2022年 9月13日公開

【連載終了】専門家がアドバイス なるほど!経理・給与

「改正個人情報保護法、施行スタート!」の巻

テキスト/梅原光彦 イラスト/今井ヨージ

  • 経理

個人情報保護法が改正され、2022年4月1日から施行が始まっています。ここでは主要な改正のポイントに沿って、事業者の義務や罰則など、理解しておくべき事項を説明していきます。

改正個人情報保護法の概要

改正のあらまし

個人情報を取り扱う際のルールを定めた個人情報保護法は、2003年5月に成立し、2005年4月に施行されました。その後、何度かの改正を経て、2020年6月に新たな改正法が公布され、2022年4月から全面施行となっています。今回の改正法では、個人情報の取り扱いがより重要視され、企業が新たに取り組むべき事項が追加されました。

個人情報保護法の対象

対象となるのは、個人情報データベース等を事業に用いている全ての事業者です。 以前は「保有する個人情報が5,000人未満である小規模事業者」は対象から除外されていましたが、2015年の法改正により廃止され、全ての事業者が対象となっています。

2022年4月改正のポイント

今回の改正のポイントは次の6点です。

  1. 個人の権利のあり方
  2. 事業者の責務の追加
  3. 事業者による自主的な取り組みを促す仕組み
  4. データ利活用の促進
  5. ペナルティーの強化
  6. 法の域外適用・越境移転

以下、改正のポイントごとに解説していきます。

目次へ戻る

1. 個人の権利のあり方

個人(本人)が個人情報取扱事業者に対して情報開示を請求できる範囲が拡大し、自分の個人情報がどのように扱われているのかを事業者に問い合わせることが可能になりました。範囲が拡大することで、企業は開示請求される可能性や頻度が高まると考えられます。

利用停止・消去等の請求要件の緩和

個人情報の利用停止・消去を請求できる場合については、以下のように変更されました。

改正前改正後

(1) 個人情報を目的外利用した場合

(2) 不正手段により取得した場合

(改正前の2点に加えて)

(3) 違法または不当行為を助長・誘発する恐れがある場合

(4) 保有個人データを事業者が利用する必要がなくなった場合

(5) 保有個人データの漏えいが生じた場合

(6) 保有個人データの取り扱いにより本人の権利利益が害される恐れがある場合

第三者への提供の停止請求ができる場合については、以下のように変更されました。

改正前改正後

(1) 本人の同意なく第三者に提供した場合

(2) 本人の同意なく外国にある第三者に提供した場合

(改正前の2点に加えて)

(3) 保有個人データを事業者が利用する必要がなくなった場合

(4) 保有個人データの漏えいが生じた場合

(5) 保有個人データの取り扱いにより本人の権利利益が害される恐れがある場合

開示請求のデジタル化

改正前はデータの開示は原則として書面による交付となっていましたが、改正後は電磁的記録の提供を含め、請求者本人が指示できるようになりました。

個人データ授受についての第三者提供記録の開示請求権

第三者提供記録とは、個人データを第三者に提供する事業者と提供を受ける事業者が作成・保存を義務付けられた記録をいいます。これまで第三者提供記録は、本人による開示請求の対象には含まれていませんでしたが、改正後は本人から事業者に、第三者提供記録の開示請求ができるようになりました。

目次へ戻る

2. 事業者の責務の追加

委員会への報告および本人への通知を義務化

改正法では、個人データが漏えいした際、個人情報保護委員会に報告する法的義務が、個人情報取扱事業者に追加されました。ただ、海外ではすでに義務化が当然となっています。同じく漏えい等が発生した際、本人に通知する義務も課せられます。

報告の義務化対象は下記の通りです。

(1) 要配慮個人情報(注1)の漏えい
(2) 不正アクセス等による漏えい
(3) 財産的被害のおそれがある漏えい
(4) 一定数(1000件)を超える大規模な漏えい

