お問い合わせ

個人情報保護法改正に伴う政令・規則の4つのポイントを弁護士が解説

はじめに

改正個人情報保護法関係の政令と規則が2021年3月24日に公布されました。
施行日は2022年4月1日の予定ですが、改正個人情報保護法と同様、重要なポイントが盛り込まれた内容になっています。

個人情報取扱事業者は、内容を理解したうえで、施行までに役職員に周知しておくことが必要です。

今回は、個人情報保護法関係の政令・規則について、そのポイントを弁護士がわかりやすく解説します。

1 政令・規則のポイント

政令・規則の主なポイントは、以下の4点です。

  1. 漏えい等の報告と本人への通知
  2. 仮名加工情報の加工基準
  3. 個人関連情報
  4. 越境移転

2 漏えい等の報告と本人への通知

改正個人情報保護法により、個人情報取扱事業者は、取り扱う個人データについて、漏えい等が発生し、「個人の権利利益を害するおそれ」があるときは、個人情報保護委員会へ報告すること、そして、本人へ通知することが新たに義務づけられました。

これに関し、施行・規則は、以下のように定めています。

(1)報告・通知の対象

個人情報保護委員会および本人に報告・通知が必要となるのは、以下のケースです。

  1. 要配慮個人情報が含まれる場合
  2. 財産的被害が発生するおそれがある場合
  3. 故意によるもの(不正アクセスなど)である場合
  4. 1000人を超える個人データの漏えい


いずれにおいても、個人の権利利益を害する蓋然性が認められるため、個人情報保護委員会および本人に報告・通知しなければなりません。

また、本人に通知すべき事項は、以下の事項とされています。

  • 概要
  • 漏えい等が発生した個人データの項目
  • 漏えい等が発生した個人データに係る本人の数
  • 原因
  • 二次被害又はそのおそれの有無及びその内容
  • 本人への対応の実施状況
  • 公表の実施状況
  • 再発防止措置
  • その他参考となる事項

(2)個人情報委員会への報告

個人情報委員会に報告する場合は、「速報」と「確報」の二段階に分けて報告する必要があります。

    【速報】

    上記1~4に係る事態を認識した後、速やかに行うことが必要

    【確報】

    上記1~4に係る事態を認識した後、30日(上記3の場合は60日)以内に行うことが必要

3 仮名加工情報の加工基準

改正個人情報保護法により「仮名加工情報」が新たに創設されました。

仮名加工情報」とは、氏名などを削除するなどして特定の個人を識別できないように加工した情報のことをいいます。

仮名加工情報の創設により、一定の条件を満たしていれば、利用目的変更の制限などが緩和されることになります。

これに関し、施行・規則では、仮名加工情報の加工基準が定められました。
以下の記述については、削除もしくは置換することが求められます。

    【加工基準】

  • 特定の個人を識別できる記述
  • 個人識別符号
  • 財産的被害が生じるおそれのある記述

4 個人関連情報

個人関連情報」とは、個人情報にはあたらないものの、提供先において個人データとなることが想定される情報のことをいいます。

改正個人情報保護法により、事業者が個人関連情報を第三者に提供する場合、本人の同意が得られているかどうかを確認することが義務付けられました。

これに関し、施行・規則は、以下のように定めています。

(1)本人の同意を確認する方法

提供元である個人情報取扱事業者は、個人関連情報の提供先から申告を受けるなどの方法で、本人の同意が得られているかどうかを確認する必要があります。

(2)記録の作成・保存

個人関連情報を第三者に提供した事業者は、提供の都度、以下の事項を記録したうえで、原則3年保存する必要があります。

  • 提供した年月日
  • 提供先の氏名(名称)・住所等
  • 個人関連情報の項目
  • 本人同意を確認した旨

5 越境移転

(1)本人の同意に基づく越境移転

改正個人情報保護法により、個人情報取扱事業者は、外国にある第三者に対し個人データを提供する場合において、本人から同意を得る際には、当該外国における個人情報保護制度や当該第三者が講ずる個人情報保護のための措置など、本人に参考となる情報を本人に提供する必要があります。

