6 月 5 日、日本の個人情報の保護に関する法律である個人情報保護法(APPI)の一部を改正する法律が成立しました。これらの改正は、APPI の「3 年ごと」の見直し方針の一環として国会で可決されましたが、日本の既存の個人情報保護法を微調整するのみの内容ではありません。
全体として、2020 年の改正は前回の拡充に引き続き APPI の適用範囲を拡充するものです。日本居住者の個人データの透明性と安全性に関する企業の義務と、法定刑を負うリスクが拡大されています。
APPI の改正の大部分が正式に施行されるのは 2022 年春以降の予定ですが、この施行日は変更される可能性があります。日本で事業を展開する企業は、今すぐに法律の改正内容を理解して、確実に遵守する必要があります。
日本の個人情報保護法が大幅な改正を必要とする理由
近年、日本では度重なるデータ漏洩による大きな損害に見舞われています。このため、日本政府はデータ保護およびサイバーセキュリティに対する「無干渉」の姿勢を変更しました。新しい改正がどのように解釈および実施されるかを理解するには、これらの経緯を理解ことが非常に重要です。
サイバーセキュリティが不十分な文化
エコノミスト誌によると、日本はサイバーセキュリティに関して「他の先進諸国に遅れをとっている」といいます。日本の中小企業の多くは最低限のセキュリティしか備えておらず、さらに多くの企業は脆弱なレガシー技術を使用しています(エコノミスト誌は、この点を次の驚くべき統計情報で説明しています。「Microsoft が 2020 年 1 月にセキュリティパッチの提供を停止したとき、約 1,400 万人が Windows 7 を未だに使用していました」)。
データ漏洩を発端とした抗議と変化
APPI は 2003 年に初回の制定が行われ、個人情報保護強化の必要のため、数回にわたって改正されました。急速な技術革新や個人情報保護の世界基準などの要素に適応するため、2015 年の改正で 3 年ごとに新しい改正案を検討することが必要となりました。
この法律は 2020 年に改正が予定されていましたが、その改正内容は一連の目立ったデータ漏洩の影響を受けています。例えば、2019 年に日本のユニクロ小売チェーンが 46万人を超える顧客データの漏洩があったことを公表しました。このような事例をきっかけに、APPI の法的処置の強化を求める全国規模の激しい抗議と要求が高まりました。
同時に、別の事例ではその裁判を通じて、APPI 改正の方向性の決定に大きな影響を与えました。ジャパンタイムズによると、教育テクノロジー企業のベネッセでは、子会社の社員が約 2,900 万人の個人データを盗んで売却するというデータ漏洩が発生したと報告しています。ベネッセは、3,500 万件を超える顧客記録が流出したと発表しました。
長期にわたる法廷闘争の後、裁判所は、子会社がデータエクスポートの保護が最新ではないことを認識すべきだったとし、また、ベネッセは適切な監督を行う必要があったと判断しました。データガイダンスによると、両当事者は「影響を受けた個人ごとに、損害賠償として約 3,300 円(約 € 27)に加えて、年間 5 % の遅延課徴金が加算される」とされています。ただし、ベネッセは 2015 年改正(2017 年施行)以前の旧版の APPI で起訴されました。この事例と 2020 年の改正は直接関連するものではありませんが、改正への対応が必要であることは明らかです。
これらの経緯を考えれば、この APPI の改正を不要な官僚主義や現状維持とみなすのは企業として妥当ではありません。むしろ、企業の機密データや占有データをリスクにさらす可能性のある、日本のサイバーセキュリティ文化の深刻な欠点を是正する機会なのです。
APPI 改正における変更点
2020 年の APPI の改正では 2 つの大きな変更が行われています。個人に個人のデータに関してより大きな権利を与える点、および企業の報告義務を増やした点です。
ここでは、APPI の適用範囲について概要を説明します。
APPI の適用範囲
原則として、日本居住者の個人情報を取り扱ういかなる事業者(営利非営利に関係なく)に対して、本社の所在地に関係なく、本法律が適用されます。現行の APPI は、日本居住者のデータを取得して外国で処理する日本以外の事業者に適用されます。ただし、特定の規定により適用対象外、または法的強制力がないと見なされる日本以外の事業者を除きます。報道関係者、職業的作家、学者、宗教団体、政党を対象とする限定的な例外があります。法律のこの箇所は、旧版から大きな変更はありません。
現行版の APPI では、日本政府は日本以外の事業者が関与する案件を日本以外の事業者の規制当局に報告することができます。2020 年の改正ではその法的強制力が拡大され、PPC(個人情報保護委員会)は外国の事業者に文書および報告書の提出を要求し、外国の規制当局とともに施設に立ち入り、実施、および監査をすることが可能です。
APPI による個人情報および個人データの定義方法
