【2022年4月施行】改正個人情報保護法について、弁護士が解説
2022年4月1日、改正個人情報保護法が施行されます。
従来よりも個人の権利保護が強化されており、事業者側の責務は重くされる内容です。
個人情報を扱う事業者においては、あらたな対応が必要となるケースも多いでしょう。
今回は個人情報保護法の改正にまつわる6つのポイントを、弁護士が解説します。
1.個人情報保護法が改正された理由や背景
個人情報保護法は、個人の情報に関する権利や利益を保護しながらも事業者が適切に個人情報を利用できるよう、個人情報の適正な取扱方法を定める法律です。
当初の施行は2005年ですが、インターネットの普及などの影響で社会の状況は変化し続けています。従来と同じ方法では適切に個人情報を管理できなくなる可能性があるため、個人情報保護法はこれまでにも改正が行われました。
2015年に改正が行われた際、時代の変化に応じて個人情報保護法の規定内容を柔軟に変化させていくため「今後は3年ごとに内容を見直す」という内容の規定が盛り込まれました。
今回の改正内容は、その「3年ごと見直し」の検討において得られた課題や視点を反映したものとなっています。
改正において重視されたのは以下の5つの視点です。
- 個人の権利利益を保護する必要性
- 情報保護と利用のバランス
- 国際潮流との調和
- 外国事業者によるリスクへの対応
- AI・ビッグデータ時代への対応
2.個人情報保護法改正の6つのポイント
上記の5つの視点を受けて、改正個人情報保護法の具体的な規定がもうけられました。
改正ポイントは、以下の6つです。
- 本人の権利保護を強化
- 事業者の責務を追加
- 特定分野の「認定団体制度」を追加
- データの利活用を促進
- 法令違反に対する罰則を強化
- 外国事業者に対する報告徴収・立入検査などが追加
3.個人の権利保護を強化
ネットやアプリ、SNSの利用などによって個人情報が流出するリスクが高まる中、個人の権利保護を強化する必要性が高まっています。
そこで改正法は以下のような方法で、個人の権利保護を強化しました。
- 個人情報の利用停止や消去請求など、本人による請求権の内容を拡充する
- 事業者が保有する個人データの開示方法についてデジタルデータを追加し、本人が開示方法を指示できるようにする
- 第三者提供記録についても、本人が開示請求できるようにする
- 「短期保存データ」についても開示や利用停止請求を可能とする
- オプトアウト規定についての変更。不正取得された個人データやオプトアウト規定で提供された個人データも対象外とする。
たとえば旧法では「6 か月以内に消去されるデータ」を「保有個人データ」から除外していましたが、新法ではこうした「短期保存データ」も「保有個人データ」として保護します。
また本人が情報開示請求をする際、書面だけではなくデジタルデータによる開示請求も認められるようになります。ただし本人が指定する方法による開示が困難な場合、書面による交付も可能とされ、事業者側の便宜にも配慮されています。
4.事業者の責務が追加される
次に、個人情報取扱事業者の責務が追加されます。
- 漏えい時の報告義務
- 不適正な利用を禁止
今回の改正により、個人データが漏えいすると事業者は個人情報保護委員会へ報告しなければなりません。旧法では報告義務がありませんでしたが、諸外国では報告義務が課されるケースも多い中で、日本においても今後は報告を要するものとして事業者の責務が強められました。
また漏えいが起こった場合、本人にも通知しなければなりません。ただし本人への通知が困難で本人保護のための代替措置をとっている場合、本人への通知義務は免除されます。
さらに改正法では、違法行為や不当行為を誘発したり助長したりする可能性のある方法で個人情報を利用することが明文で禁止されました。
5.特定分野の認定団体制度を追加
旧法にも「認定団体制度」がありましたが、改正法ではあらたな枠組みの認定団体制度が追加されます。認定団体制度とは、民間団体を認定して個人情報保護活動を促進するための制度です。
旧法では団体を認定する際、分野や業種を特定していませんでした。
改正法では「特定の事業(種類や業務の範囲など)」に限定した団体を認定できるようになります。
6.データの利活用の促進(仮名加工情報の新設)
個人の利益のためには情報保護が重要ですが、事業活動にとって個人情報の利活用は非常に有用です。そこで改正法では、事業者におけるデータの利活用を促進するための規定もおかれました。
「仮名加工情報」の新設
「仮名加工情報」という概念が新設されました。
仮名加工情報とは、事業者が個人情報に加工をして本人特定できないように変換した情報です。
