見出し画像

【第三回】こころの専門家は必読!2022年4月からの改正個人情報保護法に対応できてますか?(三浦光太郎:弁護士・Ami代表)連載:メンタルヘルスと法律

1.はじめに

 皆さんはホームページでプライバシーポリシーを公開しているでしょうか?プライバシーポリシーを公開している方であればご存じかもしれませんが、2020年に改正された個人情報保護法(以下「改正個人情報保護法」といいます。)が2022年4月に施行されますので、それに併せて様々な対応が必要になります。今回の記事は、改正個人情報保護法の施行に伴う対応として必要になるプライバシーポリシーの改訂について説明します。

2.プライバシーポリシーって何?

 プライバシーポリシーの改訂について説明する前に、簡単にプライバシーポリシーの説明をします。

(1)定義

 プライバシーポリシーとは、法律上定義はありませんが、一般的に個人情報やプライバシーに関する情報(以下「個人情報等」といいます。)の保護における考え方や方針をまとめたものをいい、「プライバシーポリシー」や「個人情報保護方針」等の様々な呼び方があります。内容については後述しますが、個人情報等の定義や取得方法を定めることが一般的です。

(2)なぜプライバシーポリシーを作るのか?

 もしかしたら驚かれるかもしれませんが、プライバシーポリシーを作成・公開する義務は法律に定められていません。それでは、どうして多くの企業や個人事業主がプライバシーポリシーを作成・公開しているのでしょうか?色々な理由があると思われますが、主に次の2点が理由になると考えています。

①法律上の義務に対応するため

 個人情報保護法上、個人情報を取り扱うほとんどの方は、個人情報を提供した本人に個人情報の利用目的等を伝える義務を負います。そして、個人情報を提供した本人への伝え方としては、プライバシーポリシーの作成・公開以外にも、通知や問い合わせに対応する方法もあります。

 ですが、以下の2つの理由からプライバシーポリシーの作成・公開を行うことが多いように考えられます。

(ⅰ)通知や問い合わせへの対応は対応する側の負担が大きいというデメリットがあること
(ⅱ)通知や問い合わせに対応するためには個人情報の保護手続を事前に整理しておく必要があるので、プライバシーポリシーの作成と同様の準備を行うことが想定されること

②クライエントとの信頼関係を構築するため

 法律上の要請以外の理由としては、個人情報等を法律や行政のガイドライン等に従って適切に取り扱っていることをしっかりと公開して、クライエントとの信頼関係を構築することが考えられます。カウンセリング等において、クライエントとの信頼関係の構築は必須ですので、プライバシーポリシーの作成は心理職にとってはメリットが大きいのではないでしょうか。

3.プライバシーポリシーで定める内容

 次に、本稿の本題であるプライバシーポリシーで定める内容について説明します。

(1)改正個人情報保護法が施行される前(2022年4月以前)

 改正個人情報保護法施行前においてプライバシーポリシーに一般的に定める内容の一例を列挙します(取り扱う個人情報等によって、定めるべき内容は異なりますのでご注意ください)。

 なお、以下に出てくる「個人データ」とは、個人情報を検索できるようにしたデータベースに含まれる個人情報をいいます。また、「保有個人データ」とは、個人データのうち、一定のリスクのあるものを除き、事業者が開示等を行うことのできる個人データをいいます。いずれの定義も正確には改正個人情報保護法第2条の定義を確認してください。

(ⅰ)個人情報等を保護に関する基本方針
(ⅱ)提供を受ける個人情報等の定義
(ⅲ)個人情報の取得方法
(ⅳ)個人情報の利用目的(個人情報保護法第18条等)
(ⅴ)個人データの共同利用(個人情報保護法第23条第5項第3号)
(ⅵ)個人データの第三者提供(個人情報保護法第23条第2項)
(ⅶ)保有個人データに関する個人情報取扱事業者の氏名又は名称(個人情報保護法第27条第1項)
(ⅷ)保有個人データの開示、訂正等の手続き(個人情報保護法第27条)(ⅸ)保有個人データの利用停止等(個人情報保護法第27条)
(ⅹ)保有個人データの取扱いに関する相談や苦情の連絡先(個人情報保護法第27条1項4号、個人情報保護法施行令第8条第2号又は第3号)
(ⅺ)IPアドレス、cookie、SSL、Webビーコン等に関する説明
※1 個人情報保護法の条文が記載されている項目は、法律上の義務として個人情報を提供する本人に伝えるべき又は本人が知ることのできる状態に置くべき事項とされています。
※2 個人情報保護法の条文番号は改正前の条文番号となりますのでご注意ください。