2017 年の改正以降、APPI に基づく個人情報および個人データの定義は変更されていません。個人情報とは、生存する個人の身元を推定できるあらゆる情報と定義されます。このような情報には、生体認証マーカーと正式な ID 番号が含まれます。EU の一般データ保護規則(GDPR)と同様に、人種、宗教、犯罪歴、病歴などの「機密性の高い個人情報」という特別なカテゴリもあります。2020 年の改正では、個人データには事業者が取得した日から 6 ヵ月以内に削除される予定の個人データも対象に含まれます。これは現行法では除外されています。
2020 年の改正では他のデータと組み合わせた場合にのみ個人を識別できる仮名加工情報という概念が導入される点に留意が重要です。IAPP によると、仮名加工情報は、個人データの開示および使用停止の要件を含む、APPI の該当箇所から除外されています。仮名加工情報は事業者による内部使用に限定されているため、個人の同意またはオプトアウト手順によって第三者と共有することは許可されません。
規定違反に対する罰則
現行の APPI は違反に対する罰金と罰則を定めていますが、2020 年の改正により重罰化が行われます。改正 APPI では、個人情報保護委員会(PIPC。PPC とも略される)の措置命令に違反した当事者には、1 年以下の懲役刑または 100 万円以下の罰金(当事者が法人の場合は最大 1 億円まで)が科されると規定しています。さらに、2020 年の改正により、命令に違反した事業者の名前を PIPC が公開できるようになりました。
事業者または従業員が違法な営利目的で個人情報を使用した場合、これは違法行為と見なされ、1 年以下の懲役刑または 50 万円以下の罰金(当事者が法人の場合は最大 1 億円まで)を科される可能性があります。
個人は、プライバシーの損失に関連した損害賠償の訴訟を提起することもできます。これにより、事業者に多大な財務的影響が生じる可能性があります。
実際には、PIPC は通常、申し立てに対する初期調査の実施手順に従い、その後に違反を是正するための推奨を行います。PIPC は、このプロセスの後に行動を是正しなかった事業者に対して法的措置を講じることができます。
APPI での個人の新たな権利
2020 年の APPI 改正により、削除または使用停止に関する個人の権利が拡大されます。法律に基づき、データ主体は、個人情報を取り扱う事業者が保持された個人データを使用する必要がなくなった場合や、データの漏洩があった場合、または保持された個人データを取り扱うと主体の権利または正当な利益に悪影響を及ぼす可能性がある場合に、データの消去を要求できるようになります。
被害の可能性がある場合に個人が消去を要求できるようにすることは、以前の規定とは対照的です。以前の規定では、個人データが不正に処理または取得された場合のみ削除が許可されていました。また、APPI の旧版では、6 ヵ月以内に消去される予定のデータは消去の権利から除外されていました。新版では、この 6 ヵ月の例外が削除されています。
“2020 年の改正により、主体には個人データの電子コピーを要求する権利も付与されます。”
Tweet This
APPI に基づく企業の新たな義務
前述のとおり、旧 APPI ガイドラインにはデータ漏洩の報告義務は含まれていませんでしたが、新しい APPI では、企業が特定の「漏洩、損失、または損害」を PPIC に報告する必要があります。その範囲は、今後 APPI の規約で規定されます。ただし、個人にデータが漏洩したことを通知する場合の要件の規定は現時点では明確ではありません。APPI では、この要件は「主体に情報を提供することが困難な場合や、主体の権利と利益を保護するために必要な代替措置が講じられた場合」には適用されないと規定されています。
2020 年の改正には、個人データを第三者に譲渡することについての注意すべき規定も含まれます。第一に、開示当事者が個人を特定するためにデータを使用することはできなくても、データの受領者がそのデータを使用できる場合には、転送に関する規制が拡大されます。
データガイダンスには、「第三者へのオンライン識別子(Cookie など)の提供に同意が必要となるため、この改正はターゲティング広告やその他の広告技術に影響を及ぼす可能性がある。この点において、企業に対する改正の事実上の影響は大きいと思われる」と記載されています。ただし、同ガイダンスには、次のような記述もあります。「GDPR で Cookie の使用について同意を得ることがすでに求められているため、GDPR に準拠した企業にとっては、この要件はそれほど負担の大きいものではありません。
第三者に関するその他の独自の規定は、国境を越えたデータ転送に関するものです」。現行の APPI では、日本国外でデータを共有する企業は、データ主体の同意を得て、第三者およびその国のデータプライバシーシステムに関する情報を共有する必要があります。企業が事前に同意を得ていない場合(例えば、第三者への転送ではない場合など)、データの受領者が APPI と同等のデータ保護基準を規定しているか、または同等の基準を持つ国にあることを確認する必要があります。現時点では、これが適用されている外国は、英国および欧州連合(EU)のみとなっています。
