ノウハウ 【2022年施行】個人情報保護法の改正!企業が必要な対応は
【2022年施行】個人情報保護法の改正!企業が必要な対応は
個人情報の保護に関する法律(以下「個人情報保護法」という)は、第四章において「個人情報取扱事業者の義務」を定めており、同法は、個人情報を取扱うすべての事業者(個人情報取扱業者(2条5項))に適用されます。
個人の権利利益を保護する重要性(コンプライアンス)はもちろん、同法には罰則規定がありますから、改正内容を含めて必ず把握し、対応する必要があります。
実個人情報保護法は3年ごとに見直される附則(平成二七年九月九日法律第六五号)12条2,3項)と定められています。そのため、個人情報保護法の改正については逐次チェックする必要があります。
実際、2020年に改正案が成立し、2022年4月1日から改正個人情報保護法が施行される運びとなっています。
そこで本記事では、2020年6月に成立・公布され2022年4月1日から全面施行される個人情報保護法について、改正のポイントと企業が必要な対応、罰則について解説します。
個人情報保護法とはどんな法律?
まず、個人情報保護法についておさらいしておきましょう。
個人情報保護法とは、個人の権利・利益の保護と個人情報の有用性のバランスをとるため、国や地方公共団体に加え、民間事業者(個人情報取扱業者)の義務や違反時の罰則等が規定された法律です。
また、個人情報取扱業者の義務が規定されていますので、個人情報を利用される個人を「本人」と定義(個人情報保護法第2条第8項)し、本人が個人情報取扱業者に対して個人情報の利用停止・消去・開示を請求できる権利も規定されています。
個人情報保護法の改正ポイントは?
個人の権利・利益の保護と個人情報の有用性のバランスをとる個人情報保護法ですが、同法改正案(※)が2020年6月に成立・公布されましたので、2022年4月1日から全面施行されます。
公布:2020年6月12日
全面施行日:2022年4月1日
※「個人情報の保護に関する法律等の一部を改正する法律案」
改正個人情報保護法の改正ポイントは以下のとおりです。詳しく確認していきましょう。
分類 | 改正概要 |
個人の権利保護の強化 | 利用停止・消去等の請求権の範囲の拡充 |
保有個人データの開示方法に電磁的記録が追加 | |
第三者提供記録も本人が開示請求可能 | |
短期保存データも開示・利用停止等の対象に追加 | |
オプトアウト規定によるデータ範囲を限定 | |
事業者の責務の追加 | 漏えい等発生時、個人の権利利益侵害のおそれがある場合は委員会の報告と本人通知が義務化 |
違法行為等による個人情報利用の禁止規定(明確化) | |
事業者の自主的取組促進 | 認定団体制度にて企業の特定分野・部門を認定可能 |
データ利活用 | 仮名加工情報の創設 |
提供先で個人データとなることが想定される情報の第三者提供について確認等の義務化 | |
ペナルティ(罰則)の強化 | 法定刑の引き上げ |
法人重科 | |
域外適用・越境移転 | 外国事業者の報告徴収・命令の対象化 |
外国への第三者提供時の本人への情報提供の充実等 |
参照:個人情報保護委員会 個人情報保護法令和2年改正及び令和3年改正案について
個人の権利強化・保護
2022年施行の改正個人情報保護法では、個人の権利強化や保護に関して5項目改正されました。
利用停止・消去等の請求権の要件緩和
当該個人情報によって識別される特定の個人たる「本人」(2条8項)の権利として、利用停止請求権と消去請求権が認められています(30条1項)。改正前は、個人情報の目的外利用(16条)や不正手段(17条)により取得したときに限り、利用停止や消去を事業者に請求することができる、という規定になっていました。つまり、事業者が法令違反した場合に限られていたのです。
今回の改正では、利用停止・消去請求権が認められる範囲が拡充され、具体的には以下の場合に当該請求が認められることとなりました(改正個人情報保護法第30条第5項)。
・保有個人データを利用する必要がなくなった場合
・漏えい・滅失・毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるもの(改正個人情報保護法第22条の2第1項本文)が生じた場合
・その他。本人の権利又は正当な利益が害されるおそれがある場合
保有個人データの開示方法に電磁的記録が追加
本人は、事業者に対して保有個人データの開示を請求できます。
