目次
2020年6月に「改正個人情報保護法」が成立し、2022年4月から全面施行されます。「個人の権利利益の保護」、「情報活用の強化」、「AI・ビッグデータへの対応」などを目的に改正され、大きく6つの変更ポイントがあります。改正の目的や変更ポイントごとの改正内容と、企業が準備しておくべき改正後の影響への対応について解説します。
|個人情報保護法とは
・個人の権利・利益の保護と個人情報の有用性とのバランスを図るための法律
・基本理念を定めるほか、民間事業者の個人情報の取扱いについて規定
2005年4月に個人情報を保護するための法律として「個人情報保護法」が施行されました。2017年には、国際的動向、情報通信技術の進展、新産業の創出・発展の状況等を考慮し、3年ごとに実態に沿った内容に見直しをすることが規定に盛り込まれました。2020年の改正はこの規定を踏まえて行われました。
|改正個人情報保護法(2022年4月施行)とは?
◇改正の目的
個人情報保護委員会は、平成27年の個人情報保護法の改正以来、社会・経済情勢の変化を踏まえて、令和元年1月に示した「3年ごと見直しに係る検討の着眼点」に即し、3年ごとに個人情報保護法の見直しを進めてきました。今回の改正は、3年ごと見直しの過程で、得られた共通の視点を反映したものです。
個人情報保護委員会は、以下の5つの共通の視点を示しています。
①|個人の権利利益保護
②|保護と利用のバランス
③|国際的潮流との調和
④|外国事業者によるリスク変化への対応
⑤|AI・ビッグデータ時代への対応
今回の改正は、上記の共通の視点を反映するために行われたものです。
◇改正個人情報保護法 6つのポイント
①|本人の権利保護の強化
②|事業者の責務が追加
③|企業の特定分野を対象とする団体の認定団体制度の新設
④|データの利活用の推進
⑤|法律違反に対するペナルティの強化
6|外国の事業者に対する、報告徴収・立入検査などの罰則の追加
6つのポイントをそれぞれ解説していきます。
1.|本人の権利保護の強化
本人の権利保護に対する措置として、以下の4点が強化されます。
1。短期保有データの固有個人データ化
2.保有個人データの開示請求のデジタル化
3.利用停止・消去請求権、第三者への提供禁止請求権の要件緩和
4.個人データの授受についての第三者提供記録の開示請求権
— 短期保有データの固有個人データ化
個人情報保護法では、保有個人データを定義していますが、旧法では、6か月以内に消去されるデータは「保有個人データ」に含まれないとされていました。
しかし、短期間で消去されるものであっても、消去されるまでの短い間に漏えいなどが発生すれば、それが瞬時に拡散し、本人によっては修復困難な損害が生じる可能性もあります。
今回の改正では、旧個人情報保護法2条7項の「又は一年以内の政令で定める期間以内に消去することとなるもの」という文言が削除され、これにより、 6か月以内に消去される短期保有データについても「保有個人データ」に含まれることになりました。
— 保有個人データの開示請求のデジタル化
保有個人データについて、請求者である個人がデジタルデータでの提供を含めた開示方法を指定することができるようになりました(第28条)。
改正前は、原則で書面のみに開示方法が限られていましたが、データの量の膨大さ、音声や動画データが保有個人データに含まれるケースなどが増えているため、デジタル化対応の要望が寄せられていました。
— 利用停止・消去請求権、第三者への提供禁止請求権の要件緩和
今回の改正では、本人が、保有個人データの利用停止・消去・第三者への提供の停止を請求できる要件を緩和し、本人の権利保護をより強化しました。
改正によって、法違反が行われていない場合でも、個人の権利や利害が害されている場合の請求権を行使できるようになりました(第30条)。
現行法では、利用停止・消去・第三者提供の停止といった請求権を個人が行使できるのは、一定の法違反がある場合に限られていました。
本人が望んでいない形で情報を利用されていても、利用停止請求ができず改善要求が求められていた。
— 個人データの授受についての第三者提供記録の開示請求権
旧法では、本人は事業者が作成した第三者提供記録の開示請求ができませんでした。
第三者提供記録の作成を義務付けることによって、①不正の手段によって取得された個人情報が転々流通することを防止し、また、②個人情報の流通に係るトレーサビリティの確保を図ること、が期待されています。
これは、不正な手段による情報の流通を防止するための監督機関によるトレーサビリティであり、本人による追跡可能性を考慮したものではありませんでしたが、今回の改正により、本人は、第三者提供記録の開示を請求できることになりました。
2.|事業者の責務が追加
事業者の責務が追加された事項は、次の2点です。
・漏えい時の報告義務
・不適正な利用の禁止
— 漏洩時の報告義務
