どうも！常温よりも冷蔵庫で冷やした方が、トマトの美味しさをより一層感じる気になっている、モッテル編集部です。

 

2022年4月に個人情報保護法が改正されました。今回は、個人情報保護法におけるこれまでとの違いをポイントにまとめて分かりやすく解説します。事業者の義務や罰則など、理解しておくべき事項を詳しく説明しています。ぜひ最後までお目通しくださると嬉しいです。

 

コンテンツの目次

個人情報保護法とは？

改正ポイント① 個人の権利を強化

改正ポイント② 事業者の義務を強化

改正ポイント③ 罰則を強化

改正ポイント④ 認定団体制度の見直し

改正ポイント⑤ データ利活用の促進

改正ポイント⑥ 外国事業者の規制強化

 

個人情報保護法とは？

 

個人情報保護法（正式名称：個人情報の保護に関する法律）は、2003年5月に成立・2005年4月に施行された、個人情報を取り扱う際のルールを定めた法律です。

 

成立の背景には、デジタル社会の進展による国民のプライバシーに対する意識の高まりが挙げられます。

 

2003年の成立当時は、インターネットが発達し個人情報を活用した便利なサービスが提供される一方で、不必要に個人情報を提供すること、利用されることへの不安が広がっていたことから法律が定められました。

 

2022年4月に施行される改正法では、デジタル社会の発展による国民の個人情報に関する意識の高まりや、イノベーションを促進するための個人情報の保護と活用のバランス、海外へのデータの流通による新たなリスクへの対応などをふまえています。

 

事前知識：個人情報とは？対象者となる事業者

 

「個人情報」の保護といっても、事業者が扱っている情報はいくつかの種類に分類することができます。解説のなかで使用している用語の定義は、下記の表をご覧ください。個人情報・個人データ・保有個人データの違い

 

また、個人情報保護法の対象となるのは、個人情報データベース等を事業に用いている全ての事業者です。 以前は「保有する個人情報が5,000人未満である小規模事業者」は対象から除外されていたましが、平成27年の法改正により廃止。全ての事業者が対象になりました。

 

ここからは、2022年4月改正の６つのポイントを解説します。

 

改正ポイント① 個人の権利を強化

 

個人情報保護

 

【改正ポイント① 個人の権利を強化 要点まとめ】

✓ 保有個人データの利用停止・消去に関する権利が拡大

✓ 保有個人データの開示方法が選べるように、デジタル化も

✓ 第三者に提供できる情報の範囲を制限

✓ 短期保存データも保有個人データの対象に

✓ 個人データ授受についての記録を開示できるように

それぞれの内容を解説します。

✓ 保有個人データの利用停止・消去に関する権利が拡大

 

旧法：本人が保有個人データの利用停止・消去・第三者への提供停止を請求できる場面が下記に限定されていました。

・個人情報を目的外利用したとき

・不正の手段により取得したとき

・本人の同意なく第三者に提供した場合

・本人の同意なく外国にある第三者に提供した場合

 

新法：保有個人データの利用停止・消去・第三者への提供停止を請求できる場面が追加。旧法の場面に加えて、下記の場面でも請求できるようになりました。

・個人情報取扱事業者が、保有個人データを利用する必要がなくなったとき

・保有個人データの漏えい等が生じたとき

・保有個人データの取扱いにより、本人の権利又は正当な利益が害されるおそれがあるとき

 

✓ 保有個人データの開示方法が選べるように、デジタル化も

 

旧法：保有個人データの開示方法は書面に限定されていました。

新法：本人の指定する方法での開示が義務付けられるように。電磁的記録での提供も可能になりました。

 

✓ 短期保存データも保有個人データの対象に

 

旧法：6ヶ月以内に消去する短期保存データは保有個人データに含まれず、事業者は本人による開示・訂正・利用停止に応じる義務がありませんでした。

新法：短期保存データも保有個人データに含まれるように。開示・訂正・利用停止義務の対象となりました。

 

✓ 第三者に提供できる情報の範囲を制限

 

オプトアウト規定により第三者に提供できる個人データの範囲が制限されることになりました。

 

旧法：提供が制限される情報

・要配慮個人情報

 

新法：提供が制限される情報

・不正取得された個人データ

・オプトアウト規定により提供された個人データ

 

※要配慮個人情報とは：人種や病歴、犯罪の経歴/被害など本人に対する不当な差別、偏見その他の不利益が生じないよう取扱いに特に配慮を要するもの（詳細）

 

※オプトアウト規定とは：個人データの第三者提供のためには本人の事前の同意（オプトイン）が必要です。これに対して、オプトアウト制度では本人の事前の同意がなくても個人データを第三者に提供することができます。ただし、本人の求めがあれば事後的に停止すること、あらかじめ本人に通知または本人が容易に知り得る状態に置くなど条件があります。

 

✓ 個人データ授受についての記録を開示できるように

 

旧法：事業者の情報提供について本人が追跡する手段がなく、不正な情報取得が見逃されていました。

新法：第三者提供記録を本人が開示請求できるように。

事業者には「第三者提供記録」の作成が義務付けられています。情報を提供する側/される側双方に作成義務があり、今回の改正ではその記録を本人が開示できるようになりました。

改正ポイント② 事業者の義務を強化

事業者の義務厳格化

【改正ポイント② 事業者の義務を強化 要点まとめ】

✓ 漏えい等発生時、個人情報保護委員会と本人への報告が義務化

✓ 個人情報の不適正な利用を禁止

✓漏えい等発生時の報告義務化

 

