【第三回】こころの専門家は必読!2022年4月からの改正個人情報保護法に対応できてますか?(三浦光太郎:弁護士・Ami代表)連載:メンタルヘルスと法律
1.はじめに
皆さんはホームページでプライバシーポリシーを公開しているでしょうか?プライバシーポリシーを公開している方であればご存じかもしれませんが、2020年に改正された個人情報保護法(以下「改正個人情報保護法」といいます。)が2022年4月に施行されますので、それに併せて様々な対応が必要になります。今回の記事は、改正個人情報保護法の施行に伴う対応として必要になるプライバシーポリシーの改訂について説明します。
2.プライバシーポリシーって何?
プライバシーポリシーの改訂について説明する前に、簡単にプライバシーポリシーの説明をします。
(1)定義
プライバシーポリシーとは、法律上定義はありませんが、一般的に個人情報やプライバシーに関する情報(以下「個人情報等」といいます。)の保護における考え方や方針をまとめたものをいい、「プライバシーポリシー」や「個人情報保護方針」等の様々な呼び方があります。内容については後述しますが、個人情報等の定義や取得方法を定めることが一般的です。
(2)なぜプライバシーポリシーを作るのか?
もしかしたら驚かれるかもしれませんが、プライバシーポリシーを作成・公開する義務は法律に定められていません。それでは、どうして多くの企業や個人事業主がプライバシーポリシーを作成・公開しているのでしょうか?色々な理由があると思われますが、主に次の2点が理由になると考えています。
①法律上の義務に対応するため
個人情報保護法上、個人情報を取り扱うほとんどの方は、個人情報を提供した本人に個人情報の利用目的等を伝える義務を負います。そして、個人情報を提供した本人への伝え方としては、プライバシーポリシーの作成・公開以外にも、通知や問い合わせに対応する方法もあります。
ですが、以下の2つの理由からプライバシーポリシーの作成・公開を行うことが多いように考えられます。
(ⅰ)通知や問い合わせへの対応は対応する側の負担が大きいというデメリットがあること
(ⅱ)通知や問い合わせに対応するためには個人情報の保護手続を事前に整理しておく必要があるので、プライバシーポリシーの作成と同様の準備を行うことが想定されること
②クライエントとの信頼関係を構築するため
法律上の要請以外の理由としては、個人情報等を法律や行政のガイドライン等に従って適切に取り扱っていることをしっかりと公開して、クライエントとの信頼関係を構築することが考えられます。カウンセリング等において、クライエントとの信頼関係の構築は必須ですので、プライバシーポリシーの作成は心理職にとってはメリットが大きいのではないでしょうか。
3.プライバシーポリシーで定める内容
次に、本稿の本題であるプライバシーポリシーで定める内容について説明します。
(1)改正個人情報保護法が施行される前(2022年4月以前)
改正個人情報保護法施行前においてプライバシーポリシーに一般的に定める内容の一例を列挙します(取り扱う個人情報等によって、定めるべき内容は異なりますのでご注意ください)。
なお、以下に出てくる「個人データ」とは、個人情報を検索できるようにしたデータベースに含まれる個人情報をいいます。また、「保有個人データ」とは、個人データのうち、一定のリスクのあるものを除き、事業者が開示等を行うことのできる個人データをいいます。いずれの定義も正確には改正個人情報保護法第2条の定義を確認してください。
また、上記に加えて、プライバシーポリシーの変更手続きを定めることもあります。
(2)改正個人情報保護法が施行された後(2022年4月以降)
次に、改正個人情報保護法施行後に上記で示したプライバシーポリシーで公表する事項に追加・修正する内容を説明します。ただし、保有・取得する個人情報又はその取扱い方によって追加・修正する内容が異なる場合がありますので、ご注意ください。
追加・修正を検討すべき項目は次のとおりになります。
各項目についての詳細は次のとおりです。まずは検討・確認すべき項目を全体的に確認されたい方は、改正事項の列挙部分及び事例紹介部分を読んでいただくことで、概要が把握できますので、ご都合に合わせてお読みください。
(ⅰ)個人情報の利用目的
個人情報保護法の改正に伴って、個人情報の保護に関する法律についてのガイドライン(通則編)(以下「通則ガイドライン」といいます。)も改正されました。
通則ガイドラインの改正後は、個人情報が個人情報取扱事業者(例えば心理職等)において、以下の内容を具体的に記載して、個人情報を提供する本人にとって一般的かつ合理的に想定できる程度に個人情報の利用目的が具体的に特定することが望ましいとされています。
そのため、通則ガイドラインに合った利用目的の修正が必要になります。
以下、通則ガイドライン3-1-1の事例を紹介します。
