1.個人の権利の在り方
(1)利用停止等の請求範囲が拡大(法第30条関係)
<改正前>
個人情報取扱事業者は、本人から請求があった際には、当該本人が識別される保有個人データが、以下いずれかの場合は原則として、遅滞なく利用停止等又は第三者提供の停止を行う必要があった。
・目的外利用をしていた場合
・不適正な利用をしていた場合
・不正な取得をしていた場合
・本人の同意なく要配慮情報を取得していた場合
・本人の同意なく第三者に提供していた場合
<改正後>
改正後は、以下のいずれかに該当する場合も、原則として、遅滞なく利用停止等又は第三者提供の停止を行う必要があります。
・利用する必要がなくなった場合
・漏洩等の事案が生じた場合
・本人の権利又は正当な利益が害されるおそれがある場合
※「本人の権利又は正当な利益が害されるおそれがある場合」とは、例えば以下のような場合。
・ダイレクトメールの送付を受けた本人が、送付の停止を求める意思を表示したにもかかわらず、個人情報取扱事業者がダイレクトメールを繰り返し送付していることから、本人が利用停止等を請求する場合
・電話勧誘を受けた本人が、電話勧誘の停止を求める意思を表示したにもかかわらず、個人情報取扱事業者が本人に対する電話勧誘を繰り返し行っていることから、本人が利用停止等を請求する場合
・個人情報取扱事業者が、安全管理措置を十分に講じておらず、本人を識別する保有個人データが漏えい等するおそれがあることから、本人が利用停止等を請求する場合
(2)保有個人データの開示方法が指示できるように。(法第28条第1項~第2項関係)
<改正前>
本人が個人情報取扱事業者に保有個人データの開示請求を行う場合、書面の交付による方法で開示してもらう方法しかなかった。
<改正後>
改正後は、本人が個人情報取扱事業者に保有個人データの開示請求を行う場合、書面の交付だけでなく、電磁的記録の提供(電子メール可)による方法も含めて開示方法を指定できることが定められた。
※電磁的記録の提供とは、例えば、CD-ROM等に保存して郵送する、電子メールで送信する、Webサイトからダウンロードしてもらう等のこと。ただし、「多額の費用を要する場合その他の当該方法による開示が困難である場合」は、書面の交付でも良いとされている。
(3)第三者提供の記録を本人が開示請求できるように。(法28条第5項、第1項~第3項関係)
<改正前>
個人情報取扱事業者は、第三者提供の記録(提供年月日、第三者の氏名又は名称等)を作成していなければなりませんでしたが、第三者提供の記録の開示請求については法の定めがなかった。
<改正後>
本人が、個人情報取扱事業者に対して第三者提供の記録を開示請求できることが定められた。
※第三者提供を行う個人情報取扱事業者は、請求時に開示することを前提に第三者提供の記録を作成し保存しておく必要がある。
(4)短期保存データも保有個人データとして開示、利用停止等の対象に。(法第2条第7項関係)
<改正前>
6ヶ月以内に消去する個人データ(更新することは除く)は、「保有個人データ」ではないため、開示や利用停止等の請求対象ではなかった。
<改正後>
6ヶ月以内に消去する個人データも「保有個人データ」に含まれることとなりました。そのため、開示や利用停止等の請求対象となることが定めれた。
※「保有個人データ」とは、「個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの以外のもの」です。
言い換えれば、個人情報取扱事業者が持っている個人データと考えるものです。
これまでは6か月以内に消去する予定の個人データだから利用停止等の請求に応じる義務は無いと判断されていたものが、消去予定の期間に限らず請求に応じる義務が発生することになります。
(5)オプトアウト規定に基づく第三者提供の範囲が小さくなった。(法第23条第2項関係)
<改正前>
要配慮個人情報だけがオプトアウト規定で第三者に提供できなかった。
※オプトアウト規定:本人の求めがあれば事後的に停止することを前提に、提供する個人データの項目等を公表等したうえで、本人の同意なく個人データを提供できる制度のこと。(法第23条第2項)なお、オプト(Opt)は、本来、選ぶという意味。
<改正後>
改正前の制限に加え、不正取得された個人データや、オプトアウト規定により提供された個人データについても、オプトアウト規定で第三者に提供できなくなった。
※本人がオプトアウトすることが困難となる事態(例えば個人情報の利用停止をすることが困難)を防ぐために設けられた定めです。改正法では、オプトアウト規定による第三者提供を行うため個人情報取扱事業者は、新たに以下の事項をあらかじめ本人に通知し、または本人が容易に知り得る状態に置き、個人情報保護委員会に届け出なくてはならなくなった。
・個人情報取扱事業者の氏名又は名称及び住所並びに法人等の代表者の氏名
・第三者提供される個人データの取得方法
・その他個人の権利利益を保護するために必要なものとして個人情報保護委員会規則で定める事項
これまでにオプトアウト手続きによる届け出を済ませた個人情報取扱事業者においても、今回の改正個人情報保護法の経過措置が適用される令和3年(2021年)10月1日から令和4年(2022年)3月31日までの間に、新たに個人情報保護委員会へ届け出ることが必要となります。
なお、上記とは別に、オプトアウト規定による個人データの提供をやめた場合も、その旨を個人情報保護委員会に届け出る必要があります。