2022年4月施行、個人情報保護法改正のポイントを解説!

2020年6月、「個人情報の保護に関する法律等の一部を改正する法律」が公布されました。この改正法の施行期日は、「罰則に関する規定を除き令和4年(2022年)4月1日」とされており、予定通り進めばあと約半年で施行される運びです。
IT技術の進展やビジネスモデルの変革に合わせ、これまでも個人情報保護法は複数回にわたって改正されてきましたが、今回はどのような点が変更されたのでしょうか。

このコラムでは個人情報保護法の改正ポイントをご紹介するとともに、企業においてどのような影響が出るのか、求められる対策なども含めて詳しく解説します。

このコラムを読んで分かること

  • 2020年に公布(2021年4月施行)された「個人情報保護法」の改正ポイント
  • 2020年の「個人情報保護法」改正における事業者への影響と対応について

個人情報保護法とは?個人情報保護法をおさらい

そもそも「個人情報保護法」とはどのような法律なのでしょうか。正式名称は、「個人情報の保護に関する法律」で、その名の通り個人の情報を守るため、個人情報を取り扱う全ての事業者に対して「適切に取り扱ってくださいね」と定めた法律です。
2003年の施行以降、たびたび個人情報保護法は改正されており、2015年には「いわゆる3年ごと見直し」に関する規定が附則として設けられました。

見直しに関する規定が設けられた背景には、変化する時代に即した個人情報やプライバシーなど個人の権利を守ることと、個人情報を有効的に活用していける環境を構築するためのバランスを取るためとされています。2020年に改正された「個人情報の保護に関する法律等の一部を改正する法律」も、この3年ごとの見直しのタイミングによって公布された経緯があります。

今回の個人情報保護法の改正法は、施行期日を「令和4年(2022年)4月1日(罰則に関する規定を除く)」としており、今年2021年は、改正個人情報保護法についてのガイドラインやQ&Aなどが公表される予定です。施行されてから慌てることのないよう、今のうちに改正ポイントを把握しておきましょう。

2020年公布「個人情報の保護に関する法律等の一部を改正する法律」の改正ポイント

2020年に公布された個人情報保護法は、具体的にどのような点が変わったのでしょうか。今回は6つのポイントに分けて詳しく解説します。

「令和2年 改正個人情報保護法について」の詳細な情報については、個人情報保護委員会ウェブサイトをご確認ください。
<https://www.ppc.go.jp/personalinfo/legal/kaiseihogohou/>
(1)個人の権利の在り方

これまでは自分の個人情報を持つ事業者に対し、個人情報の利用停止、または消去を請求できるのは「個人情報を目的外利用したとき」と、「不正の手段により取得したとき」に限られていました。また、第三者へ個人情報の提供を停止させる請求ができるのは、「本人の同意を得ないで第三者に提供した場合」と、「本人の同意を得ずに外国にある第三者に提供した場合」に限定されていました。
しかし今後は、「個人の権利又は正当な利益が害されるおそれがある場合」にも、利用停止や消去を請求することができるようになります。

また、以下のような点が改正されます。

  • 取得から6カ月以内に消去するデータ(短期保存データ)も「保有個人データ」に含む(保存期間に関わらず個人情報を持つ事業者に対して利用停止や開示を請求可能)
  • 個人情報の開示方法として電磁的記録(データ)による開示を本人が指示できる(現状は書面による交付限定であった)
  • 個人情報を第三者に提供する際義務づけられている「第三者提供記録」を、本人が開示請求できる

さらに、オプトアウト方式(※)で取得した個人情報を第三者に提供する場合、要配慮個人情報(人種、信条、社会的身分、病歴、犯罪の経歴、犯罪被害歴など)については、オプトアウト規定により第三者
提供することができないとされていましたが、さらに以下の情報も第三者提供することができなくなります。

  • 不正取得された個人データ
  • オプトアウト規定により提供された個人データ
オプトアウト方式とは、本人の求めがあれば事後的に停止することを前提に、提供する個人データの項目等を公表等した上で、本人の同意なく第三者に個人データを提供できる制度

このように、個人情報に対して本人の権利の保護が強化された形となっています。

(2)事業者の守るべき責務の在り方

日本では、万が一個人情報が漏えいした場合の報告等は努力義務とされ、法的な義務はありませんでした。しかし今回の改正で、個人の権利利益が侵害される可能性がある場合は、個人情報保護委員会への報告および本人への通知が義務化されます。
例えば、不正アクセスによる個人情報の漏えいや、クレジットカード情報や口座情報など財産的被害の恐れがある個人情報の漏えいについては、件数に関わりなく委員会への報告対象となります。