 また、上記に加えて、プライバシーポリシーの変更手続きを定めることもあります。

(2)改正個人情報保護法が施行された後(2022年4月以降)

 次に、改正個人情報保護法施行後に上記で示したプライバシーポリシーで公表する事項に追加・修正する内容を説明します。ただし、保有・取得する個人情報又はその取扱い方によって追加・修正する内容が異なる場合がありますので、ご注意ください。

 追加・修正を検討すべき項目は次のとおりになります。

☑(ⅰ)個人情報の利用目的(改正個人情報保護法第17条)
☑(ⅱ)保有個人データに関する公表事項(改正個人情報保護法第32条等)
☑(ⅲ)個人データの共同利用時の公表事項(改正個人情報保護法第27条第5項)
☑(ⅳ)仮名加工情報を利用する場合、仮名加工情報に関する公表事項(改正個人情報保護法第41条及び第42条)
☑(ⅴ)個人関連情報に関する同意取得に関する情報提供をプライバシーポリシー内で行う場合のプライバシーポリシーの内容(改正個人情報保護法第31条)
☑(ⅵ)外国にある第三者への個人データ提供を同意に基づいて行う場合の同意取得に関する情報提供をプライバシーポリシー内で行う場合のプライバシーポリシーの内容(改正個人情報保護法第28条)

 各項目についての詳細は次のとおりです。まずは検討・確認すべき項目を全体的に確認されたい方は、改正事項の列挙部分及び事例紹介部分を読んでいただくことで、概要が把握できますので、ご都合に合わせてお読みください。

(ⅰ)個人情報の利用目的

 個人情報保護法の改正に伴って、個人情報の保護に関する法律についてのガイドライン(通則編)(以下「通則ガイドライン」といいます。)も改正されました。

 通則ガイドラインの改正後は、個人情報が個人情報取扱事業者(例えば心理職等)において、以下の内容を具体的に記載して、個人情報を提供する本人にとって一般的かつ合理的に想定できる程度に個人情報の利用目的が具体的に特定することが望ましいとされています。
 そのため、通則ガイドラインに合った利用目的の修正が必要になります。

☑①どのような事業のために、
☑②どのような目的で個人情報を利用されるのか

 以下、通則ガイドライン3-1-1の事例を紹介します。

【具体的に利用目的を特定している事例】
事例) 事業者が商品の販売に伴い、個人から氏名・メールアドレス等を取得する場合
「○○事業における商品の発送、関連するアフターサービス、新商品・サービスに関する情報のお知らせのために利用いたします。」等の利用目的を明示している場合
【具体的に利用目的を特定していない事例】
事例 1)「事業活動に用いるため」
事例 2)「マーケティング活動に用いるため」

 上記の「具体的に利用目的を特定している事例」は、事業の具体的な内容及び個人情報の具体的な利用方法が明確に書いてあるので、通則ガイドライン上は適当と整理される記載事例になります。一方で、「具体的に利用目的を特定していない事例」は、事業の具体的な内容が書かれていないですし、マーケティング活動として個人情報を具体的に利用する方法が書いていませんので、通則ガイドライン上は不適当と整理される記載事例になります。

(ⅱ)保有個人データに関する公表事項

 個人情報を提供する本人の保護をより強固にするために公表すべき事項として以下の事項について追加されました。一般的にプライバシーポリシーで公表している事項と関連するため、多くの方が追加確認をすべき事項になると考えられます。

☑個人情報取扱事業者の住所
☑個人情報取扱事業者が法人の場合、代表者の氏名
☑個人データを第三者に提供した際の記録の開示手続
☑保有個人データの利用停止等又は第三者への提供の停止の請求に応じる手続
☑保有個人データの安全管理措置(本人が知ることのできる状態にすることで保有個人データの安全管理に支障を及ぼすおそれがあるものを除きます。)

 上記の公表事項の追加に当たって、特に検討を要するのが「保有個人データの安全管理措置」です。改正個人情報保護法施行後では、安全管理措置の公表内容として、「個人情報の保護に関する法律についてのガイドライン(通則編)に沿って安全管理措置を実施している」や「必要かつ適切な安全管理を実施している」等の抽象的な内容では足りません。次のような具体的項目ごとに実際に講じている措置を明らかにすることが必要になります。以下、通則ガイドライン3-8-1(1)の中小規模事業者の場合の事例を紹介します。

