし、匿名加工情報には厳しい形式要件や匿名加工基準があったため、個人情報取扱事業者にとっては利用しにくいものでした。
改正個人情報保護法の下では、個人識別符号を削除して他の情報と照合しない限り生存する個人を識別することができない「仮名加工情報」という概念が導入されました。個人情報から氏名などの個人識別符号を削除すると、仮名加工情報になると考えられます。
「仮名加工情報を社内分析に限定して使用する場合は、個人情報の開示または利用停止等の請求への対応など、個人情報の取り扱い要件が緩和されます」と文永弁護士は述べています。
ウェブサイトのCookie
生存する個人に関する情報であり、個人情報、仮名加工情報、または匿名加工情報に該当しない「個人関連情報」の新たな定義についても、改正法に追加されました。個人関連情報には、Cookieによって収集された閲覧履歴、個人を識別できないメールアドレス、及び位置情報などがあります。
「こうした定義を新たに設けたのは、それ自体で、あるいは企業が保有する他の情報と照合した場合に、個人情報には該当しないものの、データ移転先が保有するその他のデータと結び付いた場合には個人情報となる可能性が高いデータを対象とするためです」と、モリソン・フォースター東京オフィスのパートナーである野中高広弁護士は述べています。
改正個人情報保護法においては、移転先が個人関連情報を他の個人情報と結び付けて新たな個人情報を作成することを移転元が予想できる場合、個人関連情報を第三者に移転する前に、オプトイン同意を取得する必要があります。
関連する個人を識別するために利用できる個人情報を移転先が保有している点につき移転元が把握し、または移転先による当該個人関連情報の使用目的を認識した上で、個人関連情報と個人情報に関連する可能性のあるデータの両方を提供した場合には、移転元が個人関連情報を個人情報として利用できる状況にあるとみなされる可能性が高い、と野中弁護士は説明します。
「このような場合、移転先、または移転先に代わって移転元が、当該個人からのオプトイン同意を得る必要があります。移転元が移転先の代わりに同意を得る場合、改正個人情報保護法では、当該同意を取得する際に、移転元が移転先を特定しなければなりません」と野中弁護士は指摘します。
また、移転先は、移転先のウェブサイトの個人情報保護方針に利用目的を特定するなどして、当該情報の利用目的を示す必要があります。移転元は、個人関連情報の国内及び越境移転の前に、移転先が同意を取得していることを確認しなければなりません。
従って、Cookieやその他の非個人情報を収集している企業は、そうした収集に際して、移転先が当該情報とその他の情報を結び付けて特定の個人を識別するといったデータの移転が関連しているかどうかを確認する必要があります。
「特定の個人に対して識別や宣伝を行うためにCookieを利用した行動ターゲティング広告を実施している企業も、影響を受けます」と、DLA パイパー東京オフィスの藤河家知美弁護士は述べています。
通知及び域外適用
改正法では、情報漏えい通知、域外適用、及びデータ越境移転など、重要な諸領域においても新たな遵守義務を課しています。DLAパイパーの藤河家弁護士によると、個人情報保護法の改正前は、金融庁の監督下にある金融機関を除き、情報漏えいの報告は必須ではありませんでした。
「改正後は、情報漏えいが、クレジットカード情報などの金融情報を侵害するサイバー攻撃の結果であるなど、一定の基準に合致する場合、報告が義務化されています」と藤河家弁護士は説明しています。
個人情報保護委員会への通知が必要となるのは、情報漏えいが改正後の個人情報保護委員会のガイドラインで定められた基準に合致する場合です。具体的には、要配慮個人情報の侵害、財産への損害を引き起こす可能性のある個人情報(例えば、クレジットカード情報、またはオンライン購入の際に使用されるIDやパスワード)の侵害、第三者によるデータサーバーへの不正アクセスもしくはマルウェアへの感染、または個人データに係る本人の数が1000人を超える漏えいが関連している、あるいは関連する可能性が高い場合が含まれます。
個人情報保護委員会への報告書は2度提出する必要があります。個人情報取扱事業者は、情報漏えい事件を認識した場合、即時に、理想的には3日から5日以内に、当該事件を個人情報保護委員会に報告しなければなりません。個人情報取扱事業者は、1度目の報告書に加えて、情報漏えいの種類に応じて、報告対象事態を知った日から、30日から60日以内に2度目の報告書を提出しなければなりません。