改正前は原則として書面による開示が原則とされていましたが、今回の改正では電磁的記録も含めて開示を請求できることとされました(改正個人情報保護法第28条第1項)。
なお電磁的記録による開示請求は、第三者提供記録にも準用されます(改正個人情報保護法第28条第5項)。
第三者提供記録も本人が開示請求可能
個人情報取扱事業者は、第三者提供時に第三者提供記録を作成する義務があります。
改正前は、本人が第三者提供記録の開示を請求することはできませんでしたが、今回の改正によって第三者提供記録も開示請求が可能となりました。
短期保存データも開示・利用停止等の対象に追加
取得した個人情報について、事業者に修正・削除等の権限があり、6ヶ月を超えて保有するものは保有個人データと呼ばれ(個人情報保護法第2条第6項および同法施行令5条)、本人の開示・利用停止請求の対象となり、事業者は開示義務を負います。
つまり、6ヶ月以内に削除する保有データは、開示・利用停止義務がありませんでした。しかし今回の改正によって、6ヶ月以内の短期保存データも開示・利用停止請求の対象とされます。
したがって、本人から請求があれば、短期保存データも開示したり利用停止したりしなければならなくなります。
オプトアウト規定によるデータ範囲を限定
オプトアウト規定とは、第三者に提供する個人データの項目等の届出を事前に行い、本人の求めがあれば事後的に第三者提供を停止することを要件として、本人の同意を得ずに第三者提供を行える制度です(個人情報保護法第23条第2項)。
オプトアウト規定は、改正前は「要配慮個人情報」のみを例外的に対象外として、オプトアウトによる第三者提供を認めていませんでした。今回の改正によってオプトアウトによる第三者提供ができるデータ範囲がさらに限定されます(改正個人情報保護法第23条第2項)。
具体的には、以下はオプトアウト規定の対象外です。
・要配慮個人情報
・不正取得された個人データ
・オプトアウト規定により提供された個人データ
事業者の責務の強化
2022年に施行される改正個人情報保護法では、個人の権利が強化されることに伴い、事業者の義務が強化されました。
これに関する改正内容は2項目ありますので、それぞれ解説します。
漏えい等報告の義務化(改正個人情報保護法22条の2)
改正前は、万が一、事業者が保有する個人データの漏えい等があったとしても報告は義務付けられていませんでした。
今回の改正では、漏えい等の報告や本人通知の義務が規定されています。
報告対象 |
|
| |
報告 |
|
通知(改正個人情報保護法22条の2第2項) | 本人に事態発生の旨を通知 |
不適正な方法による利用の禁止
当然のことですが、個人情報を不適正な方法で利用することは禁止すべきです。しかし、改正前は明文化された規定がありませんでした。
そこで改正法では、不適正な方法による利用の禁止が規定され、明文化されることとなりました(改正個人情報保護法第16条の2)。
明文化されたとはいえ、具体的に「不適正な方法」がどのようなものかは規定されていません。ただ、例えば以下のようなものが想定されています。
・違法行為を営む第三者に個人情報を提供すること
・裁判所による公告等により公開されている個人情報について、差別誘引のおそれが十分予見できるにもかかわらず、集約してデータベース化したうえでインターネット上で公開すること
事業者の自主的取組促進
個人情報保護委員会等だけでなく、民間団体による個人情報保護の推進が求められています。
そこで、苦情の処理や情報提供、その他必要な業務を行う法人は、個人情報保護委員会の認定を受けることができる認定制度があります。
改正前では、認定された法人(主に業界団体)は対象企業のすべての分野に対応する必要がありました。
そこで改正個人情報保護法では、業務実態の多様化やIT技術の進展を踏まえ、対象事業者の特定の「事業の種類その他業務の範囲」に限定した個人情報との取扱いを対象とする団体を認定すること可能となりました。
例えば、認定個人情報保護団体となろうとする法人は、A業界における全ての分野の対をする必要はなく、特定の分野(ex.広報部門)に関する対応ができれば良いこととなります。
これによって、より高い水準で効率的な民間団体による個人情報保護の推進が期待されます。
データ利活用
個人情報保護法の立法趣旨は、「個人情報を取り扱う事業者の遵守すべき義務等を定めることにより、個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現」(1条)です。個人情報の利用制限だけでなく、その適切な活用をもってイノベーションを促進することをもその目的としています。
