お問い合わせ

個人情報保護法改正に伴う政令・規則の4つのポイントを弁護士が解説

2023.03.30

はじめに

改正個人情報保護法関係の政令と規則が2021年3月24日に公布されました。
施行日は2022年4月1日の予定ですが、改正個人情報保護法と同様、重要なポイントが盛り込まれた内容になっています。

個人情報取扱事業者は、内容を理解したうえで、施行までに役職員に周知しておくことが必要です。

今回は、個人情報保護法関係の政令・規則について、そのポイントを弁護士がわかりやすく解説します。

1 政令・規則のポイント

政令・規則の主なポイントは、以下の4点です。

  1. 漏えい等の報告と本人への通知
  2. 仮名加工情報の加工基準
  3. 個人関連情報
  4. 越境移転

2 漏えい等の報告と本人への通知

改正個人情報保護法により、個人情報取扱事業者は、取り扱う個人データについて、漏えい等が発生し、「個人の権利利益を害するおそれ」があるときは、個人情報保護委員会へ報告すること、そして、本人へ通知することが新たに義務づけられました。

これに関し、施行・規則は、以下のように定めています。

(1)報告・通知の対象

個人情報保護委員会および本人に報告・通知が必要となるのは、以下のケースです。

  1. 要配慮個人情報が含まれる場合
  2. 財産的被害が発生するおそれがある場合
  3. 故意によるもの(不正アクセスなど)である場合
  4. 1000人を超える個人データの漏えい


いずれにおいても、個人の権利利益を害する蓋然性が認められるため、個人情報保護委員会および本人に報告・通知しなければなりません。

また、本人に通知すべき事項は、以下の事項とされています。

  • 概要
  • 漏えい等が発生した個人データの項目
  • 漏えい等が発生した個人データに係る本人の数
  • 原因
  • 二次被害又はそのおそれの有無及びその内容
  • 本人への対応の実施状況
  • 公表の実施状況
  • 再発防止措置
  • その他参考となる事項

(2)個人情報委員会への報告

個人情報委員会に報告する場合は、「速報」と「確報」の二段階に分けて報告する必要があります。

    【速報】

    上記1~4に係る事態を認識した後、速やかに行うことが必要

    【確報】

    上記1~4に係る事態を認識した後、30日(上記3の場合は60日)以内に行うことが必要

3 仮名加工情報の加工基準

改正個人情報保護法により「仮名加工情報」が新たに創設されました。

仮名加工情報」とは、氏名などを削除するなどして特定の個人を識別できないように加工した情報のことをいいます。

仮名加工情報の創設により、一定の条件を満たしていれば、利用目的変更の制限などが緩和されることになります。

これに関し、施行・規則では、仮名加工情報の加工基準が定められました。
以下の記述については、削除もしくは置換することが求められます。

    【加工基準】

  • 特定の個人を識別できる記述
  • 個人識別符号
  • 財産的被害が生じるおそれのある記述

4 個人関連情報

個人関連情報」とは、個人情報にはあたらないものの、提供先において個人データとなることが想定される情報のことをいいます。

改正個人情報保護法により、事業者が個人関連情報を第三者に提供する場合、本人の同意が得られているかどうかを確認することが義務付けられました。

これに関し、施行・規則は、以下のように定めています。

(1)本人の同意を確認する方法

提供元である個人情報取扱事業者は、個人関連情報の提供先から申告を受けるなどの方法で、本人の同意が得られているかどうかを確認する必要があります。

(2)記録の作成・保存

個人関連情報を第三者に提供した事業者は、提供の都度、以下の事項を記録したうえで、原則3年保存する必要があります。

  • 提供した年月日
  • 提供先の氏名(名称)・住所等
  • 個人関連情報の項目
  • 本人同意を確認した旨

5 越境移転

(1)本人の同意に基づく越境移転

改正個人情報保護法により、個人情報取扱事業者は、外国にある第三者に対し個人データを提供する場合において、本人から同意を得る際には、当該外国における個人情報保護制度や当該第三者が講ずる個人情報保護のための措置など、本人に参考となる情報を本人に提供する必要があります。

ここでいう「本人に参考となる情報」とは、以下の情報を指します。

    【本人に提供すべき参考情報】

  • 当該外国の名称
  • 適切な方法により得られた当該外国における個人情報保護制度に関する情報
  • 当該第三者が講ずる個人情報保護のための措置に関する情報


また、当該外国の名称が特定できない場合には、その旨と理由、そして、それに代わる参考情報を提供する必要があります。

(2)体制整備要件に基づく越境移転

改正個人情報保護法により、体制整備要件(個人データを適正に取り扱うために必要な体制整備)に基づき外国にある第三者へ個人データを提供する事業者には、以下の点が義務付けられることとなりました。

  • 当該第三者による個人データの適正な取り扱いの継続的な確保のための必要な措置
  • 本人の求めに応じた情報提供


移転元である個人情報取扱事業者が講ずべき必要な措置は、以下のとおりです。

    【必要な措置】

  • 当該第三者による個人データの取り扱い状況を定期的に確認すること
  • 当該第三者による個人データの適正な取り扱いに影響を及ぼすおそれのある当該外国の制度の有無等を定期的に確認すること
  • 当該第三者による個人データの適正な取り扱いに支障が生じたときは、必要かつ適切な措置を講ずること


仮に、当該第三者において個人データの適正な取り扱いを確保することが困難となった場合は、個人データの提供を停止しなければなりません。

一方で、本人の求めに応じて提供すべき情報としては、以下のようなものが挙げられます。

  • 当該外国の名称
  • 当該第三者による体制整備の方法
  • 当該第三者が実施する措置の概要
  • 当該第三者による措置の実施に関する支障の有無とその概要

6 まとめ

個人情報取扱事業者は、改正個人情報保護法が施行される2022年4月1日に向けて、計画的に準備を進めていくことが必要です。

準備をスムーズに進めるためにも、まずは大枠である改正個人情報保護法を十分に理解し、そのうえで、改正点に対応する部分を政令・規則で確認していくようにしましょう。

弊所は、ビジネスモデルのブラッシュアップから法規制に関するリーガルチェック、利用規約等の作成等にも対応しております。
弊所サービスの詳細や見積もり等についてご不明点がありましたら、ぜひお気軽にお問い合わせください。

この記事は役に立ちましたか?
もし参考になりましたら、下記のボタンで教えてください。

弁護士(東京弁護士会)・中小企業診断士 GWU Law LL.M.〔IP〕/一橋大学ソーシャル・データサイエンス研究科(博士前期・2026年~) 金融規制、事業立上げ、KPI×リスク可視化を専門とする実務家×研究者のハイブリッド。

関連記事

目次