本人への通知が義務化されるということは、事業者は正確な個人情報の数とその連絡先の管理が求められるということです。そのため、事業者としてはこれまでの管理方法を大幅に見直す可能性があるなど、非常にインパクトが大きい改正といえるでしょう。

また、違法行為や不当行為を助長・誘発するなど、不適正な方法で個人情報を利用してはならないと、明文化されました。「不適正な方法」とは具体的にどのようなことが考えられるのかについては、ガイドライン等で示される予定ですが、利用目的を拡大解釈しない、社会生活上のダメージを与えるような情報の公開はしてはならないなど、事業者の個人情報利用に関するモラルを厳しく規制する内容となることが予想されます。

(3)事業者による自主的な取組を促す仕組みの在り方

個人情報の取り扱いに関する苦情処理や、個人情報の適正な取り扱いに関する情報提供など、いわば個人情報保護の推進役を担う「認定個人情報保護団体」というものが存在します。この民間団体は、取り扱う個人情報の性質・実態等が事業分野ごと異なることから、保険業や銀行業など業界毎に存在しています。プライバシーマークを取得されている企業であれば、一般財団法人日本情報経済社会推進協会(JIPDEC)が身近な認定個人情報保護団体です。

さて今回の改正では、この認定団体制度が拡張されることになりました。具体的には、企業の特定分野・部門のみを対象とする団体を認定できるようになります。
現在の認定団体は、対象事業者における全ての部門が対象となっていました。しかし、個人情報を活用したビジネスモデルが多様化しているため、特定の事業活動に限定した団体があったほうが、より専門的な取組ができるだろうという目的があると考えられます。

(4)データ利活用に関する施策の在り方

事業者が、新たなビジネスモデルの構築やイノベーションの促進に向けてデータを利活用することを目的とし新たに設けられたのが、「仮名加工情報」です。

仮名加工情報とは、個人を識別できる情報を削除する、あるいは他の情報に置き換えるなど加工された個人に関する情報です。加工後のデータだけでは個人が特定できませんが、他のデータと照合することで個人を識別できるようになっている点が特徴です。
前回、平成27年度に改正された際には「匿名加工情報」が設けられました。匿名加工情報は、他のデータと照合しても特定の個人を識別することができないものとされており、この点が今回創設される仮名加工情報と異なる点です。

仮名加工情報の用途は、事業者における内部分析などに限定されます。その代わりに、個人情報の開示および利用停止請求などの対応義務も緩和されることとなりました。具体的には医療や製薬分野の研究開発、AIによる売上予測を実現するための機械学習の分野などへの応用が期待されます。

また、データの種別によっては、提供元では個人を識別できるデータではないものの、提供先である第三者が持つ情報と組み合わせることで個人データと識別できるような場合においては、事前に本人の同意を得ることが義務付けられました。

(5)ペナルティの在り方

個人情報保護委員会からの命令に違反した場合や、委員会に対して虚偽の報告を行なった場合の刑事罰が厳しくなります。
これまでは命令違反の場合「6カ月以下の懲役又は30万円以下の罰金」でしたが、改正後は「1年以下の懲役又は100万円以下の罰金」となります。また、虚偽報告をした場合は「30万円以下の罰金」から「50万円以下の罰金」に引き上げられることとなりました。

さらに、個人情報データベースを扱う担当者が不正に第三者に情報を提供または盗用する行為を禁止している「データベース提供罪」では、これまでは個人・法人ともに「50万円又は30万円以下の罰金」でしたが、今後は法人を対象に「1億円以下の罰金」に引き上げられます。

(6)法の域外適用・越境移転の在り方

これまでは日本国外の第三者に対して個人情報を提供する場合、本人の同意を得ること、そして、日本と同等水準と認められた国に所在すること、かつ規則が定める基準に適合する体制を整備した事業者であることが要件となっていました。
改正後はこれらの要件に加え、以下の2点が追加されます。

  • 本人の同意取得時に個人情報の移転先となる国名、および移転先の個人情報保護に関する制度を本人に情報提供すること
  • 提供元は移転先事業者の取り扱い状況を定期的に確認し、本人の求めに応じて情報を提供することを義務付ける

また、これまで外国事業者については罰則による強制力を伴う規定の適用は限定されていました。しかし改正後は、外国事業者であっても日本国内にある者に関わる個人情報の管理については、個人情報保護委員会が外国事業者に対して報告を求めると同時に、命令を含む権限の行使も可能となります。