2022年施行の改正個人情報保護法では、データ利活用に関して2項目の改正がなされています。
仮名加工情報の創設
今回の改正で、改正個人情報保護法第4章第2節「仮名加工情報取扱事業者等の義務」が創設されました。
仮名加工情報とは、「他の情報と照合しない限り特定の個人を識別できないように加工した情報」です(改正個人情報保護法第2条第9項)。
具体的には、個人情報の氏名部分や旅券番号・マイナンバー・クレジットカード番号等を削除するなどして加工したものとされます。
仮名加工情報も個人情報にあたりますが、上記のような加工がされ一定程度管理の安全性が担保されていることから、仮名加工情報にあたる場合、事業者は、以下の個人情報保護法の一定のルールの適用を免れることになります。(改正個人情報保護法35条の2第9項)
適用除外の条文(改正個人情報保護法35条の2第9項) | |
15条2項 | 個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない ⇨内部分析利用であるなら利用目的変更について関連性要件不要。 |
22条の2 | 漏えい等の報告義務 ⇨事業者による報告義務免除 |
27条〜34条 | 保有個人データに関する事項の公表、開示・訂正等・利用停止等請求(27〜30条)とそれに関連する理由の説明等の手続条項(31条〜34条) ⇨本人による各種請求権等が認められません。 |
なお、改正前にもあった制度である「匿名加工情報」(36条以下)との違いは以下のとおりです。
引用:個人情報保護委員会 個人情報の保護に関する法律等の一部を改正する法律について p14
個人関連情報の第三者提供規制
今回の改正で、個人関連情報の第三者提供に規制が設けられました(改正個人情報保護法第26条の2)。
具体的には、A社では個人が特定できない情報であっても、提供先B社において個人データとなることが想定できる場合です。この場合、本人の同意が得られていることをB社が確認しなければなりません。
近い関係にある事業者(データを共有しているなど)との取引において、特に注意すべきものといえます。
ペナルティ(罰則)の強化
法令違反事案が増加している現状を受け、現状のペナルティによって抑止効果を期待できないことから、ペナルティが強化されることとなりました。
法定刑の引き上げ
命令違反や不正提供、虚偽報告を行った場合、懲役刑や罰金刑などの法定刑が科されます。
今回の改正では、下表のように法定刑が引き上げられました。
改正前 | 改正後 | |
命令違反 | 6ヶ月以下の懲役または30万円以下の罰金 | 1年以下の懲役または100万円(※)以下の罰金 |
不正提供 | 1年以下の懲役または50万円(※)以下の罰金 | |
虚偽報告 | 30万円以下の罰金 | 50万円以下の罰金 |
法人重課
法定刑の引き上げについて、法人は罰金刑の最高額が引き上げられました。具体的には、虚偽報告を除いた命令違反・不正提供の場合、それぞれ1億円以下の罰金とされます。
改正前 | 改正後 | |
法人への罰則 | ・措置命令(42条2項、3項)の違反の罰則:30万円以下の罰金 ・個人情報データベース等の不正流用:50万円以下の罰金 ・報告義務(40条)違反の罰則:30万円以下の罰則 | ・措置命令(42条2項、3項)違反の罰則:1億円以下の罰金 ・個人情報データベース等の不正流用:1億円以下の罰金 ・報告義務(40条)違反の罰則:50万円の罰則 |
域外適用・越境移転(改正個人情報保護法75条)
改正個人情報保護法では、域外適用・越境移転に関する見直しもされました。それぞれ解説します。
域外適用の強化
まず、域外適用が強化されました。
改正前は、個人情報保護委員会が外国事業者に行使できる権限は強制力を伴わない指導・助言・勧告などでしたが、改正後は報告徴収・命令の対象として含まれるようになります。
越境移転に係る情報提供の充実
改正個人情報保護法では、域外適用だけでなく越境移転に関しても規制が強化されました。
従来、以下のような要件を満たせば外国の第三者に個人データを提供することができました。
・本人の同意
・基準に適合する体制を整備した事業者
・EUや英国(同等水準国)
今回の改正によって以下の義務が設けられることになります。
・本人同意取得時に移転国名称・個人情報保護制度の有無を本人に情報提供する
・移転先事業者の取扱状況等を定期的に確認し、本人の求めに応じて情報提供する
個人情報保護法改正で企業が必要な対応は?