  • (注1)不当な差別、偏見その他の不利益が生じないように取り扱いに配慮を要する情報。

(1)~(3)については、件数に関係なく報告の義務があります。

また、違法または不当な行為を助長するなど、不適正な方法による個人情報の利用は禁止されることが明文化されました。

目次へ戻る

3. 事業者による自主的な取り組みを促す仕組み

認定個人情報保護団体制度の充実

個人情報保護法では、民間団体の認定制度「認定個人情報保護団体制度」を設けています。個人情報の取り扱いに関する苦情処理や、事業者への個人情報の適切な取り扱いに関する情報提供、その他必要な業務を行う団体は、個人情報保護委員会の認定を受けて「認定個人情報保護団体」となることができるという制度です。改正前は、認定された法人(主に業界団体)は対象企業の全ての分野に対応する必要がありました。しかし、改正後は、対象事業者の特定分野に関する団体に限定して認定することが可能となりました。今後は、専門性を持った団体による個人情報保護活動が期待されています。

目次へ戻る

4. データ利活用の促進

個人情報取扱事業者が保有データの利活用をしやすくするために、新たな仕組みが設けられました。

仮名加工情報の創設

一定の安全性を確保した上で個人情報の利活用を促進するため、「仮名加工情報」が創設されました。仮名加工情報とは「他の情報と照合しない限り特定の個人を識別できないように加工した情報」です。個人情報を復元できないように加工する必要がある「匿名加工情報」よりも簡便な加工方法で作成可能とされています。

事業者の義務の緩和

仮名加工情報は一定のルール規制が緩和されることになりました。個人情報使用時に適用される「漏えい等の報告義務や、開示請求、利用停止等」の適用対象外となり、個人情報取扱事業者の負担軽減につながります。

個人関連情報の第三者提供制限

個人関連情報とは、収集されたサイト閲覧履歴や、商品購買履歴、位置情報等(注2)をいいます。提供元では個人データに該当しなくても、提供先において個人データとなることが想定される情報の第三者提供については、本人の同意が得られていること等の確認が義務付けられます。

  • (注2)これらの例でも、個人情報に該当する(特定の個人を識別できる)ものは、個人関連情報にはあたりません。

目次へ戻る

5. ペナルティーの強化

改正法では、措置命令・報告義務違反の罰則について法定刑が引き上げられました(2020年12月に施行済みです)。具体的には、以下のように変更となります。

 改正前改正後
懲役刑罰金刑懲役刑罰金刑
個人情報保護委員会からの
命令への違反
行為者6カ月以下30万円
以下
1年以下100万円
以下
法人30万円
以下
1億円以下
個人情報データベース等の
不正提供等
行為者1年以下50万円
以下
1年以下50万円
以下
法人50万円
以下
1億円以下
個人情報保護委員会への
虚偽報告等
行為者30万円
以下
50万円
以下
法人30万円
以下
50万円
以下

目次へ戻る

6. 法の域外適用・越境移転

日本国内に住んでいる人の個人情報等を取り扱う海外の事業者については次のように変更されました。

域外適用の強化

これまで個人情報保護法による報告・徴収・命令等の対象は国内の事業者のみでした。改正により、海外の事業者が個人情報の不適切な使用をした場合にも適用されることになります。

越境移転に係る情報提供の充実

外国の第三者に個人データを提供する場合、原則として本人の同意が必要となります。その同意を得るにあたり、移転先事業者における個人情報の取り扱いについて、本人への情報提供が義務付けられます。

目次へ戻る

まとめ

企業経営者・担当者は、今回の改正にどのように対応していくべきか検討していかねばなりません。対応策は以下の3点です。

(1) 社内に向けて:個人情報の取り扱いについて周知徹底

今回の改正で、仮名加工情報という新しい情報の種別が登場しました。知識として社員一人ひとりが理解しておくのはもちろん、企業としても個人情報の保有・利用方法について周知徹底に努める必要があります。

(2) 社外に向けて:個人情報開示体制を構築する

さまざまな規制が複雑化している中で、これまで以上に個人情報提供者への対応に慎重になる必要があります。開示請求があった場合の対応体制の構築、プライバシーポリシーの更新など、社外に対して常にクリアな状態にしておきましょう。

(3) 仮名加工情報の利活用

個人情報データベース等を事業に用いる事業者にとって、改正法の大きなメリットといえるのが、仮名加工情報の新設です。こうした情報をビッグデータとして活用し、新たなビジネスチャンスに挑めるよう社内体制を整えていきましょう。

目次へ戻る

【お知らせ】がんばる企業応援マガジン最新記事のご紹介