fbpx

2022年4月施行個人情報保護法改正とは?改正のポイントを解説!

2022年4月に改正個人情報法法が施行されます。

実は個人情報保護法、3年ごとに見直しが入るってご存知ですか?

目まぐるしく発達するIT技術や社会情勢。

データとして扱われる個人情報の重要性も変化しています。

そうした変化に対応するため、2015年に改正された個人情報保護法で、3年ごとに制度の見直しを行うことになりました。

今回の見直しでは、法人に対するペナルティの厳罰化や、個人情報漏えい時の報告・通知義務などが追加されています。

今回の記事では2022年4月に施行される改正個人情報保護法の改正のポイントをわかりやすく解説しますので、企業のプライバシーポリシー等に反映させる際などにお役立てください。

個人情報保護とは

正式名称は、「個人情報の保護に関する法律」。

個人情報の保護に関する法律 | e-Gov法令検索

個人情報を取り扱う全ての事業者に対して、適切な取り扱いについて定めた法律です。

実は個人情報を保護しなければいけないという機運は意外と古くからありました。

まだインターネットが世の中に普及する以前の1980年にはOECDから個人情報保護法8原則が打ち出されています。

国際的にも個人情報保護の必要性が高まり2003年に日本でも個人情報保護法が成立しました。

2003年の成立以来、たびたび個人情報保護法は改正されています。

2015年には「いわゆる3年ごと見直し」に関する規定が附則として設けられました。

今回の改正の日程

2020年6月、「個人情報の保護に関する法律等の一部を改正する法律」公布。

この改正法の施行期日は、「罰則に関する規定を除き令和4年(2022年)4月1日」。

今回ご紹介している改正個人情報保護法は上記日程で行われます。

改正の背景

見直しに関する規定が設けられた背景には、変化する時代に合わせて個人情報やプライバシーなど個人の権利を守ることの重要性が変化すること、またデータを活用するのが当たり前の時代に合わせて、個人情報を有効的に活用していける環境をつくるため、それぞれのバランスを取るためとされています。

IT技術の発達や社会情勢の変化に伴って、個人情報の扱いも柔軟に対応していかなければいけません。

そこで現在では個人情報保護委員会は、3年ごとに個人情報保護法の見直しを進めてきました。

今回の改正は、3年ごと見直しの過程で、得られた共通の視点を反映したものになっています。

個人情報保護法改正の「5つの視点」

2019年に個人情報保護委員会が公表した制度改正大綱において、今回の見直しに当たっての共通の視点として以下の5つが挙げられています。

1. 個人の権利権益の保護

情報を提供する個人の、自らの情報の取扱いに対する関心や、関与への期待が高まっており、個人情報保護法第1条の目的に掲げている「個人の権利利益を保護」するために必要十分な措置を整備することに配意しながら制度を見直す必要がある。

個人情報保護法 いわゆる3年ごと見直し 制度改正大綱 出典:個人情報保護委員会

2. 保護と利用のバランス

平成27年改正法で特に重視された保護と利用のバランスをとることの必要性は、引き続き重要であり、個人情報や個人に関連する情報を巡る技術革新の成果が、経済成長等と個人の権利利益の保護との両面で行き渡るような制度を目指すことが重要である。

個人情報保護法 いわゆる3年ごと見直し 制度改正大綱 出典:個人情報保護委員会

3. 国際的な制度調和や連携

デジタル化された個人情報を用いる多様な利活用が、グローバルに展開されており、国際的な制度調和や連携に配意しながら制度を見直す必要がある。

個人情報保護法 いわゆる3年ごと見直し 制度改正大綱 出典:個人情報保護委員会

4. 海外事業者によるサービスの利用・国境を越えて個人情報を扱うビジネスの増大

海外事業者によるサービスの利用や、国境を越えて個人情報を扱うビジネスの増大により、個人が直面するリスクも変化しており、これに対応する必要がある。

個人情報保護法 いわゆる3年ごと見直し 制度改正大綱 出典:個人情報保護委員会

5. AI・ビッグデータ時代への対応

AI・ビッグデータ時代を迎え、個人情報の活用が一層多岐にわたる中、本人があらかじめ自身の個人情報の取扱いを網羅的に把握することが困難になりつつある。このような環境の下で、事業者が個人情報を取り扱う際に、本人の権利利益との関係で説明責任を果たしつつ、本人の予測可能な範囲内で適正な利用がなされるよう、環境を整備していくことが重要である。

個人情報保護法 いわゆる3年ごと見直し 制度改正大綱 出典:個人情報保護委員会

個人情報保護法で改正される6つのポイント

今回の改正のポイントとして、以下の6つが挙げられます。

本人の請求権の拡大

短期保有データの保有個人データ化

旧法では、6か月以内に消去されるデータは、「保有個人データ」に含まれないとされていました。

しかし、短期間で消去される予定のデータであっても漏洩などによって拡散すれば、被害が生じます。

今回の改正では、旧個人情報保護法2条7項の「又は一年以内の政令で定める期間以内に消去することとなるもの」という文言が削除されることになりました。

これにより、 6か月以内に消去されるデータも「保有個人データ」に含まれることになりました。

保有個人データの開示請求のデジタル化

旧法でも、本人は個人情報取扱事業者に対して、保有個人データの開示を請求することができましたが、開示は書面による交付が原則とされていました(同法28条2項、同法施行令9条)。

データ量が増えていることや、動画や音声データを扱う場面も増えていることから、これに対応できるように、電磁的記録の提供による方法など、「本人の指定する方法による開示」を請求することができることになりました(個人情報保護法28条1項)。