(基本方針の策定)
事例)個人データの適正な取扱いの確保のため、「関係法令・ガイドライン等の遵守」、「質問及び苦情処理の窓口」等についての基本方針を策定
(個人データの取扱いに係る規律の整備)
事例)個人データの取得、利用、保存等を行う場合の基本的な取扱方法を整備
(組織的安全管理措置)
事例 1)整備した取扱方法に従って個人データが取り扱われていることを責任者が確認
事例 2)従業者から責任者に対する報告連絡体制を整備
 (人的安全管理措置)
事例 1)個人データの取扱いに関する留意事項について、従業者に定期的な研修を実施
事例 2)個人データについての秘密保持に関する事項を就業規則に記載
 (物理的安全管理措置)
事例 1)個人データを取り扱うことのできる従業者及び本人以外が容易に個人データを閲覧できないような措置を実施
事例 2)個人データを取り扱う機器、電子媒体及び書類等の盗難又は紛失等を防止するための措置を講じるとともに、事業所内の移動を含め、当該機器、電子媒体等を持ち運ぶ場合、容易に個人データが判明しないよう措置を実施
(技術的安全管理措置)
事例 1)個人データを取り扱うことのできる機器及び当該機器を取り扱う従業者を明確化し、個人データへの不要なアクセスを防止
事例 2)個人データを取り扱う機器を外部からの不正アクセス又は不正ソフトウェアから保護する仕組みを導入
(外的環境の把握)
事例)個人データを保管している A 国における個人情報の保護に関する制度を把握した上で安全管理措置を実施

 「保有個人データの安全管理措置」の内容について、特に注意が必要となるのが、「外的環境の把握」です。もし保有個人データ(例えば、クライエントの情報等)の管理をクラウドサービスによって管理し、そのクラウドサービスの事業者が外国の事業である場合やクラウドサーバが外国にある場合には、①外国の名称(事業者の所在する国名及び保有個人データの保存先であるサーバの所在する国名)、②海外の制度等を踏まえた安全管理措置の内容を調査・検討・準備する必要があります。詳細は「個人情報の保護に関する法律についてのガイドライン」に関するQ&A(2017年2月16日(2021年9月10日更新))Q10-25を確認ください。

 なお、上記事例は、あくまで一例ですので、実際には事業の規模及び性質、保有個人データの取扱状況等に応じて記載内容は変わります。例えば、個人データの取扱いを就業規則ではなくて、別の規程で定めている場合には、その規程名を書く等が考えられます。

 また、上記事例に書いてある事項の全てをプライバシーポリシーに書くことは必須ではありません(もちろん書くことも問題ありません)。例えば、一部だけ掲載して残りは本人の求めに応じて遅滞なく回答を行うといった対応も可能です。

(ⅲ)個人データの共同利用時の公表事項

 改正個人情報保護法施行前では、個人データの共同利用時に、以下の一覧のうち「aからeまで」の5項目をプライバシーポリシーに定める等の対応が必要でした。改正個人情報保護法施行後は、以上の5項目に加えて、「f及びg」の2項目の追加が必要になります。

(改正個人情報保護法施行前から必要な項目)
☑(a)共同利用をする旨
☑(b)共同して利用される個人データの項目
☑(c)共同して利用する者の範囲
☑(d)利用する者の利用目的
☑(e)個人データの管理について責任を有する者の氏名又は名称
(改正個人情報保護法施行後の追加2項目)
☑(f)個人データの管理について責任を有する者の住所
☑(g)個人データの管理について責任を有する者が法人の場合は、その代表者の氏名

(ⅳ)仮名加工情報を利用する場合、仮名加工情報に関する公表事項

 プライバシーポリシー等で公表すべき事項の説明の前に簡単に「仮名加工情報」の説明をします。「仮名加工情報」とは、個人情報の一部を削除等して他の情報と照合しない限り特定の個人を特定できないように個人情報を加工して得られる個人に関する情報です(改正個人情報保護法第2条第5項第1号及び第2号)。仮名加工情報は、事業者が自社内でデータの分析等の促進を目的として新しく導入されました。そのため、個人情報に比べて一部の規制が緩和されており、利用しやすい場合があります(反対に規制強化と評価できる側面もあります)。