ここでいう「本人に参考となる情報」とは、以下の情報を指します。

    【本人に提供すべき参考情報】

  • 当該外国の名称
  • 適切な方法により得られた当該外国における個人情報保護制度に関する情報
  • 当該第三者が講ずる個人情報保護のための措置に関する情報


また、当該外国の名称が特定できない場合には、その旨と理由、そして、それに代わる参考情報を提供する必要があります。

(2)体制整備要件に基づく越境移転

改正個人情報保護法により、体制整備要件(個人データを適正に取り扱うために必要な体制整備)に基づき外国にある第三者へ個人データを提供する事業者には、以下の点が義務付けられることとなりました。

  • 当該第三者による個人データの適正な取り扱いの継続的な確保のための必要な措置
  • 本人の求めに応じた情報提供


移転元である個人情報取扱事業者が講ずべき必要な措置は、以下のとおりです。

    【必要な措置】

  • 当該第三者による個人データの取り扱い状況を定期的に確認すること
  • 当該第三者による個人データの適正な取り扱いに影響を及ぼすおそれのある当該外国の制度の有無等を定期的に確認すること
  • 当該第三者による個人データの適正な取り扱いに支障が生じたときは、必要かつ適切な措置を講ずること


仮に、当該第三者において個人データの適正な取り扱いを確保することが困難となった場合は、個人データの提供を停止しなければなりません。

一方で、本人の求めに応じて提供すべき情報としては、以下のようなものが挙げられます。

  • 当該外国の名称
  • 当該第三者による体制整備の方法
  • 当該第三者が実施する措置の概要
  • 当該第三者による措置の実施に関する支障の有無とその概要

6 まとめ

個人情報取扱事業者は、改正個人情報保護法が施行される2022年4月1日に向けて、計画的に準備を進めていくことが必要です。

準備をスムーズに進めるためにも、まずは大枠である改正個人情報保護法を十分に理解し、そのうえで、改正点に対応する部分を政令・規則で確認していくようにしましょう。

弊所は、ビジネスモデルのブラッシュアップから法規制に関するリーガルチェック、利用規約等の作成等にも対応しております。
弊所サービスの詳細や見積もり等についてご不明点がありましたら、ぜひお気軽にお問い合わせください。

この記事は役に立ちましたか?
もし参考になりましたら、下記のボタンで教えてください。

IT・EC・金融(暗号資産・資金決済・投資業)分野を中心に、スタートアップから中小企業、上場企業までの「社長の懐刀」として、契約・規約整備、事業スキーム設計、当局対応まで一気通貫でサポートしています。 法律とビジネス、データサイエンスの視点を掛け合わせ、現場の意思決定を実務的に支えることを重視しています。 【経歴】 2006年 弁護士登録。複数の法律事務所で、訴訟・紛争案件を中心に企業法務を担当。 2015年~2016年 知的財産権法を専門とする米国ジョージ・ワシントン大学ロースクールに留学し、Intellectual Property Law LL.M. を取得。コンピューター・ソフトウェア産業における知的財産保護・契約法を研究。 2016年~2017年 証券会社の社内弁護士として、当時法制化が始まった仮想通貨交換業(現・暗号資産交換業)の法令遵守等責任者として登録申請業務に従事。 その後、独立し、海外大手企業を含む複数の暗号資産交換業者、金融商品取引業(投資顧問業)、資金決済関連事業者の顧問業務を担当。 2020年8月 トップコート国際法律事務所に参画し、スタートアップから上場企業まで幅広い事業の法律顧問として、IT・EC・フィンテック分野の契約・スキーム設計を手掛ける。 2023年5月 コネクテッドコマース株式会社 取締役CLO就任。EC・小売の現場とマーケティングに関わりながら、生成AIの活用も含めたコンサルティング業務に取り組む。 2025年2月 中小企業診断士試験合格。同年5月、中小企業診断士登録。 2025年9月 一橋大学大学院ソーシャル・データサイエンス研究科(博士前期課程)合格。

関連記事

目次
お問い合わせはこちら
お問い合わせはこちら