利用停止・消去請求権、第三者への提供禁止請求権の要件緩和

今回の改正で、本人が、保有個人データの利用停止・消去・第三者への提供の停止を請求できる要件を緩和されました。

もともと旧法では下記の場合が要件でした。

保有個人データの利用停止・消去を請求できる場合(旧個人情報保護法30条1項)
・個人情報を目的外利用したとき(同法16条違反のとき)
・不正の手段により取得したとき(同法17条違反のとき)

第三者の提供の停止を請求できる場合(同法30条3項)。

  • 本人の同意なく第三者に提供した場合(同法23条1項違反のとき)
  • 本人の同意なく外国にある第三者に提供した場合(同法24条違反のとき)

改正後は、次のような場合でも、利用停止・消去・第三者提供の停止を請求できるようになりました(個人情報保護法30条5項)。

  • 個人情報取扱事業者が、保有個人データを利用する必要がなくなったとき
  • 保有個人データの漏えい等が生じたとき
  • その他、保有個人データの取扱いにより、本人の権利又は正当な利益が害されるおそれがあるとき

個人データの授受についての第三者提供記録の開示請求権

旧法では、第三者提供記録の開示請求ができませんでしたが今回の改正で開示を請求できるようになりました。

これにより、不正取得された個人情報が流通してしまうことを防いだり、流通の経路をトレース可能にしています。

事業者の責務の追加

漏えい時の報告義務

旧法では、漏洩等が発生した場合、「個人情報保護委員会」に報告する法的義務はありませんでしたが、今回の改正で、事業者の責務として、個人データの漏えい等の発生時における、「個人情報保護委員会」に対する報告義務が新たに追加されました(個人情報保護法22条の2)。 

不適正な利用の禁止

旧法では、個人情報の不適正な利用の禁止、明文で禁止されていませんでしたが、今回の改正では、個人情報取扱事業者に対して、個人情報の不適正な利用の禁止が定められました(個人情報保護法16条の2)。

これまで個人情報保護法の目的である個人の権利利益の保護に照らして、適切でない方法で個人情報が利用されている事例が存在したためです。

企業の個人情報保護に関する自主的な取り組みの推進

これまでも認定個人情報保護団体という制度がありました。

個人情報の取扱いに関する苦情の処理や事業者への個人情報の適正な取り扱いに関する情報の提供、などを行う法人などの団体のことをいいます。

これまでは、対象事業者の全ての分野における個人情報等の取扱いを対象とする団体でした。

改正法では、認定個人情報保護団体は特定の部門のみを対象とすることができるようになりました。

これによって、各企業が顧客の個人情報保護に自主的に取り組むようなることが期待されます。

データの利活用の促進

仮名加工情報について義務を緩和

「仮名加工情報」とは「他の情報と照合しない限り、特定の個人を識別することができないように個人情報を加工して得た個人に関する情報」のことを言います。

旧法では、「仮名加工情報」も下記の対応をしなければなりませんでした。
・利用目的を特定(個人情報保護法15条)
・目的外利用の禁止(同法16条)
・取得時の利用目的の公表(同法18条)
・データ内容の正確性の確保(同法19条)

個人を特定できないように変換した情報は、個人の権利利益の侵害のおそれは低いにもかかわらず、通常の個人情報と同様に取り扱わなければならないことについて疑問が生じていました。

そこで、データの利活用を促進する観点から、「仮名加工情報」制度が新設されました。「仮名加工情報」は、通常の個人情報比べて、事業者の義務が緩和されることとなりました。

「仮名加工情報」に関しては、漏えい等の報告義務)や、開示請求、利用停止等の適用対象外となります(同法35条の2第9項)。

提供先で個人データとなることが想定される場合の確認義務を新設

Cookieなどのような取得したときは個人を特定できるデータではないものの、提供先で加工されれば個人データとなることあります。

これを「個人関連情報」をいいます。

今回の改正により、このような「個人関連情報」は、提供元が提供先に、本人の同意が得られているか等の確認義務を負うことになりました。

改正の背景に「リクナビ問題」などがあります。

提供元であるリクルートキャリアは、特定の個人を識別しないとうたいながら、内定辞退率を算出し、提供先である利用企業においては特定の個人を識別できる情報を第三者提供に係る同意を得ずに販売していました。

違反した際の罰則の強化

措置命令・報告義務違反の罰則について法定刑の引き上げ

今回の改正で、措置命令・報告義務違反の罰則について法定刑が引き上げられました。

具体的には、

  • 措置命令に違反した個人に対しては「1年以下の懲役もしくは100万円以下の罰金」
  • 報告義務違反に対しては「50万円以下の罰金」
  • 法人には、措置命令に対する違反の罰則が「1億円以下の罰金」、個人情報データベース等の不正流用に対する罰則も「1億円以下の罰金」

となっています。

外国企業に対する適用の拡充

今回の改正により外国の事業者も、罰則によって担保された報告徴収・命令および立入検査などの対象となります。

旧法では、外国の事業者に対しては個人情報保護委員会の行使できる権限は指導や助言、勧告のような強制力を伴わないものに限られていました。

今回の改正により、外国の事業者の不適切な取扱いに対して、より厳しくなったといえます。

また、個人情報取扱事業者が外国にある第三者に個人データを提供する場合は、情報を移転する先の個人情報の取扱いに関する制度等について本人への情報提供義務などが新たに設けられています。

まとめ

いかがでしたか?今回は改正個人情報保護法について解説しました。

大きく変わった個人情報保護法は、中小企業といえど、業務や社内規定の見直しに影響をあたえると思います。

今一度、自社に対してどのような影響があるか整理して、今後のプライバシーポリシー等の策定にお役立てください。

お問い合わせ

ブログの内容や会社のITのことでお困りごとがあればお気軽にお問い合わせください

PAGE TOP