 それでは本題となる改正個人情報保護法施行後に必要な公表事項については、以下のとおりです。

☑仮名加工情報の利用目的

 仮名加工情報の場合には、利用目的の変更範囲に制限がありませんので(改正個人情報保護法第41条第9項)予め特定した利用目的の範囲外でも自由に内部利用することができます。なお、仮名加工情報は、法令に基づく場合、委託、事業承継、共同利用以外の場合に外部に提供できないので、上記の場合以外に外部に提供することのないように注意してください。また、プライバシーポリシー以外にも様々な対応が必要となりますので、安全管理措置等必要な対応も併せてご確認ください。

(ⅴ)個人関連情報に関する同意取得に関する情報提供をプライバシーポリシー内で行うする場合のプライバシーポリシーの内容

 プライバシーポリシー等で公表すべき事項の説明の前に簡単に個人関連情報について説明します。「個人関連情報」とは、生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいいます。例えば、メールアドレスに結び付いた、ある個人の年・性別・家族構成等をいいます。個人関連情報が規制されるようになったのは、第三者提供の場面です。これは個人関連情報の提供を受けた者が大量の個人関連情報を照合することで提供者の同意なく個人データを取得できてしまうという問題に対応するためです。

 それでは本題となる改正個人情報保護法施行後に必要な公表事項についてですが、個人関連情報を第三者に提供する場合、以下の事項について個人関連情報の提供者が認識できるように公表した上で、第三者に提供することの同意を取得する必要があります。その方法としてプライバシーポリシーを用いて同意を取得する場合にはプライバシーポリシーに以下の項目を記載する必要があります。

☑個人関連情報の提供を受けて個人データとして取得する主体
☑対象となる個人関連情報の項目
☑個人関連情報の提供を受けて個人データとして取得した後の利用目的等

 心理職が個人関連情報を第三者に提供する場合として、勉強会で事例発表をする場合が考えられます。しかし、一般的には事例発表時にクライエントから上記の項目を含めて発表する情報については事前に承諾を得る手続きを取ると思われますので、問題になる場面は少ないものと想定されます。

(ⅵ)外国にいる第三者への個人データ提供時に、同意を根拠とする場合に同意取得に当たっての情報提供をプライバシーポリシー内で行う場合

 改正個人情報保護法施行後は、心理職が外国にいる第三者にクライエントや従業員の情報を提供する場合に、以下の事項を公表する必要があります。

☑個人データの移転先である外国の名称
☑適切かつ合理的な方法により得られた移転先の外国における個人情報の保護に関する制度に関する情報
☑第三者が講ずる個人情報の保護のための措置に関する情報

 心理職が外国にいる第三者に個人情報を提供する機会は一般的に少ないものと思われますので、対応が不要である場合が想定されます。もっとも、個人情報の提供先を確認しないで「うちは大丈夫」とは考えずに、これを機に個人情報の提供先を確認する方が望ましいです。そして、もし外国にいる第三者への個人データ提供を行う場合には、プライバシーポリシーの対応以外にも多くの論点を検討しなければならず相当の準備が必要となりますので、ご注意下さい。

4.プライバシーポリシーの改訂よりも大切なこと

(1)大切な事前準備

 プライバシーポリシーの作成や公開、改訂はもちろん大切ですが、その前に次のような事項について網羅的に整理することがとても大切です。なお、列挙事項以外の事項も整理が必要となる場合がありますのでご注意ください。

☑取得又は保有する個人情報は何か
☑個人情報の利用目的は何か
☑個人データを利用する者が誰か
☑個人データの提供先はどこか
☑個人データの開示や訂正、利用停止の手続はどうするか
☑個人情報の取扱いに関する相談先や苦情の連絡先をどこにするか
☑要配慮個人情報の取扱いがあるか
☑外国にある第三者へ個人データを提供するか
☑個人情報を仮名加工又は匿名加工した上で利用する予定があるか

 この作業は、プライバシーポリシーの作成・公開を含めて、個人情報を保護するために何をするべきかを明確に把握するために必要な作業です。

 もし、この作業を行わずにプライバシーポリシーを作成した場合、カウンセリング等の提供するサービス内容に合った適切な内容にならないことが多いです。また、プライバシーポリシー以外にも個人情報の管理に関する体制やマニュアル、従業員教育等を整えたとしても、形式的なものになってしまいます。

