2022年4月に施行された改正個人情報保護法のポイント

2022年4月1日より「改正個人情報保護法」が施行されました。今回はこの改正法の押さえるべきポイントを紹介します。

主なポイント

本人の請求権の拡大

① 個人データの利用停止における請求権

本人が個人情報取扱事業者の保有個人データの利用停止や消去を請求できるのは、目的外利用されたときと不正の手段で取得されたときに限られ、また第三者提供の停止を請求できるのは、本人の同意なく第三者提供がなされたときに限られていました。改正法では上記に加え、不適正な利用がなされたときも利用停止等が請求できることとされました(30条1項、16条の2)また、保有個人データを利用する必要がなくなったときや、保有個人データの漏えい等が生じたとき、その他保有個人データの取扱いにより本人の権利又は正当な利益が害されるおそれがあるときにも、利用停止等又は第三者提供の停止の請求ができるようになりました(30条5項)。

② データの開示方法

保有個人データの開示方法は書面に限定されていましたが、本人の指定する方法での開示が義務付けられるようになり、電磁的記録(デジタル)での提供も可能になりました。

③ 第三者提供記録における開示請求

業者の情報提供について本人が追跡する手段がなく、不正な情報取得が見逃されていましたが、第三者提供記録を本人が開示請求できるようになりました。

④ 短期保存データに関する取扱い

6ヶ月以内に消去する短期保存データは保有個人データに含まれず、事業者は本人による開示・訂正・利用停止に応じる義務がありませんでしたが、短期保存データも保有個人データに含まれるよう、開示・訂正・利用停止義務の対象となりました。

個人情報取扱事業者の責務が追加

① 個人データが漏えいした場合の報告義務

個人情報取扱事業者に対し、個人データの漏えい等が発生した場合の報告義務及び本人に対する通知義務が新設されました(22条の2、1項)。ただし、他の個人情報取扱事業者から個人データの取扱いの委託を受けた場合は、委託元に通知すれば足りることとされました(22条の2、1項ただし書)。 なお、本人への通知が困難な場合であって、本人の権利利益の保護のための代替措置が取られている場合はこの限りではないとして、個人情報取扱事業者の負担が軽減されています(22条の2、2項ただし書)

② 不適正な個人情報利用の禁止

個人情報取扱事業者の個人情報の不適正な利用の禁止義務が明文化されました。不適正な利用とは、違法又は不当な行為を助長し、又は誘発するおそれがある方法による利用を指します(16条の2)。

認定団体制度において特定分野(分野)だけを対象可能に

旧法においても、本人や関係者からの個人情報取扱いに関する苦情の処理や、個人情報等の適正な取扱いに関する情報の提供、その他個人情報等の適正な取扱いの確保に関して必要な業務を自主的に行う民間団体を「認定個人情報保護団体」として認定する制度がありました。 旧法では、認定個人情報保護団体の業務は個人情報取扱事業者のすべての分野(部門)を対象とする必要がありましたが、改正法では特定の分野(部門)だけを対象にできるようになりました(47条1項、2項)。これにより、事業者の自主的な個人情報保護への取り組みを推進しています。

データ利活用の促進

①「仮名加工情報」の創設と義務の緩和

旧法では、個人を特定できないように個人情報を加工した場合でも、加工前の情報と同等に厳格な規制の対象となっていました。 改正法では、イノベーションを促進する観点から氏名等を削除して、他の情報と照合しない限り個人を特定できないように個人情報を加工した場合は(仮名加工情報)、仮名加工情報取扱事業者の内部分析目的の利用に限定する等を条件に、開示・利用停止請求への対応等の義務を緩和しました(2条9項、10項、35条の2、35条の3)。

② 提供先で個人データとなりうる情報の確認義務

提供元では個人データに該当しないものの、提供先において他の情報と照合することにより、容易に個人を特定することができる情報(個人関連情報)があります。 例えば、Cookieなどのような識別子情報とそれに紐づく閲覧履歴や購入履歴などの個人情報ではない情報がこれに当たります。改正法では個人関連情報を第三者提供する場合、提供元が提供先に対して本人の同意を得ていること等を確認する義務を新設しました(26条の2第1項)。

ペナルティの強化

懲役刑 罰金刑
旧法 新法 旧法 新法
個人情報保護委員会からの命令への違反 行為者 6か月以下 1年以下 30万円以下 100万円以下
法人等 30万円以下 1億円以下
個人情報データベース等の不正提供等 行為者 1年以下 1年以下 50万円以下 50万円以下
法人等 50万円以下 1億円以下
個人情報保護委員会への虚偽報告等 行為者 30万円以下 50万円以下
法人等 30万円以下 50万円以下

命令違反・データベース等不正提供があった場合に法人に科される罰金が「1億円以下」まで大幅に引き上げられました。

外国事業者への罰則追加

旧法でも一部の条項が外国の事業者に適用されていましたが、外国の事業者は報告徴収・命令および立入検査などの対象ではありませんでした。 改正法では、日本国内にある者に係る個人情報等を取り扱う外国事業者を報告徴収・命令の対象とし、罰則も適用されることになりました(75条)。 また、個人情報取扱事業者が外国にある第三者に個人データを提供する場合、移転先事業者における個人情報の取扱いに関する制度等について本人への情報提供義務などが規定され、 個人情報の保護を手厚くしました(24条2項、3項)。

施行1ヶ月前で4割以上が未対応

トレンドマイクロが3月30日に発表した「改正個人情報保護法における法人組織の実態調査」によると、法改正への対応が完了していると回答した割合は59.4%であり、40.6%は対応が未完了とあります。また「対応中であり、4月1日までに完了しない予定」が7.0%、「未対応」が6.5%と、法改正への対応が進んでいない法人組織が一定数あることが図から分かります。

改正個人情報保護法における法人組織の実態調査 [1]

企業規模が小さくなるほど対応できてない状況であり、100名~499名の企業では同割合が75.0%となっています。企業規模に関わらず、改正個人情報保護法の対応は必須となるため、中小企業であっても、個人情報を取り扱う上で法対応を進めることが求められます。

まとめ

改正に関して個人情報保護委員会では、平成27年改正法制定以降の社会・経済情勢の変化を踏まえ、3年ごとの見直しが進められています。組織として法の見直しだけでなく、インシデント発生時に迅速に対応が行えるように報告手順や体制を見直していくことをお勧めします。

参考サイト:

https://www.ppc.go.jp/news/kaiseihou_feature/
https://www.webjapan.co.jp/blog/personalinformationprotectionlaw_kaisei_2022/
[1] https://www.trendmicro.com/ja_jp/about/press-release/2022/pr-20220330-01.html
https://www.trendmicro.com/ja_jp/about/trendpark/amendment-to-the-personal-information-protection-law-202202-22-01.html