GDPRと同様、日本の改正個人情報保護法は、現在、域外においても適用されています。改正法の施行後は、日本人に商品やサービスを提供する外国企業も、個人情報保護委員会による調査や命令など、法律に基づくあらゆる義務や規制の対象になる、とモリソン・フォースターの野中弁護士は説明しています。
「今年の4月1日以前は、こうした種類の調査や命令は、日本国内の会社に限定されていました。また、改正個人情報保護法は、既存のプライバシーに関わるコンプライアンスの要件に大幅な変更を加えることによっても、日本における企業に影響を与えることになります」と野中弁護士は述べています。
オメルベニー&マイヤーズ東京事務所のカウンセルである座波優子弁護士の指摘によると、多くの企業が、改正個人情報保護法に基づく要件を満たすために、個人情報保護方針を修正しました。日本の居住者から個人情報を収集し、情報を越境移転する日本国外の企業が抱える課題の一つは、当該情報の移転先国で施行されている個人情報保護制度の詳細を、データ主体に説明しなければならないことです。
「コンプライアンス要件を緩和するために、日本の個人情報保護委員会は、多くの国々の個人情報保護制度の概要も公表しました」と座波弁護士は語ります。「しかし、このような個人情報保護委員会の資料は、日本語のものしかないため、社内に日本を拠点とする従業員または弁護士がいる場合を除き、一部の企業では、改正個人情報保護法に基づき個人情報保護方針に盛り込まなければならない情報の詳細の理解に苦労しているようです」
2019年1月に、EUによって日本の個人情報保護法が十分性を充たすと認識されたため、日本企業は、個人情報の受領や、欧州経済領域(EEA)及び英国への個人情報の移転を制限なく行うことができることになった、とモリソン・フォースターの野中弁護士は説明を加えました。しかし、個人情報をこれ以外の外国に移転する場合、若干の例外はあるものの、個人の同意、または第三国の受領組織との間に、データ移転契約(DTA)などのデータ保護スキームを策定することが必要です。
「改正個人情報保護法では、こうした第三者国へのデータ移転に新たな要件を課しています。具体的には、このような移転が同意に基づいて行われる場合、移転元は、関係者からの同意を取得する前に、移転についての詳細な情報を提供することが求められます」と野中弁護士は述べています。
このような詳細情報としては、移転先の国、移転先の国の個人情報保護制度、及び個人データを保護するために移転先が講じている対策などが含まれています。データ移転契約(DTA)に依拠したEU域外の国へのデータ越境移転に関して、移転元は、移転先のデータの取り扱い対策や、取り扱い対策の実施に影響を及ぼす可能性のある移転先の国の個人情報保護に関わる法律の有無や内容を、定期的に確認しなければなりません。
野中弁護士によると、委託先を通じたデータ処理など、企業が日本国外で個人データを処理する場合には、企業は、外国での個人データの保護に関する法律または制度を確認し、適切なセキュリティ管理対策を講じる必要があります。
フィンテックの影響
デジタルバンクや暗号通貨取引所などのフィンテック及びeコマース業界は、特にデータセキュリティの重要性について認識しなければなりません。情報の盗難、紛失、漏えいは、損害賠償金や情報保護法違反の処罰につながる可能性があります。
オメルベニーの座波弁護士は、「情報漏えい事件による被害を軽減するために、データ暗号化などの適切な情報管理を実施し、データ漏えい時のアクションプランを想定することは重要です」と語っています。
座波弁護士は、ウェブサイトのCookieを利用してウェブサイトの閲覧者から情報を収集している企業は、現在GDPRの下では一般慣行となっているように、Cookieの使用及び第三者へ収集した情報を提供する可能性について、データ主体の同意を得るための「ポップアップ画面」を設置するべきであると示唆しています。
しかしながら、ブロックチェーン・システムに含まれる個人情報は請求に応じて消去するということができないため、このような枠組みは難しくなる可能性があります。残念ながら、改正個人情報保護法はこの問題に関して明確な解決策を提示していない、と座波弁護士は言います。
「改正個人情報保護法による仮名加工情報の概念によって、この問題に対処することができるかもしれませんが、これによって別の問題が発生する可能性もあります。というのも、仮名加工情報は、改正個人情報保護法の下では、第三者に提供することができないためです」と座波弁護士は指摘します。「個人情報保護法に違反するリスクを軽減する最善の方法は、ブロックチェーンに個人情報をできるだけ含めないことかもしれません」
