令和2年6月5日に国会において可決成立し、同月12日に公布された「個人情報の保護に関する法律等の一部を改正する法律」（以下「令和2年改正法」といいます。）が、令和4年4月1日に全面施行されます。
　平成29年に施行された改正法により5000件要件が撤廃された現在、個人情報データベース等を事業の用に供する全ての事業者が令和2年改正法への対応を迫られますが、現行法がそもそも複雑である上に、令和2年改正法で新たな制度も追加されたことで、その内容は非常に分かりにくいものとなっています。
　本コラムでは、令和2年改正法（ガイドライン¹への対応も含みます。）が企業各社のプライバシーポリシーに与える影響、これによって対応すべき事柄（ただ、全ての対応事項を網羅したものではありません。）について、できるだけ平易な言葉を用いて解説します。²

０　目次

　令和2年改正法及びガイドラインの改正により、プライバシーポリシーの改訂を検討する必要があると想定されるのは、主に以下の項目であると考えられます。
　ア　保有個人データに関する情報提供事項の追加（本コラム２）
　イ　個人情報の利用目的に関する記載の修正（本コラム３）
　ウ　個人データを共同利用している場合における管理責任者の住所と代表者氏名の追加
　エ　個人関連情報の提供に関する同意取得対応
　オ　外国にある第三者に個人データを提供する場合に本人の同意を得る際の情報提供事項の記載の追加

１　はじめに

　そもそも、「プライバシーポリシー」は法律上策定が義務付けられているものではありません。
企業がプライバシーポリシーを策定する目的には様々考えられますが、その第1の目的は、個人情報保護法やガイドライン等により課せられている義務に対応することにあります。
　また、第2の目的として、個人情報保護法の対応とは関係なく、企業の方針を対外的に公表し、これを遵守して企業活動を遂行することで、レピュテーションリスクを低減させ、炎上や利用者から問題視されることを予防することが挙げられます。
　さらに、これらに付随する効果として、策定したプライバシーを自社のホームページ等に掲載することによって、企業において個人情報を取り扱う方が、「顧客たちから見られている」という意識を持つことで、情報を適切に扱う意欲が高まる意味もあるでしょう。
　上記のうち第2の目的は、個人情報保護法の遵守と直接重なるものではないため³、この目的を意識してどこまでプライバシーポリシーで明確にするのかは、概ね各企業の判断にゆだねられています。⁴
　本コラムで解説するのは、上記第1の目的に対応するためのものです。

２　保有個人データに関する情報提供事項

　個人情報保護法は、個人情報取扱事業者が保有個人データに関して、「本人の知り得る状態」に置かなければならない事項（以下「情報提供事項」といいます。）を定めていますが、令和2年改正法では、この情報提供事項が追加されました（法32条1項⁵）。
　変更があったのは、以下の事項です。

• 当該個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名（法32条1項1号。追加されたのは、下線部分）
• 第三者提供記録に関する記録の開示請求に応じる手続（法32条1項3号、33条5項）
• 安全管理措置（法32条1項4号、施行令10条1号、ガイドライン3-8-1）

（１）　住所と代表者の氏名の追加

　令和2年改正により、【個人情報取扱事業者の住所】と【個人情報取扱事業者の代表者の氏名】が情報提供事項に追加されため、これらの情報を「本人の知り得る状態」に置く必要があります。
　例えば、以下の対応を行うことが考えられます（法文上、「本人の知り得る状態」には「本人の求めに応じて遅滞なく回答する場合を含む」とされているため、以下のⅱの方法によって対応することも許容されています。）。

α　プライバシーポリシーに、「住所及び代表者氏名については、会社概要をご参照ください」などと記載して、自社ホームページの会社概要ページにジャンプできるようリンクを設ける方法

