個人情報保護委員会は、データ三法(個人情報保護法、情報通信網法および信用情報法)の改正後、前回の立法過程において反映されず、不備があったところを是正し、個人情報の保護と活用の均衡を通じた信頼基盤のデータ経済活性化を後押しするため、「個人情報保護法」2次改正を推進し、該当改正法律(案)を2021年1月6日付で立法予告しました。2次改正の主な内容は、(i)個人情報移動権等の新技術環境に応じた情報主体の権利強化事項の導入、(ii)オン・オフラインで区分されている規制の一元化(情報通信サービス提供者等に対して、過去に特例の形で定めていた事項等を一般規定として一元化)、(iii)刑罰中心の制裁を課徴金中心(全体売上高の3%まで引き上げ)に転換、(iv)移動型映像情報処理機器(ドローン、自動運転車等)の運営基準づくり、および(v)国際標準(EU GDPR等)に合う方向への個人情報国外移転制度の改善等です。2次改正は、インターネット企業等の個人情報処理者に対して直接影響を与える内容が多いため、2次改正法律(案)が及ぼす影響についての検討と、積極的な意見の開陳が必要になるものと思われます(意見開陳期間:2021年1月6日~2月16日)。
「個人情報保護法」2次改正は、大きく二つの方向で構成されており、その主な内容は、以下のとおりです。
1. デジタル環境の変化により弱まる虞のある国民の情報主権の強化
- (個人情報伝送要求権の導入) 情報主体が、個人情報処理者に対して、本人の個人情報を本人自身、他の個人情報処理者または個人情報管理専門機関に伝送するよう要求できる権利を導入し、個人情報が、同意や契約により処理されたり、コンピュータ等により自動化された方法により処理される場合、該当権利を行使できるものとしている。(改正案第35条の2)
個別法により分野別に導入されている個人情報移動権を個人情報保護法に定め、情報主体の個人情報統制権の強化と共に、全分野へのマイ・データ(Mydata)拡散効果を図っている。
-
(自動化された意思決定への対応権の導入)データ分析技術の発展により、個人情報に対する自動化処理、これによる個人行動についての予測と評価分析ができることになり、個人に合わせたサービス等のメリットがある一方、特定人に対する烙印、差別等新しいプライバシー・リスクを抱えている点を考慮し、個人の意思に反して自動化された処理に依存した決定に対する個人の基本権侵害を防止するための対応権を導入している。
自動化された意思決定が、情報主体に対して、個別的に、法的効力または生命/身体/精神/財産に重大な影響を及ぼす場合、かかる意思決定に対する拒否、異議申立て、説明等を要求できる権利を新設し、個人情報処理者に対しては、自動化された意思決定の基準と手続きを、事前に情報主体が容易に認識できるよう知らせる義務を課している。(改正案第37条の2)
-
(紛争調整制度の実質化)紛争調整の要請時において、義務的に応じなければならない対象を、公共機関から全ての個人情報処理者まで拡大し、個人情報紛争調整委員会に対し、関係機関等への資料要請、現場立入調査等の事実調査権を与えている。
2. 個人情報規制および制裁の合理化
-
(情報通信サービス提供者等に対する特例規定の整備)情報通信サービス提供者等(i.e.、Google、Facebook、Naver、Kakao等)に対する特例規定を一般規定に転換し、全ての個人情報処理者に対して「同一行為‐同一規制」原則を適用している。(現行法第39条の3ないし第39条の15削除)
(規定の整備)一般規定と類似・重複される特例規定※を削除し、既存の一般規定に統合・整備する一方、オン・オフラインの両方に適用する必要のある特例規定*は削除した後、全分野への適用を拡大するための一般規定を新設している。また、特例規定のうち、国内事業者に対する過度な規制として作用したり、維持する実益のない制度は廃止している
※ 個人情報収集・利用同意、14歳未満の個人情報収集、個人情報流出時における通知・申告、保護措置特例、同意撤回権等
* 損害賠償責任保障制度、海外事業者の国内代理人指定制度、個人情報の利用/提供内訳通知、個人情報国外移転等 -
(刑事罰中心の制裁を経済罰中心に転換)刑事処罰の対象を、「自己または第三者の利益目的」の違反行為として厳格に制限する代わり、過去に情報通信サービス提供者に対して適用されていた課徴金規定の適用対象を個人情報処理者の全体に拡大し、課徴金賦課基準を(違反行為に係る売上高の3%以下から)全体売上高の3%以下に引き上げている。
-
(個人情報侵害に対する調査および制裁機能の強化)個人情報侵害に対する是正命令賦課要件を一部緩和し、関係者の義務履行を確保するための公表命令の法的根拠を設けている。
個人情報取扱者が「業務上知り得た個人情報を私的目的で利用するとき」に処罰する根拠を設け、個人情報処理受託者についても過料・課徴金・刑罰等の制裁対象に含めている。
-
(移動型映像情報処理機器運営基準づくり)現行法は、固定型映像情報処理機器(CCTV)に対してのみ規律しているため、ドローン、自動運転車等の移動型映像情報処理機器の特性に応じた基準を追加で提示している。
公開された場所等において業務目的で移動型映像情報処理機器を利用し、個人映像情報を撮影する行為は、原則的に制限するものの、情報主体個別の同意がある場合や、撮影事実を知らせたにもかかわらず、拒否意思を明らかにしなかった場合等に限り、例外的に許容している。(改正案第25条の2)
-
(個人情報の国外移転方式の多様化および中止命令権の新設)国際標準に符合するよう、適正な個人情報保護水準が保障されている国または企業への情報主体の同意なし個人情報国外移転を許容している(EU GDPR国外移転制度を参照)。(改正案第28条の8)
法に違反して個人情報を国外に移転したり、個人情報を適正に保護していないと判断される場合には、追加移転に対する中止を命令できる命令権を新設している。(改正案第28条の9)
法務法人(有)世宗は、放送情報通信分野における独歩的な専門性と人的ネットワークを擁しており、企業らのための国内外の個人情報保護についての専門的アドバイスをご提供しております。他にも個人情報に関する規制動向の把握および官公庁向けの業務、立法コンサルティング、規制の影響力の分析と企業の戦略づくり等に対するリーガル・アドバイスをご提供しております。より専門的な内容やご質問等がございましたら、下記の連絡先までご連絡ください。より詳細な内容について対応させて頂きます。
※ 法務法人(有)世宗のニュースレターに掲載された内容および意見は、一般的な情報提供の目的で発行されたものであり、ここに記載された内容は、法務法人(有)世宗の公式的な見解や具体的な事案についての法的な意見ではないことをお知らせ致します。