上記の「具体的に利用目的を特定している事例」は、事業の具体的な内容及び個人情報の具体的な利用方法が明確に書いてあるので、通則ガイドライン上は適当と整理される記載事例になります。一方で、「具体的に利用目的を特定していない事例」は、事業の具体的な内容が書かれていないですし、マーケティング活動として個人情報を具体的に利用する方法が書いていませんので、通則ガイドライン上は不適当と整理される記載事例になります。
(ⅱ)保有個人データに関する公表事項
個人情報を提供する本人の保護をより強固にするために公表すべき事項として以下の事項について追加されました。一般的にプライバシーポリシーで公表している事項と関連するため、多くの方が追加確認をすべき事項になると考えられます。
上記の公表事項の追加に当たって、特に検討を要するのが「保有個人データの安全管理措置」です。改正個人情報保護法施行後では、安全管理措置の公表内容として、「個人情報の保護に関する法律についてのガイドライン(通則編)に沿って安全管理措置を実施している」や「必要かつ適切な安全管理を実施している」等の抽象的な内容では足りません。次のような具体的項目ごとに実際に講じている措置を明らかにすることが必要になります。以下、通則ガイドライン3-8-1(1)の中小規模事業者の場合の事例を紹介します。
「保有個人データの安全管理措置」の内容について、特に注意が必要となるのが、「外的環境の把握」です。もし保有個人データ(例えば、クライエントの情報等)の管理をクラウドサービスによって管理し、そのクラウドサービスの事業者が外国の事業である場合やクラウドサーバが外国にある場合には、①外国の名称(事業者の所在する国名及び保有個人データの保存先であるサーバの所在する国名)、②海外の制度等を踏まえた安全管理措置の内容を調査・検討・準備する必要があります。詳細は「個人情報の保護に関する法律についてのガイドライン」に関するQ&A(2017年2月16日(2021年9月10日更新))Q10-25を確認ください。
なお、上記事例は、あくまで一例ですので、実際には事業の規模及び性質、保有個人データの取扱状況等に応じて記載内容は変わります。例えば、個人データの取扱いを就業規則ではなくて、別の規程で定めている場合には、その規程名を書く等が考えられます。
また、上記事例に書いてある事項の全てをプライバシーポリシーに書くことは必須ではありません(もちろん書くことも問題ありません)。例えば、一部だけ掲載して残りは本人の求めに応じて遅滞なく回答を行うといった対応も可能です。
(ⅲ)個人データの共同利用時の公表事項
改正個人情報保護法施行前では、個人データの共同利用時に、以下の一覧のうち「aからeまで」の5項目をプライバシーポリシーに定める等の対応が必要でした。改正個人情報保護法施行後は、以上の5項目に加えて、「f及びg」の2項目の追加が必要になります。
(ⅳ)仮名加工情報を利用する場合、仮名加工情報に関する公表事項
プライバシーポリシー等で公表すべき事項の説明の前に簡単に「仮名加工情報」の説明をします。「仮名加工情報」とは、個人情報の一部を削除等して他の情報と照合しない限り特定の個人を特定できないように個人情報を加工して得られる個人に関する情報です(改正個人情報保護法第2条第5項第1号及び第2号)。仮名加工情報は、事業者が自社内でデータの分析等の促進を目的として新しく導入されました。そのため、個人情報に比べて一部の規制が緩和されており、利用しやすい場合があります(反対に規制強化と評価できる側面もあります)。
それでは本題となる改正個人情報保護法施行後に必要な公表事項については、以下のとおりです。
仮名加工情報の場合には、利用目的の変更範囲に制限がありませんので(改正個人情報保護法第41条第9項)予め特定した利用目的の範囲外でも自由に内部利用することができます。なお、仮名加工情報は、法令に基づく場合、委託、事業承継、共同利用以外の場合に外部に提供できないので、上記の場合以外に外部に提供することのないように注意してください。また、プライバシーポリシー以外にも様々な対応が必要となりますので、安全管理措置等必要な対応も併せてご確認ください。
(ⅴ)個人関連情報に関する同意取得に関する情報提供をプライバシーポリシー内で行うする場合のプライバシーポリシーの内容
プライバシーポリシー等で公表すべき事項の説明の前に簡単に個人関連情報について説明します。「個人関連情報」とは、生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいいます。例えば、メールアドレスに結び付いた、ある個人の年・性別・家族構成等をいいます。個人関連情報が規制されるようになったのは、第三者提供の場面です。これは個人関連情報の提供を受けた者が大量の個人関連情報を照合することで提供者の同意なく個人データを取得できてしまうという問題に対応するためです。
