メニューを閉じる

改正個人情報保護法

 いわゆる3年ごとの見直しに関する規定に基づき、個人情報の保護に関する法律等の一部を改正する法律が令和2年6月の国会において可決、成立し、令和4年4月に施行される予定です。

 施行まではまだ時間がありますが、この機会に、今回の改正の中身を予習し、貴社における個人情報管理の在り方について再点検してみましょう。

 

⑴  そもそも個人情報保護法とは?

 個人情報保護法(正式名称 個人情報の保護に関する法律)は、電子計算機の普及等、高度情報通信社会の進展に伴い、個人情報保護の必要性が認識されるようになったことを背景として、2003年に成立したものです。

 個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的としています。

 なお、本項では、2020年に改正された個人情報保護法を、「改正法」と表記します。

 

 

⑵  2020年の主な改正ポイント

 今回は、主に、以下の6つの観点からの改正が行われました。

①  個人の権利の在り方
②  事業者の守るべき責務の在り方
③  事業者による自主的な取り組みを促す仕組みの在り方
④  データ利活用に関する施策の在り方
⑤  ペナルティの在り方
⑥  法の域外適用・越境移転の在り方

 以下、個別に解説します。

 

①  個人の権利の在り方に関する主な改正点

  利用停止・消去の個人の請求権についての要件の緩和(改正法第30条第5項)

 改正法では、個人が保有個人データの利用停止・消去請求権を行使できる範囲が広くなりました。
 具体的には、保有個人データを当該個人情報取扱事業者が利用する必要がなくなった場合、
 個人データの漏洩、滅失、既存その他の個人データの安全の確保にかかる事態であった個人の権利利益を害する恐れが大きいものとして規定される事態が生じた場合、
 その他本人の権利または正当な利益が害される恐れがある場合等にも、利用停止や第三者への提供の停止・削除を請求することができることになりました。

「短期保存データ」の例外の削除(改正法第2条第7項)

 従来、「保有個人データ」の定義からは、6か月以内に消去するもの(いわゆる「短期保存データ」)が除外されていました。しかし、2020年改正法では、短期保存データを「保有個人データ」から除く文言が削除され、改正前は短期保存データとされていたものについても、「保有個人データ」として、開示、利用停止等の対象とすることとなりました。

  オプトアウト規程による第三者提供の限定(改正法第23条第2項)

 「オプトアウト」とは、本人の求めがあれば事後的に停止することを前提に、提供する個人データの項目を公表等したうえで、本人の同意なく第三者に個人データを提供できる制度をいいます。
 改正法では、オプトアウト規程により第三者提供できる個人データについて、要配慮個人情報に加え、①不正取得された個人データ、及び②オプトアウト規程により提供された個人データについても、対象外とすることとしました。

 

②  事業者の守るべき責務の在り方に関する主な改正点

  不適正な利用の禁止の明文化(改正法16条の2)

 個人情報取扱事業者が違法・不当な行為を助長し、又は誘発する恐れのある方法により個人情報を利用してはならない旨が明文化されました。

  漏洩時の個人情報保護委員会・本人への報告・通知義務(改正法22条の2)

 個人情報取扱事業者は、個人データの漏洩、滅失、棄損等が発生し、個人の権利利益を害するおそれが大きいものとして定められた所定の事由が生じた場合には、原則として、個人情報保護委員会及び本人へ報告・通知することが義務付けられました。

 

③  事業者による自主的な取り組みを促す仕組みの在り方に関する主な改正点

 「認定個人情報保護団体」とは、個人情報取扱事業者等の個人情報等の適正な取り扱いの確保を目的として所定の業務を行う、個人情報保護委員会に認定された民間の団体です。
 事業者が取り扱う個人情報等の内容や案件が、各事業者の事業内容等により多種多様であることから、民間事業者の自主的な対応を尊重することを目指し、「認定個人情報保護団体」の制度が導入されています。
 2020年の改正では、「認定個人情報保護団体」は、対象とする事業者等の事業の種類その他の業務の範囲を限定して、対象事業者の苦情処理等の業務を行うことができるようになりました。
 また、改正法では、「認定個人情報保護団体」は、原則として個人情報保護委員会の認定を受けることにより一度認定を受けた業務の範囲を変更することができるようになりました。