漏えい等が発生し、個人の権利・利益を害するおそれがある場合に、個人情報保護委員会と本人へ通知することが義務付けられました。報告が必要な場面は以下の通りです。

 

＜報告義務がある場面＞（下記が発生または発生したおそれがある場合）

・要配慮個人情報が含まれる個人データの漏えい・滅失・毀損

・不正利用により財産的被害が生じるおそれがある個人データの漏えい・滅失・毀損

・不正な目的で行われたおそれがある個人データの漏えい・滅失・毀損

・個人データに係る本人の数が1,000人を超える漏えい・滅失・毀損

 

※要配慮個人情報とは：人種や病歴、犯罪の経歴/被害など本人に対する不当な差別、偏見その他の不利益が生じないよう取扱いに特に配慮を要するもの（詳細）

※認定団体に加入している場合は認定団体への報告でも可。手続き等が簡略化されるために、取引先や顧客への対応に時間を割くことができます。

 

✓ 個人情報の不適正な利用を禁止

個人情報を不適正に利用してはならない旨が明文化されました。

具体的な事例として、「違法行為を営む第三者への個人情報提供」「裁判所による公告等により散在的に公開されている個人情報について、差別が誘発されるおそれがあることが十分に予見できるにもかかわらず、集約してデータベース化しインターネット上で公開する」などが該当します。

改正ポイント③ 罰則を強化

【改正ポイント③ 罰則を強化 要点まとめ】

✓ 罰則を強化

✓ 法人の罰金刑について最高額を引き上げ

下記表の通り罰則が強化されます。

 

大きな変更点としては、命令違反・データベース等不正提供があった場合に法人に科される罰金が「1億円以下」まで大幅に引き上げられたことが挙げられます。旧法では行為者個人と同額（命令違反：30万円以下、不正提供：50万円以下）でしたが、事業者による組織的な犯罪の抑止・個人との資力の差が考慮され引き上げられました。旧法・新法の罰則比較。

改正ポイント④ 認定団体制度の見直し

【改正ポイント④ 認定団体制度の見直し 要点まとめ】

✓ 認定団体制度において、特定分野・部門を対象とする団体を認定

認定団体（認定個人情報保護団体）とは、民間による個人情報保護の推進を目的に、個人情報保護委員会が認定する団体を指します。

＜認定団体の業務例＞

・個人情報保護指針の作成

・対象事業者の指導・監督

・対象事業者への苦情を公正な立場から処理

・対象事業者における漏えい等発生時の対応

※対象事業者とは：各団体に加盟している事業者

 

旧法では対象事業者のすべての分野・部門における業務を行っていましたが、新法では特定分野・部門の業務を行う団体も認定されることになりました。

「通信販売」「証券」「保険」など企業の特定分野における業務（個人情報保護の指導や苦情処理）が可能になり、専門知識が必要な分野における民間による個人情報保護を推進します。認定団体制度 旧法・新法の比較

改正ポイント⑤ データ利活用の促進

【改正ポイント⑤ データ利活用の促進 要点まとめ】

✓「仮名加工情報」を創設、条件付きで事業者の義務を緩和

✓ 提供先で個人を識別される可能性がある情報提供には本人の同意が必要に

✓「仮名加工情報」を創設、条件付きで事業者の義務を緩和

 

「仮名加工情報」とは、氏名を削除するなど個人を識別できないよう加工した情報を指します。

 

今回の改正で、内部分析に限定すること等を条件に、事業者の義務が緩和されることになりました。仮名加工情報であれば、漏えい等の報告義務や、開示請求・利用停止等の適用対象外となります。仮名加工情報とは

 

✓ 提供先で個人を識別される可能性がある情報提供には、本人の同意が必要に

 

提供元では個人データに該当しないものの、提供先で個人と関連付けられる可能性がある情報を提供する際には、本人の同意が必要もになります。

提供先で個人データとなることが想定される情報提供の例例えば、Cookieなどの識別子情報は単体で個人を識別できないものの、他データと組み合わせることで個人を特定できる可能性があります。そのため、第三者への提供時には本人の同意が必要です。

改正の背景には、2019年に大きな問題となった「リクナビ問題」があります。

提供元であるリクルートキャリア社が、個人を識別しない方式で内定辞退率を算出。提供先企業では個人の識別が可能であることを知りながら、同意を得ずに情報提供していたことから問題になりました。改正により、同様のケースでは情報提供の際に学生本人の同意が必要になります。

改正ポイント⑥ 外国事業者の規制強化

 

【改正ポイント⑥ 外国事業者の規制強化 要点まとめ】

 

✓ 外国事業者も報告徴収・立入検査・命令が適用されるように

旧法では、外国事業者は個人情報保護委員会の報告徴収や立入検査、命令の適用外であり、委員会は指導や助言・勧告など強制力を持たない対応しかできませんでした。もちろん罰則も適用されません。

 

しかし、今回の改正により、国内にある者の個人情報を扱う事業者のうち、法に違反している恐れがある外国事業者に対して報告徴収・立入検査・命令が可能になります。

 

改正の背景には、インターネットの発展により、国境を超えた個人情報の取り扱いが増加したことが挙げられます。外国事業者が運営するECサイトで商品を購入することは当たり前の行為であることから、「日本の消費者の個人情報を取り扱う事業者」として規制が強化されることになりました。

 

以上が個人情報保護法の改正点についての紹介です。最後までご覧いただきありがとうございました。また、別のブログでお会いしましょう。