 特に心理職の皆さんが取り扱う情報は、クライエントにとって非常にセンシティブで重要な情報である場合が多いです。そのため、個人情報保護法を遵守するという意味だけでなく、クライエントの信頼関係を損なわずに質の高いカウンセリング等を提供するに当たって、これらの準備は重要になると思われます。

(2)事前準備を実行する際の工夫

 また、上記で列挙した事項を整理する作業は、正直に申し上げて非常に手間がかかる地味な作業となります。作業の性質上、できる限り漏れが生じないように慎重な検討が必要となるだけでなく、直接収益を生み出す作業ではないため、身体的・心理的な負担が大きいものとなります。そこで、可能であれば、複数人で分担して担当したり、弁護士等の外部の専門家の協力を得たりして、負担軽減を図りつつ進めるのが望ましいです。

5.補足:個人情報保護法について調べたいとき

 個人情報保護委員会という機関が個人情報保護法やマイナンバー法等に関する情報を提供しています。ガイドラインやよくある質問集等が用意されていますので、個人情報保護法についての理解を深めることができます。

 また、個人情報の定義等のちょっとした疑問があれば、「PPC質問チャット」というチャットボットで解決する場合もありますので、併せてご利用いただくのもよいかもしれません。なお、2022年4月施行予定の個人情報保護法の改正事項については未対応ですので、ご注意ください。

 改正個人情報保護法については、個人情報保護委員会が主な改正ポイントをまとめた特設ページを作っていますので、本稿を読んでさらに深く知りたいと思われた方は是非ご覧になってください。

6.おわりに

 本記事を最後までお読みいただきありがとうございます。

 本記事では、あと少しで施行される改正個人情報保護法について、プライバシーポリシーという観点から概要を解説しました。心理職の皆さんはホームページをお持ちの方が多くいらっしゃると思われますが、これを機にプライバシーポリシーの対応が十分かどうかをご自身で簡単にご確認できるように、上記にチェック項目を列挙しています(☑部分をご確認ください)。是非一度ご確認されてみてください。

 また、今回の個人情報保護法の改正は多岐にわたり、プライバシーポリシー以外にも様々な部分で大きな影響が生じておりますので、プライバシーポリシーだけ対応すれば、個人情報保護法への対応が十分であるという訳ではございませんので、ご注意ください。

 なお、本記事の内容は私個人の意見であり、所属する法律事務所及び団体の意見を代表するものではないことにご注意ください。

7.参考文献

石井 夏生利、曽我部 真裕、森 亮二編著『個人情報保護法コンメンタール』(勁草書房、2021年)

個人情報保護委員会『個人情報の保護に関する法律についてのガイドライン(通則編)』(2016年11月(2021年10月一部改正))(2022年3月16日最終閲覧)
https://www.ppc.go.jp/files/pdf/211116_guidelines01.pdf

個人情報保護委員会『個人情報の保護に関する法律についてのガイドライン』に関するQ&A(2017年2月16日(2021年9月10日一部改正))(2022年3月16日最終閲覧)https://www.ppc.go.jp/files/pdf/2109_APPI_QA_4ejj3t.pdf

水町雅子著「4月1日施行まで待ったなし改正個人情報保護法の最終チェック」『旬刊 経理情報No.1636』(中央経済社、2022年)

西村あさひ法律事務所 編 太田 洋・石川 智也・河合 優子 編著『個人情報保護法制大全』(商事法務、2020年)

齋藤 義浩、 鈴木 雅人著『改訂版 やさしくわかる! すぐできる! 企業の個人情報対策と規程・書式』(日本法令、2021年)

田中浩之、北山 昇著『令和2年改正個人情報保護法Q&A第2版』(中央経済社、2022年)

執筆者プロフィール

三浦光太郎(みうら・こうたろう)
弁護士(第二東京弁護士会所属)、Ami代表。中央大学法学部卒業、東京大学法科大学院修了。主な取扱業務は、個人情報保護、メンタルヘルス、不動産関連、一般企業法務等。メンタルヘルスケア事業者やカウンセラー向けには、利用規約やプライバシーポリシーの作成、サービス提供に関する法務アドバイス等を提供。
弁護士のメンタルヘルスの課題解決並びに弁護士及び心理職(臨床心理士等)との協働を実現するため、Amiを立ち上げ、公認心理師・臨床心理士・精神保健福祉士とともに、弁護士向けのメンタルケアサービス等を提供している。

▼ Ami公式ホームページ

▼ 一回目と二回目の記事はコチラ!