第8回 法務研究会 実施報告
「デジタル改革関連法案と改正個人情報保護法のクラウドサービスへの影響・課題」

開催日時

令和3年5月12日(水) 15:00〜16:40

主催

ASPICセミナー事務局

講演内容

タイトル

「デジタル改革関連法案と改正個人情報保護法のクラウドサービスへの影響・課題」

講師

ベーカー&マッケンジー法律事務所　弁護士　松本 慶様

講演概要

IoT・AIサービスを展開していくには個人情報に対する配慮がますます重要になってきており、AIクラウドサービスでもシステムに蓄積されるプロファイルには、個人情報が含まれてきますので、どのように対処すべきなのか、どのような配慮をしなければならないのか、など法律的な検討がますます重要になってきています。

2017年に施行された前回の個人情報保護法改正時に施行後3年を目途に見直しをすることとなっており、検討が進められておりましたが、昨年、改正個人情報保護法が成立し、政令や規則が決まり全面施行も令和4年4月1日に決まりました。この「令和2年　改正個人情報保護法」について、最新情報も含めその概要を解説いだきました。また、デジタル庁の設置などを柱としておりますデジタル改革関連法案も5月12日に成立しましたので、その内容も説明いただきました。最後に以上の法改正を前提に、クラウドサービスへの影響・課題について、具体的な質問事項に回答し、議論しました。

質問

以下のような、質問がありました。

（質問1）
医療機関が患者の同意を得て、患者の遺伝子塩基配列情報を取得する後に、検査会社に分析を依頼する場合は個人情報の第三者提供に該当しますか？
また、医療機関が検査会社による分析結果を得てゲノム解析情報となったものを、他のクラウドサービスに転送して個人情報データベース等とする場合、第三者提供に該当しますか？

(質問2)
医療機関が患者から同意を得て検査会社や他社の個人情報出データベース等に格納する場合、「どこの会社に検査依頼するか」、「どこの会社に情報を格納するか」といった会社名まで患者に伝えて了解を得る必要はありますか？
仮名加工情報は第三者提供できない、ということですが、匿名加工情報としての加工基準を満たさないけれども、氏名等は削除したうえで（仮名加工して）提供したいという場合には、個人情報の第三者提供に該当するとして提供すればよいということでしょうか？

(質問3)
個人関連情報について、「提供先での本人同意を提供元で確認」というのは、具体的な運用としては、同意証跡を提供元で取得する、ということになるのでしょうか？あるいは、契約上で提供先に同意取得義務を課せばよいということなのでしょうか？

（質問4）
自社HPのアクセス分析のためにクッキーを取得し、GoogleAnalyticsの解析サービスを利用する場合、クッキー取得の同意や求めらてた場合の利用停止が必要でしょうか？
今回のデジタル改革法案で公的個人認証の電子証明書をスマートホンに搭載できるようになると理解しましたが、スマホでマイナンバーカードの代わりに使用できるようになるということでしょうか？

（質問5）
仮名加工情報は第三者提供ができない、ということですが、「想定事例」における「医薬・製薬分野等における研究」は第三者提供にあたらないでしょうか。

(質問6)
1,000人以下の個人情報漏洩が発生して場合の通知義務的な規定はないのでしょうか？

（その他質問多数）
その場でお答えいただきました。

資料

講演模様

本件問合せ先

一般社団法人　ASP・SaaS・AI・IoT クラウド産業協会
E-mail：seminar@aspicjapan.org
TEL:03-6662-6591 / FAX:03-6662-6347
URL:http://www.aspicjapan.org/
141-0031　東京都品川区西五反田7-3-1 たつみビル2F