改正個人情報保護法が閣議決定

「個人情報の保護に関する法律等の一部を改正する法律案」が第221回特別国会に提出されました。本法律案は、個人情報を含むデータの利活用に対する需要が高まっている一方で、個人情報の違法な取扱いにより個人の権利利益が侵害されるリスクも高まっていることを踏まえ、個人情報の有用性に配慮しつつ、その一層の保護を図るため、身体の一部の特徴に係る情報が含まれる個人情報等について違法な取扱い等がなくとも本人による利用停止等の請求を可能とするとともに、個人情報の違法な取扱い等によって財産上の利益を得た場合に個人情報保護委員会が課徴金納付を命ずる制度を設けるほか、統計等の作成を行う第三者に個人情報を提供する場合等について本人の同意を不要とする等の措置を講ずるものです。

１　適正なデータ利活用の推進

個人データ等の第三者提供及び公開されている要配慮個人情報の取得について、統計情報等の作成（統計作成等であると整理できるAI開発等を含む。）にのみ利用される場合は本人同意を不要とする。
目的外利用、要配慮個人情報取得及び第三者提供に関する規制について、
- 取得の状況からみて本人の意思に反しないため本人の権利利益を害しないことが明らかな取扱いである場合は本人同意を不要とする。
- 生命等の保護又は公衆衛生の向上等のために取り扱う場合における同意取得困難性要件を緩和する。
- 学術研究例外の対象である「学術研究機関等」に、医療の提供を目的とする機関または団体が含まれることを明示する。

リスクに適切に対応した規律

16歳未満の者が本人である場合、同意取得や通知等について当該本人の法定代理人を対象とすることを明文化し、当該本人の保有個人データの利用停止等請求の要件を緩和するとともに、未成年者の個人情報等の取扱い等について、本人の最善の利益を優先して考慮すべき旨の責務規定を設ける。
顔特徴データ等について、その取扱いに関する一定の事項の周知を義務化し、利用停止等請求の要件を緩和するとともに、オプトアウト制度に基づく第三者提供を禁止する。
データ処理等の委託を受けた事業者について、委託された個人データ等の適正な取扱いに係る義務の見直しを行う。
漏えい等発生時について、本人の権利利益の保護に欠けるおそれが少ない場合は、本人への通知義務を緩和する。

上記のうち、個人情報取扱事業者等からデータ処理等の委託を受けた事業者に対する規律については、現行規定では、個人データの取扱いを委託する場合は、委託元は、その取扱いを委託された個人データの安全管理が図られるよう、委託先に対する必要かつ適切な監督を行わなければならないところ、改正法では、委託先自らは取扱いの方法を決定しないケースにおける委託先の個人情報取扱事業者等としての義務が免除されることとされました。すなわち、委託契約において、取扱いの方法の全部について合意し、かつ委託先における取扱いの状況を委託元が把握するために必要な措置等について合意した場合は、当該委託先に対しては、法第４章の各義務規定の適用が原則として免除されます。ただし、委託を受けた業務の遂行に必要な範囲を超えて取り扱ってはならない旨の義務および安全管理に係る義務は適用されます。

不適正利用等防止

個人情報ではないが、特定の個人に対する働きかけが可能となる情報について、不適正利用及び不正取得を禁止する。
本人の求めにより提供を停止すること等を条件に同意なく第三者提供を可能とする制度（オプトアウト制度）について、提供先の身元及び利用目的の確認を義務化する。

規律遵守の実効性確保のための規律

速やかに違反行為の是正を求めることができるよう命令の要件を見直し、さらに、本人に対する違反行為に係る事実の通知又は公表等本人の権利利益の保護のために必要な措置をとるよう勧告・命令することも可能とする。
違反行為を補助等する第三者に対して当該違反行為の中止のために必要な措置等をとるよう要請する際の根拠規定を設ける。
個人情報データベース等の不正提供等に係る罰則について加害目的の提供行為も処罰対象とするとともに法定刑を引き上げ、また、詐欺行為等により個人情報を不正に取得する行為に対する罰則を設ける。
経済的誘因のある、大量の個人情報の取扱いによる悪質な違反行為を実効的に抑止するため、重大な違反行為により個人の権利利益が侵害された場合等について、当該違反行為によって得られた財産的利益等に相当する額の課徴金の納付を命ずることとする

改正法が成立した場合、原則として公布の日から起算して２年を超えない範囲内に施行されるものとされています。