2020 年の改正では、この規制に一部変更が加えられています。この変更により、同意を得る際に個人と共有する必要のある情報の範囲が拡大されています(具体的な詳細はまだ公表されていません)。また、個人データを同等のデータ保護基準を規定している事業者と共有する場合、企業はその保護基準を維持する必要があります。
さらに、改正 APPI では、事業者が法人である場合、個人情報取扱事業者は、住所および代表取締役の氏名を開示することが求められています。また、オプトアウト手続きによる情報提供や、個人情報の共同使用を行う場合には、追加情報を開示する必要があります。
APPI 改正に向けた準備
多数の国際的なデータプライバシー規則と同様に、APPI の規定においても、ベストプラクティスについて具体的な提案はあまり行われていません。ただし、PIPC は、適切なセキュリティ対策に関するガイドラインを発表しています。このガイドラインの多くは GDPR に準拠した企業にとっては既知のものであり、基本的なデータ管理から始まる内容です。
以下のガイドラインは、法律上のアドバイスを目的としたものではありません。個人データの提供に関する具体的な推奨事項については、貴社の顧問弁護士にご確認ください。
データ保護オフィサー(DPO)の任命
これは絶対に厳守すべき事項ではありませんが、PIPC ガイドラインでは、データの漏洩によって被害が生じる可能性のある大企業に対して推奨されています。機密性の高い個人情報を取り扱い、国境を越えたデータ転送を行う国際的な企業の場合は、この推奨事項を要件の 1 つとして検討してください。
DPO は、ガイドラインの進化に合わせてプライバシーポリシーを定期的に確認するなど、コンプライアンスを維持するための適切な対策を講じるのに役立ちます。
レガシーシステムのアップデート
日本では、脆弱なレガシーテクノロジーが普及しているため、社内システムを綿密に調べることが重要です。そうしないと、高額な訴訟につながる可能性があります。例えば、ベネッセの場合、同社の過失は、新しい Android スマートフォンへのデータ転送防止手順を更新していないという事実が過失とみなされました。小さな見落としが、深刻な結果につながります。
また、最新の暗号化規格を活用すれば、企業は法的義務の一部から解放されます。現行のガイドラインでは、漏洩したデータの暗号化が「ハイレベル」であれば、企業は PIPC に漏洩を通知する必要はありません。
アクセス制御を導入する
APPI は、企業が「個人データのセキュリティ管理に必要かつ適切な措置」を講じることを求めています。「必要かつ適切な」セキュリティの基本原則は、個人情報にアクセスできる人の数を制限することです。
高度な従業員 ID およびアクセス管理(IAM)システムを導入すれば、機密データにアクセスするユーザーに権限を割り当てることができます。さらに、変更不可能なアクセス記録が作成されるため、漏洩が発生しても損害を限定できます。
貴社の個人情報データベースにアクセスするために現在必要なユーザー名とパスワードの組み合わせがシンプルなものであれば、優先すべきシステムは従業員の IAM です。
データ保護はプライバシー法の有無にかかわらず必須
日本政府は、最新の APPI 改正案を通過する際に、個人情報の取り扱いについてより厳格な姿勢を取る必要があることを明確にしました。ただし、企業による個人情報の使用を調査したり、適切なセキュリティ対策を講じていることを確認したりするために、国会の承認を得るべきではありません。
望ましいのは、今回の改正により、日本企業、日本国民、さらには日本で事業を展開するすべての人々の成果が向上することです。
IAM への最新のアプローチが企業データの保護とデータ保護法の遵守にどのように役立つかについては、Auth0 のチームまでお問い合わせください。
Auth0(オースゼロ)について
Auth0 の認証プラットフォームは、Okta の独立した製品ユニットであり、認証に対して最新のアプローチをとり、組織があらゆるユーザーに対してあらゆるアプリケーションへの安全なアクセスを提供することを可能にします。Auth0 認証プラットフォームは高度にカスタマイズ可能なプラットフォームで、開発チームが望むだけのシンプルさと、必要に応じた柔軟性を兼ね備えています。毎月何十億ものログイントランザクションを保護する Auth0 は、利便性、プライバシー、セキュリティを提供することで、お客様がイノベーションに集中できるようにします。詳細はhttps://auth0.com/jp/をご確認ください。
About the author
Adam Nunn
Sr. Director of Governance, Risk, and Compliance