それでは本題となる改正個人情報保護法施行後に必要な公表事項についてですが、個人関連情報を第三者に提供する場合、以下の事項について個人関連情報の提供者が認識できるように公表した上で、第三者に提供することの同意を取得する必要があります。その方法としてプライバシーポリシーを用いて同意を取得する場合にはプライバシーポリシーに以下の項目を記載する必要があります。
心理職が個人関連情報を第三者に提供する場合として、勉強会で事例発表をする場合が考えられます。しかし、一般的には事例発表時にクライエントから上記の項目を含めて発表する情報については事前に承諾を得る手続きを取ると思われますので、問題になる場面は少ないものと想定されます。
(ⅵ)外国にいる第三者への個人データ提供時に、同意を根拠とする場合に同意取得に当たっての情報提供をプライバシーポリシー内で行う場合
改正個人情報保護法施行後は、心理職が外国にいる第三者にクライエントや従業員の情報を提供する場合に、以下の事項を公表する必要があります。
心理職が外国にいる第三者に個人情報を提供する機会は一般的に少ないものと思われますので、対応が不要である場合が想定されます。もっとも、個人情報の提供先を確認しないで「うちは大丈夫」とは考えずに、これを機に個人情報の提供先を確認する方が望ましいです。そして、もし外国にいる第三者への個人データ提供を行う場合には、プライバシーポリシーの対応以外にも多くの論点を検討しなければならず相当の準備が必要となりますので、ご注意下さい。
4.プライバシーポリシーの改訂よりも大切なこと
(1)大切な事前準備
プライバシーポリシーの作成や公開、改訂はもちろん大切ですが、その前に次のような事項について網羅的に整理することがとても大切です。なお、列挙事項以外の事項も整理が必要となる場合がありますのでご注意ください。
この作業は、プライバシーポリシーの作成・公開を含めて、個人情報を保護するために何をするべきかを明確に把握するために必要な作業です。
もし、この作業を行わずにプライバシーポリシーを作成した場合、カウンセリング等の提供するサービス内容に合った適切な内容にならないことが多いです。また、プライバシーポリシー以外にも個人情報の管理に関する体制やマニュアル、従業員教育等を整えたとしても、形式的なものになってしまいます。
特に心理職の皆さんが取り扱う情報は、クライエントにとって非常にセンシティブで重要な情報である場合が多いです。そのため、個人情報保護法を遵守するという意味だけでなく、クライエントの信頼関係を損なわずに質の高いカウンセリング等を提供するに当たって、これらの準備は重要になると思われます。
(2)事前準備を実行する際の工夫
また、上記で列挙した事項を整理する作業は、正直に申し上げて非常に手間がかかる地味な作業となります。作業の性質上、できる限り漏れが生じないように慎重な検討が必要となるだけでなく、直接収益を生み出す作業ではないため、身体的・心理的な負担が大きいものとなります。そこで、可能であれば、複数人で分担して担当したり、弁護士等の外部の専門家の協力を得たりして、負担軽減を図りつつ進めるのが望ましいです。
5.補足:個人情報保護法について調べたいとき
個人情報保護委員会という機関が個人情報保護法やマイナンバー法等に関する情報を提供しています。ガイドラインやよくある質問集等が用意されていますので、個人情報保護法についての理解を深めることができます。
また、個人情報の定義等のちょっとした疑問があれば、「PPC質問チャット」というチャットボットで解決する場合もありますので、併せてご利用いただくのもよいかもしれません。なお、2022年4月施行予定の個人情報保護法の改正事項については未対応ですので、ご注意ください。
改正個人情報保護法については、個人情報保護委員会が主な改正ポイントをまとめた特設ページを作っていますので、本稿を読んでさらに深く知りたいと思われた方は是非ご覧になってください。
6.おわりに
本記事を最後までお読みいただきありがとうございます。
本記事では、あと少しで施行される改正個人情報保護法について、プライバシーポリシーという観点から概要を解説しました。心理職の皆さんはホームページをお持ちの方が多くいらっしゃると思われますが、これを機にプライバシーポリシーの対応が十分かどうかをご自身で簡単にご確認できるように、上記にチェック項目を列挙しています(☑部分をご確認ください)。是非一度ご確認されてみてください。
また、今回の個人情報保護法の改正は多岐にわたり、プライバシーポリシー以外にも様々な部分で大きな影響が生じておりますので、プライバシーポリシーだけ対応すれば、個人情報保護法への対応が十分であるという訳ではございませんので、ご注意ください。
なお、本記事の内容は私個人の意見であり、所属する法律事務所及び団体の意見を代表するものではないことにご注意ください。
7.参考文献
執筆者プロフィール
▼ Ami公式ホームページ
▼ 一回目と二回目の記事はコチラ!