旧法では、仮名加工した後も事業者が以下のような対応をとる必要がありました。
- 利用目的を特定
- 目的外利用の禁止
- 取得時の利用目的の公表
- データ内容の正確性の確保
ただ、本人特定できない程度に加工されているなら、上記のような取り扱いは不要と考えられるでしょう。
そこで改正法では事業者側のデータの利活用の便宜をふまえて「仮名加工情報」については、事業者の義務が緩和されました。
たとえば仮名加工情報に該当する場合、漏えいの際の報告義務や、開示請求、利用停止などが適用されません。
仮名加工情報となっても個人情報に近い価値があります。詳細に分析を行うことで、医療や研究開発、AIによる機械学習などへの応用も期待されています。
7.法令違反に対するペナルティを強化
改正法では、事業者が法令違反を行った場合のペナルティが強化されます。
重要なポイントは以下の2点です。
- 措置命令・報告義務違反の罰則を引き上げ
- 法人に対する罰金刑を引き上げ
個人情報保護委員会による措置命令に違反した場合、旧法における刑罰は6か月以下の懲役または30万円以下の罰金刑でしたが、改正法では1年以下の懲役または100万円以下の罰金刑に引き上げられます。
虚偽報告等の報告義務違反をした場合、旧法では30万円以下の罰金刑でしたが改正法では50万円以下の罰金刑となります。
法人に対しては、大幅に刑罰が加重されるので注意が必要です。これまでは以下のとおりでした。
- 措置命令違反…30万円以下の罰金
- 個人情報データベース等の不正流用…50万円以下の罰金
- 報告義務違反…30万円以下の罰金
新法では以下のとおり、厳罰化されます。
- 措置命令違反…1億円以下の罰金
- 個人情報データベース等の不正流用…1億円以下の罰金
- 報告義務違反の罰則…50万円の罰金
8.外国の事業者に対する報告徴収・立入検査などが追加される
グローバル化にともない、外国事業者が個人情報を取り扱う例も増えています。
個人情報を保護するには、外国事業者に対する規制を強める必要性が指摘されました。
そこで今回の改正では外国事業者に関する「域外適用」の範囲が変更されています。
これまで日本国内にあっても外国事業者の場合、報告徴収や立入検査の対象外とされていましたが、今後はこれらの対象となります。
主に想定されるのは以下のようなケースです。
- 日本に支店をもつ海外企業が外国の本店で個人情報を利用する場合
- 外国籍のインターネット企業が、日本の消費者の個人情報を取得して営業活動を行う場合
改正法により、海外企業が問題のある個人情報の取り扱い方法をとった場合にも、日本の行政が是正措置を行えるようになります。適切に従わない場合、罰則が適用される可能性もあります。
9.改正個人情報保護法の施行日
改正個人情報保護法は2022年4月1日に施行されます。
10.改正個人情報法保護法を受けて企業に要請される対応
改正個人情報保護法が施行されると、各企業(個人情報取扱事業者)には以下のような対応を要求されるでしょう。
10-1.個人情報漏洩時のフロー見直し
改正法では、個人情報が漏洩したときに個人情報保護委員会と本人へ報告しなければなりません。
多くの企業において、万が一情報が漏れた際の業務フローを見直したり策定したりする必要があるでしょう。
たとえば専門部署を置く、マニュアルを作成する、責任者を置いて報告フローを明確にするなど対応策を確定し、社内に周知して実行できるように準備を整えておく必要があります。
ただし個人データに関して委託を受けた場合や本人への通知が困難で権利保護に必要な措置を取っている場合、報告義務は免除されます。
義務が発生するのは具体的にどういった状況なのか、専門家に相談しながら具体的なフローやマニュアルの作成を進めるのが良いでしょう。
10-2.デジタルデータによる開示請求への対応
今回の改正法で、本人は「個人情報の開示方法を指定」できるようになりました。
従来は書面による開示が原則でしたが、改正法の施行後はデジタルデータよる交付請求が可能となります。
企業側としては、デジタルデータによる開示方法を指定されたときにもスムーズに対応できるように、PDFなどのファイルにして適切に情報開示できるように準備しておく必要があるでしょう。
第三者へ個人情報を提供する際や受領時にも記録開示義務を意識して、情報の受け渡し履歴を記録する体制を構築する必要性も高まります。
法改正が行われると、各企業は改正内容を正しく把握し、適切に対応しなければなりません。
DUONは各企業様へ法的な助言をさせていただくことにより、安全な企業運営を支援しています。茨城県で企業法務に詳しい弁護士をお探しの方は、お気軽にご相談ください。