個人情報の保護に関する法律 (APPI)
個人情報の保護に関する法律 (APPI) は日本の個人データを扱う主要な法律です。
APPI は、個人情報を扱うすべての事業者 (個人および団体) に適用されます。APPI では、個人情報と個人データ (APPI が個人情報データベースの一部を構成する個人情報として定義する) も区別します。事業者に課される義務は、事業者が個人情報または個人データを取得、利用、または提供するかどうかによって異なります。 欧州委員会 (EU) は、2019 年 1 月 23 日、日本に関する適性を判断し、強力な保護保証に基づき、2 つの経済圏における個人データの自由な移動を許可しました。
2020 年の改正は前回の拡充に引き続き APPI の適用範囲を拡充。
日本居住者の個人データの透明性と安全性に関する企業の義務と、法定刑を負うリスクが拡大。
APPI による個人情報および個人データの定義方法
2017 年の改正以降、APPI に基づく個人情報および個人データの定義は変更されていません。個人情報とは、生存する個人の身元を推定できるあらゆる情報と定義されます。このような情報には、生体認証マーカーと正式な ID 番号が含まれます。EU の一般データ保護規則(GDPR)と同様に、人種、宗教、犯罪歴、病歴などの「機密性の高い個人情報」という特別なカテゴリもあります。2020 年の改正では、個人データには事業者が取得した日から 6 ヵ月以内に削除される予定の個人データも対象に含まれます。これは現行法では除外されています。 2020 年の改正では他のデータと組み合わせた場合にのみ個人を識別できる仮名加工情報という概念が導入される点に留意が重要です。IAPP によると、仮名加工情報は、個人データの開示および使用停止の要件を含む、APPI の該当箇所から除外されています。仮名加工情報は事業者による内部使用に限定されているため、個人の同意またはオプトアウト手順によって第三者と共有することは許可されません。