 

④  データ利活用に関する施策の在り方に関する主な改正点

「仮名加工情報」の創設(改正法第35条の2)

 「仮名加工情報」は、今回の改正で新たに設けられた概念で、所定の措置を講じることにより、他の情報と照合しなければ特定の個人を識別することができないように加工された情報のことです(改正法第2条第9項)。
 「仮名加工情報」は、「個人情報」と2015年改正で創設された「匿名加工情報」の中間的規律ととらえられています。
 「仮名加工情報」は、事業者内部における分析のためにデータとして用いることの有用性から、その利活用のニーズに応える形で導入されることになり、漏洩による個人情報保護委員会への報告や本人通知は義務付けられず、また、本人の開示請求、訂正等請求、利用停止等請求等への対応も不要とされました。
 ただし、あくまで事業者内部での利活用のためのものですので、第三者提供や目的外利用は原則として禁止されています。

  提供先で「個人データ」となることが想定される情報の第三者提供につき、本人同意等の確認を義務付け(改正法第26条の2)

 提供元では個人データに該当しないものの、提供先において個人データとなることが想定される情報の第三者提供について、本人の同意が得られていること等の確認が義務付けられました。

 

⑤  ペナルティの在り方に関する主な改正点(改正法第85条、第87条第1項)

 委員会による命令違反や委員会への虚偽報告等について、罰則の法定刑が引き上げられました。
 さらに、データベース等不提供罪、個人情報保護委員会による命令違反の罰金につき、法人に対しては1億円以下の罰金となり、金額が大きく引き上げられました。

  漏洩時の個人情報保護委員会・本人への報告・通知義務(改正法22条の2)

 個人情報取扱事業者は、個人データの漏洩、滅失、棄損等が発生し、個人の権利利益を害するおそれが大きいものとして定められた所定の事由が生じた場合には、原則として、個人情報保護委員会及び本人へ報告・通知することが義務付けられました。

 

⑥  法の域外適用・越境移転の在り方に関する主な改正点(改正法第75条、第24条第2項及び第3項)

 日本国内にある者の個人情報等を取り扱う外国事業者について、罰則により担保された報告徴収・命令義務の対象とされました。
 また、外国にある第三者への個人データの提供をする場合、本人からの同意を得る際に、当該外国における個人情報保護制度等の情報を本人へ提供しなければならないものとされ、かつ移転先事業者において「個人情報取扱事業者が講ずべきこととされている措置に相当する措置」の継続的な実施を確保するために必要な措置を講じ、本人の求めに応じて当該措置に関する情報を本人へ提供するものとされました。

 

⑶  対応に困ったら

 事業主様においては、以上の改正点やこれに関連するガイドライン等を分析し、必要に応じて、プライバシーポリシーや社内規程等の見直しを準備する必要が生じます。
 弁護士は、法律、契約書実務に精通している専門家です。煩雑なことは専門家にお任せいただくことで、事業主様は経営に専念していただけます。
 とりわけ法務部門を持たない企業様において、自社での対応が難しい場合、新たに労働者を雇うより少ない経費で顧問契約を結ぶ方法もございます。
 当事務所では、個人情報保護士の資格を有する弁護士が複数在籍しており、顧問先企業様等から、個人情報保護に関するご相談を多数お受けしております。また、個人情報保護に関する社内セミナーのご依頼や社内規程の作成・見直し・ご提案の経験も豊富です。対応にお困りの際、まずはお気軽に当事務所までご相談ください。

※ 本記事は個人情報保護法の2020年改正点の概要をご紹介しております。