β　プライバシーポリシーには掲載せず、問合せ窓口を設け、問合せがあった後、遅滞なく口頭又は文書で回答できる体制を構築する方法（ガイドライン3-8-1）⁶

（２）　第三者提供記録の開示請求の手続の方法

　令和2年改正により、個人データを第三者に提供し、又は第三者から個人データの提供を受ける際の記録の開示請求の手続の方法についても、情報提供事項となりました。既にプライバシーポリシーに、保有個人データに関する本人の権利行使手続を記載している事業者は、上記記録の開示請求の方法についても追記することによって対応することが考えられます。

　なお、第三者提供記録の開示の方法（保有個人データの開示についても同様）については、令和2年改正により、電磁的記録の提供による方法、書面の交付による方法その他当該個人情報取扱事業者が定める方法のうち本人が請求した方法（当該方法による開示に多額の費用を要する場合その他の当該方法による開示が困難である場合にあっては、書面の交付による方法）により開示することが義務付けられました（法32条1項、2項、5項、規則30条）。

　電磁的記録の提供による方法による開示を請求された場合には、個人情報取扱事業者の側がファイル形式や記録媒体などの具体的な方法を定めることができるものとされており、ガイドライン3-8-2においては、以下の方法が例示されています。⁷

• 電磁的記録をCD-ROM等の媒体に保存して、当該媒体を郵送する方法
• 電磁的記録を電子メールに添付して送信する方法
• 会員専用サイト等のウェブサイト上で電磁的記録をダウンロードしてもらう方法

（３）　安全管理措置（外的環境の把握）

　令和2年改正法と併せて改正されたガイドラインにおいて、講ずべき安全管理措置として、従前の組織的安全管理措置、人的安全管理措置、物理的安全管理措置、技術的安全管理措置に加え、「外的環境の把握」が追加されました。
　外的環境の把握とは、「個人情報取扱事業者が、外国において個人データを取り扱う場合、当該外国の個人情報の保護に関する制度等を把握した上で、個人データの安全管理のために必要かつ適切な措置を講じなければならない」というものです（ガイドライン10-7）。つまり、外国において個人データを取り扱う個人情報取扱事業者は、外的環境の把握を含んだ安全管理措置を講じた上で、その措置の内容を、本人の知り得る状態に置く必要があることになります。

ア　対応する必要のある事業者

　まず、どのような事業者が対応を迫られるのでしょうか。Q&A⁸10-22には、以下の3つの場合が例示されています。

• 個人情報取扱事業者が、外国にある支店・営業所に個人データを取り扱わせる場合
  「外国にある支店・営業所に個人データを取り扱わせる場合」とはどのような場合なのかが明確でありませんが、Q&A 10-23において、例えば、外国に居住してテレワークをしている従業者に個人データを取り扱う業務を担当させる場合には、当該従業者の所在する外国の制度等も把握して安全管理措置を講じる必要があるが、他方、外国に出張中の従業者に一時的にのみ個人データを取り扱わせる場合には、必ずしも外国の制度等を把握する必要まではないと考えられるとされています。
• 外国にある第三者に個人データの取扱いを委託する場合
  外国にある第三者に個人データの取扱いを委託する場合、外国において個人データを取り扱う場合に当たるものとされています。
  また、委託先が外国にある第三者に個人データの取扱いを再委託する場合には、再委託先が所在する外国の制度等も把握した上で、安全管理措置を講じる必要があるとされています（Q&A 10-24）。
• 外国にある個人情報取扱事業者が、国内にある者に対する物品又は役務の提供に関連して、国内にある者を本人とする個人データを取り扱う場合

＊　また、Q&Aでは、上記の3つの例示に加え、外国にある第三者の提供するクラウドサービスを利用し、その管理するサーバに個人データを保存する場合にも、外的環境の把握を含んだ安全管理措置を講じ、これを本人が知り得る状態に置く必要があることを示しています（Q&A10-25）。⁹
講ずべき安全管理措置の内容については、同Q&Aをご参照ください。