事業者の責務として、個人データの漏えい等の発生時における、個人情報保護委員会に対する報告義務が新たに追加されました(22条の2)。
これまでは、漏洩時の企業の個別対応に委ねる状況でしたが、諸外国の標準的な対応とも照らし合わせ現行法の改正に至りました。
ただし、他の個人情報取扱事業者から個人データの取扱いの委託を受けた場合は、漏洩が発生したと委託者である事業者に通知すれば、この報告義務は免除されます。
個人情報取扱事業者自身は、個人データの漏洩が発生した際に本人に通知する義務も課されます。
本人への通知が困難かつ本人の権利利益の保護のために必要な代替措置をとっている場合には、通知義務は免除されます。
— 不適正な利用の禁止
これまで個人情報の不適正な利用の禁止が法律上明文化されていませんでしたが、今回の法改正で改めて禁止と定められました(第16条の2)。
現行ルールでも、違法または不当な情報の使い方を助長するおそれのある利用が行われていた実態があり、今回の禁止の明文化へと至りました。
3.|企業の特定分野を対象とする団体の認定団体制度の新設
個人情報保護法では、個人情報保護委員会のほかに民間団体を利用した情報保護を図っており、認定団体制度を設けています。
紺顔の法改正によって認定団体制度について、企業の特定分野を対象とする団体を認定団体として認定可能になりました(47条2項)。
事業単位での認定団体を認めることによって、さらに認定団体の活用が進み、特定の事業を対象に活動する団体による、専門性を生かした個人情報の保護のための取り組みなどが期待されます。
4.|データの利活用の推進
データの利活用を促進する観点からは、次の2点が改正されました。
・「仮名加工情報」を創設、義務を緩和
・提供先で個人データとなることが想定される場合の確認義務を新設
— 「仮名加工情報」を創設、義務を緩和
データ利用と活用の促進のため「仮名加工情報」を創設し、取り扱いに関する義務を緩和しました(第2条9項)。
現行ルールでは、個人情報を加工して個人を特定できない情報に変換した場合でも
・利用目的を特定
・取得時の利用目的の公表
・目的外利用の禁止
・データ内容の正確性確保
上記のように個人情報と同じ対応が必要で、データの利活用の観点から疑問が生じていました。
そこで、データの利活用を促進する観点から、「仮名加工情報」制度が新設されました。
「仮名加工情報」については、通常の個人情報に比して、事業者の義務が緩和されることとなりました。
「仮名加工情報」とは、他の情報と照合しない限り特定の個人を識別できないように個人情報を加工して得た個人に関する情報のことです。
— 提供先で個人データとなることが想定される場合の確認義務を新設
本人が関与していない個人情報の収集方法が広まらないように事業者に求める確認義務が新たに設けられました(第26条の2第1項1号)。
背景として、ユーザーデータを大量に集積して、照合したうえで個人データとする技術が普及したことが挙げられます。
提供先で集めたデータが個人データとなることを知りながら、非個人情報として第三者に提供する方法が横行していたことから、確認義務を設けた法改正に至りました。
5.|法律違反に対するペナルティの強化
今回の改正後は特に法人に対する罰金刑の上限額が大きく引き上げられる以下の変更が加えられました(第83条、第87条など)。
・委員会による命令違反・委員会に対する虚偽報告等の法定刑を引き上げる
・命令違反等の罰金について、法人と個人の資力格差等を考慮し、法人に対しては行為者よりも罰金刑の最高額を引き上げ
罰金引き上げの背景として、個人情報保護法に違反が増加するなか事業者の実態を把握するための報告徴収や立入検査の実効性を高める必要性が議論になったことが挙げられます。
措置命令に違反した個人に対しては、「6か月以下の懲役又は30万円以下の罰金」から「1年以下の懲役又は100万円以下の罰金」に、報告義務違反に対しては「30万円以下の罰金」から「50万円以下の罰金」に強化されました。
また、法人に対する罰金刑は旧法では個人と同じでしたが、改正法では措置命令違反と個人情報データベース等の不正流用については「1億円以下」に引き上げられました。
なお、個人情報データベース等の不正流用の個人に対する罰則(1年以下の懲役又は50万円以下の罰金)に変更はなく、報告義務違反に対する法人の罰則は個人と同じ「50万円以下の罰金」となっています(第83、85、87条)。
これらの罰則については、2020年12月12日に施行されています。
6.|外国の事業者に対する、報告徴収・立入検査などの罰則の追加
日本国内に住んでいる人の個人情報を取り扱う外国の事業者も報告徴収・立入検査などの罰則の対象になりました(第75条)。
これまでは、国内の事業主のみ報告徴収・立入検査の規定が適用されていましたが、改正によって海外の事業者が不適切な個人情報の取扱いをした場合には従来よりも具体的な是正措置が可能になります。