2022年4月1日、改正個人情報保護法が施行されます。
個人情報保護法は加速する情報化社会の中で個人の権利や利益を守りながら、事業者へも情報を活用する利便性を確保して社会経済を適正に発展させることを目的とする法律です。

今回の改正内容は時勢の流れに適合し、従来の個人情報の取り扱い方法を「6つのポイント」で変更するものとなっています。以下で具体的な改正事項をご説明します。

個人情報保護法が改正された背景

個人情報保護法が当初に制定されたのは2003年であり（全面施行は2005年）、今から15年以上も前です。2015年にも改正が行われましたが、その後もめまぐるしい勢いで変化する社会情勢に対応するには内容を適宜アップデートしていく必要があると考えられます。

そこで2015年の改正の際に「3年ごと見直し規定」が導入されました。3年ごと見直し規定とは、国際的な動向や情報通信技術の進展状況、個人情報を利用する新産業や発展状況などを踏まえて個人情報の取り扱い制度を3年ごとに見直すという規定です。これを受けて2020年、法改正が行われたのが今回施行される改正法です。

今回の改正では個人の権利や利益を十分に保護しつつも事業者による利用の価値を認め、AIやビッグデータの活用やグローバル化へ対応する内容に変わっています。国際的な潮流とも調和し、外国事業者も規制対象としました。

改正個人情報保護法の施行日

改正個人情報保護法が公布されたのは2020年6月12日、施行日は2022年4月1日と確定しています。ただし「法令違反へのペナルティ強化」についての改正部分は2020年12月12日に施行済みです。

個人情報保護法が改正されたポイント

今回の個人情報保護法が改正されたポイントは、以下の6つです。以下それぞれについてご説明します。

① 本人の権利保護を強化
② 事業者の責務を追加
③ 認定団体制度を拡充
④ データの利活用を促進
⑤ 法令違反へのペナルティを強化
⑥ 外国事業者にも法規制を適用

POINT1　本人の権利保護を強化

改正法により、本人の権利保護が強化されます。

利用停止・消去等の個人の請求権を拡充

これまでの個人情報保護法では、不正取得などの法令違反があった場合に本人が情報の利用停止や消去を求められる内容となっていました。改正法では従来の要件に加えて「個人の権利または正当な利益が害されるおそれがある場合」にも利用停止や消去を求められるようになり、利用停止や消去を求める要件が緩和されています。

改正法で個人情報の利用停止や消去を請求できる要件

• 違法または不当な行為を助長、誘発するおそれがある方法で利用された
• 事業者が保有個人データを利用する必要がなくなった
• 事業者の保有個人データが漏えいしてしまった
• 上記以外でも、保有個人データの取扱いによって本人の権利利益が害されるおそれがある

電磁的記録による提供を認める

これまで事業者が保有する「保有個人データ」の開示方法については「書面による」とされており、PDFなどの電磁的記録による方法は認められていませんでした。改正法によると、本人が電磁的記録による開示を選択した場合にはPDFなどの交付によって個人データの開示ができるようになります。個人の利便性に配慮した改正内容です。

ただし本人の指定した方法に高額な費用がかかる場合など、事業者側に対応困難な事情があれば書面による開示方法も認められます。

第三者提供記録の開示請求

事業者が個人データを第三者へ提供した場合の第三者提供記録についても、本人が開示請求できるようになります。

短期保存データを保護の対象とする

これまでの規定では、6か月以内に消去が予定されている「短期保存データ」については、保有個人データに含まれず、開示や利用停止などの対象になっていませんでした。

改正法では短期保存データについても保有個人データの内容として、本人による開示や利用停止の請求対象に含めます。

第三者へ提供できる個人データの範囲を限定

改正法では「オプトアウト規定」によって事業者が第三者へ提供できる個人データの範囲が限定されます。オプトアウト規定とは、本人の求めにより停止できることを条件として、本人の個別の同意なしに第三者へ個人データを提供できる制度です。また不正取得された個人データについても第三者への提供が認められません。

 

POINT2　事業者の責務を追加

改正個人情報保護法では、事業者側の責務が追加されます。

漏えい時の報告義務

従来の規定では、個人データの漏えいが発生した場合でも事業者には報告義務がありませんでした。
改正法では漏洩が発生して個人の権利利益を害するおそれがある場合、事業者は個人情報委員会へ報告するとともに本人へ通知しなければなりません。

ただしすべての漏えいではなく、一定数以上の個人データの漏えいや一定類型に該当する場合に限定されています。また本人への通知が困難で権利利益保護のための代替措置を実施しているなら本人への通知義務は免除されます。

不適正利用の禁止

事業者が違法または不当な行為を助長するなど、「不適正な方法」によって個人情報を利用してはならない旨が明確化されました。

 

POINT3　認定団体制度を拡充

個人情報を保護するための「認定団体制度」が拡充されます。これまでは「すべての分野に関する団体」にしか認定がおりませんでしたが、今後は「特定事業（種類や業務の範囲など）」の個人情報を取扱う団体も認定対象になります。

 

POINT4　事業者によるデータの利活用を促進

加速するネット化、情報化社会への対応に向けて、事業者によるデータの利活用を促進する規定も設けられました。

「仮名加工情報」を創設

事業者が氏名等を削除して本人特定できなくなった情報を内部分析などに利用する場合には、厳格な個人情報保護の規定を適用する必要性が薄れます。そこで「仮名加工情報」については、開示や利用停止請求などの義務が緩和されます。
仮名加工情報…他の情報と照合しない限り、単独では個人を識別できない情報

本人の同意確認を義務化

事業者が第三者へ情報提供する際、提供元では個人データでなくとも提供先で個人データとなる可能性のあるものがあります。このように個人関連情報が提供先で個人データとなると予想される場合、提供元の事業者は本人の同意を得ているか確認しなければなりません。

 

POINT5　法令違反に対するペナルティを強化

改正法では個人情報保護法に違反した場合のペナルティが強化されます。
具体的には個人情報委員会による措置命令や報告義務違反の法定刑が引き上げられます。

具体的には、措置命令違反について、従来は6か月以下の懲役又は30万円以下の罰金刑でしたが、今後は1年以下の懲役又は100万円以下の罰金刑となります。
虚偽報告が行われた場合、従来は30万円以下の罰金刑でしたが改正法施行後は50万円以下の罰金刑となります。

法人の場合、更に罰則が強化されます。データベース等不正提供罪、委員会による命令違反の罰金について、従来は個人と同額の罰金でしたが、改正法では1億円以下の罰金刑となります。

 

POINT6　外国事業者への規制

従来の法律では、日本国内にあっても外国事業者へは報告徴収や命令が行われていませんでした。委員会が外国事業者へできたのは助言や勧告に限られており、実効性が薄かったのです。そこで改正法では委員会が外国事業者に対しても報告徴収・立入検査などを行えるようにし、違反があれば罰則も適用できるように変更しました。

また外国の第三者へ個人データを提供する際には、提供先事業者から個人情報の取扱いに関して本人へ情報提供するよう求められます。

 

個人情報保護法は個人にとっても事業者にとっても身近で重要な法律です。改正内容を把握して、個人の方は自分の権利や利益を守りましょう。事業者の方は適正に個人情報を取り扱う措置をとるようにしてください。

[democracy id=”191″]