2020年個人情報保護法改正の影響と対応について

2020年の個人情報保護法改正に伴い、企業においてはどのような影響が出てくると考えられるのでしょうか。企業が取るべき具体的な対策について詳しくご紹介します。

● 個人情報漏えい時のフロー見直し
万が一、個人情報が漏えいした場合は、個人情報保護委員会への報告および本人への通知が義務化されます。そのため、できるだけ遅滞なく報告および通知ができる体制が社内に設けられていることがポイントとなります。
まずは、現行の自社対応がどのように規定されているのかを確認し、迅速に個人情報保護委員会への報告および本人への通知が行えるよう、必要に応じてフローの改訂を行なうようにしましょう。また、迅速な対応のためにも、管理している個人情報が「どういった個人情報で、どこに保管されていて、どのような管理をしているのか」を事前に把握できるようにしておきましょう。

● 移転先である外国企業の情報開示
「越境移転の在り方」の項目でもご説明した通り、移転先の国名や個人情報保護制度に関して本人への情報提供が求められます。
そのため、提携している外国企業に対して個人情報を提供または共有している場合には、提供先の企業および国名をリストアップすると同時に、提供先が講じている措置の概要、体制の整備方法などを確認しましょう。そして、プライバシーポリシーにも、転移先の国名、移転先の個人情報保護措置内容、当該外国の個人情報保護に関する制度などの情報を記載しましょう。

● Cookie情報取り扱いの見直し
「データ利活用に関する施策の在り方」の項目でご説明した、「提供元では個人情報でないデータも、提供先では個人情報となり得る場合には、本人同意が義務化」という部分。実は、この改正の対象となるのが「Cookie(クッキー)情報」と言われています。
Cookieとは、Webサイトを表示した際に、ユーザー側のブラウザにサイト側が指定した情報(閲覧履歴など)を保存する仕組みで、多くの企業がデジタルマーケティングとして利用しています。
通常、Cookie情報は個人情報ではありません。しかし、Cookie情報を他の情報と照合することで個人を特定することも可能です。そのため、Cookie情報と個人情報を紐付けた場合には、Cookie情報も個人情報の「一部」になります。
もしも、自社のWebサイトでCookieを利用し、さらにCookie情報と個人情報を紐付けて利用するのであれば、プライバシーポリシーに利用目的を明記し、本人に同意を得るようにしましょう。

● 多様な開示方法への対応
個人情報の開示請求があった場合、これまでは書面による交付が原則でしたが、今回の改正によって電磁的記録データも請求者本人が選択できるようになりました。そのため企業側では、データによる個人情報開示に対応できるような準備が必要です。
また、第三者への個人情報の提供および受領時には、本人から求められた際の記録開示義務が生じることから、常に記録しておける体制を構築しておきましょう。

● 開示請求の受付方法の見直し
今回の改正により、本人からの開示請求を受ける場面は増える可能性があります。
まずは、現状の開示・訂正・利用停止請求を受け付けた際の方法が、どのようになっているかを確認しましょう。そして、受け付けてから対応が完了するまでスムーズに進むよう、対応手順などを取りまとめておくと良いでしょう。
今のプライバシーポリシーの記載では受付方法がわかりにくい場合には、必要に応じてポリシーを改定しておくことをおすすめします。

まとめ

2020年に公布された今回の個人情報保護法改正は、ユーザー側の個人情報保護の意識の高まりを受け、より厳しい基準の上で個人情報を取り扱うことを事業者に求める形となりました。罰則が強化されている点も、重要なポイントと言えるでしょう。また、データの利活用が促進される一方、グローバル化する経済活動への対応と、デジタル領域における個人情報の考え方やあり方についても問われる内容でした。

今回の改正に伴い、社内規定や業務フローの見直しが求められる企業も多いはずです。改正ポイントを正しく理解したうえで、事業への影響や対応すべき内容を整理し、社内体制の見直しを進めてみてはいかがでしょうか。

「経営・マネジメント」の最新記事

このカテゴリの記事一覧を見る

メールマガジン登録

上記コラムのようなお役立ち情報を定期的に
メルマガで配信しています。
コラム(メルマガ)の
定期購読をご希望の方はこちら

メールマガジン登録 お客様の課題解決に導く情報をいち早くお届けします! メールマガジン登録 お客様の課題解決に導く情報をいち早くお届けします!