イ　「外的環境の把握」の内容

　アに当てはまる個人情報取扱事業者は、個人データを取り扱う外国における個人情報の保護に関する制度を把握した安全管理措置を講じることが必要となります。
　外国における個人情報保護に関する制度を把握せよとの要求は過大な負担にも思え、実際に、「個人情報保護法 いわゆる３年ごと見直し 制度改正大綱」に関する意見募集において、個人情報保護委員会又は関連団体において諸外国の個人情報保護制度を調査の上公表すべきであるといった意見が複数寄せられました。これを受けてか、個人情報保護委員会は、令和4年1月24日に、「外国における個人情報の保護に関する制度等の調査について」を公表し、以下の31の国と地域についての一定の情報を掲載しています
（https://www.ppc.go.jp/personalinfo/legal/kaiseihogohou/#gaikoku）。

アメリカ合衆国（連邦、イリノイ州、カリフォルニア州、ニューヨーク州）
アラブ首長国連邦（連邦、ADGM、DHC、DIFC）
インド
インドネシア共和国
ウクライナ
オーストラリア連邦
カナダ
カンボジア王国
シンガポール共和国
スイス連邦
タイ王国
大韓民国
台湾
中華人民共和国
トルコ共和国
ニュージーランド
フィリピン共和国
ブラジル連邦共和国
ベトナム社会主義共和国
香港
マレーシア
ミャンマー連邦共和国
メキシコ合衆国
ラオス人民民主共和国
ロシア連邦

　個人情報保護委員会は、令和３年度内を目途に、イスラエル、カタール、コスタリカ、チュニジア、パナマ、ペルー、南アフリカ、モロッコ、モンゴルについても一定の情報を公表する予定であるとしています。

ウ　外的環境の把握を含んだ情報提供

　上記の外的環境の把握を履践すれば、これを含めた安全管理措置を、本人の知り得る状態に置くことが必要となります。
　ガイドラインでは、「本人の知り得る状態については、本人の求めに応じて遅滞なく回答する場合を含むため、講じた措置の概要や一部をホームページに掲載し、残りを本人の求めに応じて遅滞なく回答を行うといった対応も可能であるが、例えば、『個人情報の保護に関する法律についてのガイドライン（通則編）』に沿って安全管理措置を実施しているといった内容の掲載や回答のみでは適切ではない。」とされています（ガイドライン3-8-1）。

３　個人情報の利用目的の明確化

　個人情報取扱事業者は、個人情報を取り扱うに当たって、その利用目的をできる限り特定しなければならず（法17条1項）、個人情報の取得に当たっては、その利用目的を通知又は公表する必要があります（法21条1項）。
　プライバシーポリシーにおいては、通常、利用目的が記載されていますが、これは同条項を遵守する機能を果たしています。
　事業者にとって、利用目的をどれほど詳しく記載すべきかは悩みどころですが、ガイドラインの改正により、「例えば、本人に関する行動・関心等の情報を分析する場合、個人情報取扱事業者は、どのような取扱いが行われているかを本人が予測・想定できる程度に利用目的を特定しなければならない」との文言が追加されました。
　ガイドラインは、本人から得た情報から、行動・関心等の情報を分析する場合の利用目的の記載例として、以下の2つを挙げています。

◎　取得した閲覧履歴や購買履歴等の情報を分析して、趣味・嗜好に応じた新商品・サービスに関する広告のために利用いたします。

◎　取得した行動履歴等の情報を分析し、信用スコアを算出した上で、当該スコアを第三者へ提供いたします。

　これを受けて、本人から得た情報から行動・関心等の情報を分析することを行っている事業者においては、上記の例のように自らの個人情報がどのように取り扱われることとなるか、利用目的から合理的に予測・想定できるように書き換える必要があります。本人にとって、自らの個人情報がどのように取り扱われることとなるかが、その記載から合理的に予測・想定できないような場合には、法17条1項違反になってしまうため、注意が必要です。

続く