デジタルバンクや暗号通貨取引所に関して、金融庁のガイドラインでは、こうした企業は、個人情報保護法、関連する個人情報保護委員会のガイドライン、金融分野における個人情報保護に関するガイドライン、及び安全管理措置等についての実務指針を遵守しなければならないと規定している、とモルガン・ルイス&バッキアスの文永弁護士は述べています。
文永弁護士によれば、個人情報保護法では、個人情報取扱事業者が個人情報を収集し利用することを規制していますが、これは、分散型台帳技術などパブリックブロックチェーンが講じているアプローチとは異なります。
「従って、個人情報保護法を暗号資産交換業者に適用するには、誰が個人情報取扱事業者として扱われるべきか、またはパブリックブロックチェーン・プラットフォームにおける個人データの共有を、個人データの第三者への個人情報の提供と解釈すべきであるかなど、さらなる慎重な検討が必要かもしれません」と文永弁護士は付け加えました。
保護の徹底
モルガン・ルイス&バッキアスの文永弁護士によると、改正個人情報保護法では、データの適正な取り扱いを確保するための登録要件または許認可要件を規定していませんが、総務省、経済産業省、及び一般社団法人日本IT団体連盟(以下、IT連盟)が、信頼性の高い個人データ管理サービスを提供する事業者を情報銀行として認定する枠組みを構築しています。
「このような枠組みの下で、情報銀行は各個人から委任を受け、個人の指示または事前に指定された条件に基づき、個人データを管理し、各個人に代わって第三者に個人データを提供する際の妥当性を判断し、あるいはその判断をサポートします。こうした個人は、データの提供または利用による利益を直接的または間接的に享受している可能性があります」と文永弁護士は述べています。
IT連盟は2018年8月から情報銀行認定事業を開始し、ガイドブックを発行しました。情報銀行として認定された事業者は、各事業者のプライバシー保護や情報の安全管理措置が国際基準を満たしている旨を、個人に示すことができます。
別の方法として、多くの企業が、適切なデータ保護制度を導入していることを示すために「プライバシーマーク」を申請している、と座波弁護士は説明します。プライバシーマーク制度は、一般財団法人日本情報経済社会推進協会が運営しており、各企業の個人情報保護制度を審査した上で、企業にプライバシーマークが付与されます。
座波弁護士によると、個人データの越境移転に関して、個人情報保護委員会は、アジア太平洋経済協力会議(APEC)の越境プライバシールール(CBPR)認証を取得するよう勧めています。しかしながら、2022年1月時点でCBPR認証を取得した日本企業はわずか3社です。
「CBPR認証を取得することは簡単ではありません。企業は、APECのプライバシー・フレームワークに基づく原則についての多くの質問に回答した上で、プライバシー保護やセキュリティシステムを証明する多くの資料を提出しなければならないからです。それに加えて、申請費用や年間の認証管理費も支払わなければなりません」と座波弁護士は述べています。
「しかし、情報の移転元あるいは移転先がCBPR認証を取得していれば、緩和された要件で個人データの越境移転を実施することができます」
さらに、データ漏えいの際に被害を軽減するべく、不要となったデータの削除、適切な仮名加工や匿名加工、データの暗号化を含む、適切なデータ管理について包括的なシステムを実施することを、座波弁護士は提言しています。
個人情報保護委員会のガイドラインによると、暗号技術が、e-Govが推奨する暗号化リストに掲載されている場合、またはISO/IEC18033が採用され、適切に実装されている場合であって、暗号対策が適切に管理されている場合には、高度の暗号化がなされていると認められる可能性が高い、と野中弁護士は述べています。
企業は、暗号化対策に加えて、例えば「ゼロトラストのセキュリティモデル」や「ロールベースのアクセス制御」といった方式の採択、データブラウザのフィルタリング、インストールするアプリの限定、ランサムウェア攻撃に備えたバックアップの保存、ソフトウェアの常時更新による既知の脆弱性へのパッチ適用、アクセス管理機構の追加による適切な仮想プライベート・ネットワークの使用などの対策を実施することが求められる、と野中弁護士は提言しています。
続けて野中弁護士は次のようにも述べています。「また企業は、自社の従業員が、個人データの取り扱いに関して社内規則を確実に遵守し、個人データの取り扱いに関するコンプライアンス研修を定期的に実施する必要があります。
企業は、当然のことながら、自社のベンダーやビジネスパートナーが、サイバー攻撃にさらされる可能性を防止・軽減するために、求められる水準に適合するデータセキュリティ対策を確立し維持しているかどうかを確認する必要があります」