ここまで、個人情報保護法の改正について内容を解説してきました。ここからは、企業が必要な対応について解説します。
対応①本人の権利利益の侵害のおそれがないか確認と社内周知
改正法では、本人の権利利益の侵害のおそれがある場合、本人による利用停止・消去・第三者提供停止等の請求を認めることとされました(改正個人情報保護法第30条等)。
事業内容によっては、利用停止・消去・第三者提供停止等により、甚大な影響を及ぼすことも考えられます。
そのため、現在の社内運営上、権利利益侵害のおそれがないか再度確認したうえで、本件につき社内周知を図る必要があるでしょう。
対応②電磁的記録による開示請求への対応体制を検討
改正法では、開示請求が書面だけでなく電磁的記録による方法も追加されました(改正個人情報保護法第28条第1項)。
開示困難である場合には書面をもって開示(同項但書)とされていますがあくまでも「開示困難である場合」に限られます。
したがって、電磁的記録による開示請求にかかる対応体制を検討・準備するとともに、必要に応じてプライバシーポリシー等の改定が必要です。
なお、第三者提供記録(改正個人情報保護法第28条第5項)および短期保存データも開示請求の対象となるため、これらも含めて考慮する必要があります。
対応③漏えい等発生時の対応方針を検討
改正法では、漏えい等が発生し、個人の権利利益侵害のおそれがあるなど一定の要件を満たす場合には個人情報保護委員会への報告と本人への通知が義務化されました(改正個人情報保護法第22条の2)。
すべての漏えい等が対象となるわけではなく、一定程度報告対象となる事案は限定されますが、要件に該当すると、速報と30日以内の確報を行わなければなりません。
報告対象となってから対応方針を検討しているのでは遅いため、事前に「誰がどのように」報告と通知を行うのかを検討しておくことが望まれます。
また、情報システムの運用によって個人情報の管理に支障をきたすような状況(セキュリティインシデント)に陥らないよう、経営上利用する情報システムなどについて情報セキュリティ体制を整備することも重要といえます。
対応④仮名加工情報の活用を検討
改正法では、仮名加工情報が創設されました(改正個人情報保護法第2条第9項等)。これにより、内部分析のために個人情報を各種分析に活用できます。
例えば、利用目的を達成した個人情報を将来的に統計分析に利用したい場合や、売上予測等の機械学習に活用できますので、データの有効活用を検討してみても良いでしょう。
個人情報保護法違反って何が該当?罰則はあるのか?
まず、個人情報保護法違反とは、本法律に定められた義務や禁止規定に背くことを指します。つまり、法律上で「◯◯しなければならない」や「◯◯してはならない」という規定に背くことが個人情報保護法違反です。
そして個人情報保護法に違反すると、監督権限を有する個人情報保護委員会により勧告や命令・調査を受けることとなります。本法の罰則規定では、当委員会の命令や調査時に違反・虚偽報告を行った場合に懲役刑や罰金刑などの罰則が定められています。
具体的な法定刑についてはこれまでに紹介しましたので、以下に個人情報保護法で定められている義務・禁止規定の一部を並べてみました。
・個人情報を取扱うに当たり、利用目的をできる限り特定しなければならない(法第15条第1項)
・特定した利用目的の範囲外で利用する場合は、本人の事前同意を得なければならない(法第16条第1項)
・個人データの安全管理のために必要かつ適切な措置を講じなければならない(法第20条)
・個人データを第三者に提供する場合、原則として本人の事前同意を得なければならない(法第23条第1項)
・個人データを第三者に提供した場合や提供を受けた場合は、一定事項を記録し保存しなければならない(法第25条・第26条)
本人から保有個人データの開示請求を受けたときは、原則として遅滞なく開示しなければならない(法第28条)
匿名加工情報を作成した場合、含まれる個人情報項目を公表しなければならない(法第36条)
まとめ
本記事では、2020年に改正され2022年4月1日から施行される改正個人情報保護法について解説しました。
改正個人情報保護法では、本人の権利と事業者の義務が強化されており、事業者としてはこれまで以上の個人情報保護活動を強いられる場合があります。
一方で、仮名加工情報の創設など、データを利活用をしやすくなる改正もありました。
また、今回の改正個人情報保護法では、個人情報の漏えい等を起こしてしまった場合、法人は最大1億円の罰金を課せられることとなりました。
弊社の電子契約サービス「ContractS CLM」は、お客様に安心してご利用いただけるよう、さまざまなセキュリティ対策を施しています。
契約業務をワンプラットフォームで最適化でき、業務効率化に大きなメリットがあるものです。ぜひあわせてご検討ください。
