個人情報保護委員会は2019年11月29日、個人情報保護法の次期改正に向けて制度改正大綱の骨子を公表した。同委員会は年内に次期法改正の大綱をまとめてパブリックコメント(意見募集)を実施する。2020年1月からの通常国会に改正法案を提出する方針だ。

 骨子は個人情報に対する個人の権利や、企業などの責務を拡充する項目を盛り込んだ。新たに個人の権利として、企業に自らの個人データの利用停止や第三者提供の停止を請求できるようにする。また、企業などが保有する個人データについて開示を求める際に、本人がデジタルデータによる開示を指示できるようにする。

 さらに、企業が6カ月以内に消去する「短期保存データ」も本人からの開示や削除請求などの対象にする。企業などが本人に個人データのオプトアウト(利用停止)の手段を提供することで第三者に提供できる個人データの範囲を限定する。個人データの提供や受領の記録についても本人が開示請求できるようにする。

 個人情報の漏洩が起きた場合は企業に報告を義務化する。一定数以上の個人データや要配慮個人情報などが漏洩した場合は、同委員会への報告と本人への通知を義務付ける。また、本人の同意があっても反社会的勢力などに個人情報を提供するといった不適正な個人情報の利用はしてはならないと明確化する。

 Webブラウザーのクッキー(cookie)などを利用してデータを提供した相手先企業がデータを蓄積して個人情報を扱う場合は、本人の同意などを求める。また、同委員会が外国の事業者に対して報告を求めることや命令ができるようにする。命令に従わなかった場合は公表する。海外に個人データを移転する場合は移転先国など本人への情報提供の充実などを求める。

 一方、企業などに個人データの活用を促進する項目も入れた。新たな個人情報の類型として「仮名化情報」を導入する。仮名化情報は、他の情報と照合しなければ特定の個人を識別することができないように加工した個人情報の類型となる。本人を識別せずに事業者内の分析に限定して、利用目的の公表などを前提に、開示や利用停止などの請求への対応の義務規定などは緩和する。また、課徴金の導入など新たなペナルティーは次期改正に盛り込むのを見送った。

 同委員会は法改正と並行して、企業が公表しているプライバシーポリシーなどの説明事項について、法に基づく公表事項(政令事項)に追加する。さらに、利用目的や第三者提供の制限の例外となる公益目的による個人情報の利用についてはガイドラインやQ&Aに具体的事例を追加する。