Nobody's 法務

略称は「ノバ法」。知財、個人情報、プライバシー、セキュリティあたりを趣味程度に勉強している企業ホーマーのまとまりのない日記。あくまで個人的な見解であり、正確性等の保証はできませんので予めご了承くださいませ。なお、本ブログはGoogle Analysticsを利用しています。

【ウェビナーメモ】令和2年改正個人情報保護法について

経営法友会の令和2年改正個人情報保護法のウェビナーを視聴していて個人的に勉強になった点を以下メモしておきます。

 

※令和2年改正の概要をすでに理解している前提でのメモです。(概要を理解していない人はまず関原先生が書いた改正法の解説noteを一読してから読んでください。話はそれからだ。)

※このエントリーは、ウェビナーの内容を聞いたkanekoが自己の解釈で書いたメモです。もしかしたら正確ではない部分(ウェビナーで説明された内容と異なる部分)があるかもしれません。その場合の文責はkanekoにありますので、先に謝っておきます。ごめんなさい。

※メモした内容について、今後公表される委員会規則やガイドラインの内容によっては変更になる可能性があるそうです。

 

 

【個人関連情報の提供規制について】

  • 個人関連情報の第三者提供時における「提供先が個人データとして取得することが想定されるかどうか」の確認義務は、調査義務を課すものではなく、取引環境等の客観的事情に照らし、一般人の認識を基準に想定されるかどうかを判断する。

 

  • 個人関連情報において「委託(23条1号5項)」の概念がないのは、個人関連情報の第三者提供規制は「提供先で個人情報と紐づける前提」だから。

※そもそも個人情報保護法上の「委託(に基づく提供)」には、「提供先で別の個人情報と結びつけること」は想定されていない。

⇒「(委託先で)混ぜるな危険」問題について明確に言及 

 

【仮名加工情報について】

  • 仮名加工情報は加工者が仮名加工情報を作成の意図が必要(匿名加工情報のときと同じ)。したがって、個人情報を加工して(たまたま)仮名加工情報が作成された場合でも、加工者が個人情報として保持し続ける前提であれば、仮名加工情報には該当しない。

 

  •  「個人情報ではない仮名加工情報」としては以下の2点が例として挙げられる。
  1. 仮名加工情報を委託で第三者に提供した場合における、委託先側からみた仮名加工情報の取り扱い(紐づける個人情報がないため)
  2. 元データとなる個人情報を削除した後の仮名加工情報

 

  • 本来は非個人情報化(改正法だと個人関連情報化?)するはずの「個人情報ではない仮名加工情報」に関して規制をかける理由は、「個人情報ではないが、加工の状況を鑑みると個人の権利を害する可能性があるから」

 

【越境移転時の本人への情報提供】

  • 移転先の国の法制度を説明する必要があるが、そのレベル感は「日本の個人情報保護法との本質的な差異等、必要最低限の内容・粒度を想定」とのこと。詳細は規則・ガイドラインにて公表されるが想定される例は下記とのこと。
  1. 「我が国の個人情報保護法と同様の法令が存在するが、○○に関する義務が存在しない点で大きく異なる」
  2. APEC 越境プライバシールール( CBPR )加盟国であり、我が国とほとんど同様の個人情報保護法制が存在する」
  3. 個人情報保護法制が存在するものの、政府による個人データのアクセスについて、特段の制限がみられない」等

 

  • 越境移転の移転先が不明な場合や多数の国に移転する可能性がある場合は、

原則:想定されるすべての国の情報を提供

例外:本人同意時に、提供先の国が不明かつ想定困難な場合のみ、その旨&理由を説明すればOK(の予定)