2022年4月施行の改正個人情報保護法からまもなく1年が経ちます。
今回は改めて個人情報保護法を確認し、改正された内容や、改正に対応するために実施すべきポイントについて、前編・後編に分けて解説します。
日本国内の事業者は、規模の大小に関係なく対応範囲や罰則が強化されており、知らなかったでは済まされない状態となっています。対策の参考にしていただければ幸いです。

個人情報保護法とは

改正個人情報保護法は、個人情報保護法が元になっています。個人情報保護法とは、2003年に総務省が制定した「個人情報の保護に関する法律(平成15年法律第57号)」で、個人情報が悪用されたり外部へ流出したりすることを防ぐことを目的とし、個人情報の取扱いに関する基本的事項が示されています。民間企業に加え官公庁にも適用されており、社会情勢や個人情報の活用方法の変化などに合わせて、制定後も定期的に改正が行われています。

個人情報保護委員会が示す改正の5つの視点

個人情報保護法は制定以来、社会情勢の変化に伴い見直しが行われており、今回の改正は3年ごとの個人情報保護法の見直しを受け、反映したものです。
2015年の法改正によって、2016年1月に個人情報保護委員会が設置されました。同委員会は、委員長および8人の委員で構成されており、改正について5つの視点を示しています。

① 個人の権利利益の保護

個人情報保護法第1条では、個人の権利利益を保護することを目的としています。
個人情報を提供する個人が自身のデータの取り扱いに関心を高めていることから、個人情報保護法の目的である、個人の権利や利益を守るための措置を十分に講じなければならないとしてます。

② 保護と利用のバランス

2015年の法改正によって重視された個人情報保護と利用のバランスは重要なポイントです。
技術革新を守ることと有益な活用が重要であり、引き続き技術革新の成果を守りつつ、経済成長のために利用できるような制度を整備する必要があるとしています。

③ 国際的潮流との調和

個人情報に関するデータが国外へ流通するケースが増えたことや、個人データに関連する制度の立法・改正が世界的に行われていることを踏まえ、グローバル化に対応すべく、外国との調和・連携する制度にしなければならないとしています。

④ 外国事業者によるリスク変化への対応

国境を越えたクラウドサービスなどでの利用、海外事業者のサービスの利用、製品の原材料や部品の調達から販売までの一連の流れを意味するサプライチェーンの複雑化が進むなか、個人情報保護に関して本人が直面するリスクが変化してきています。このリスクへも対応しなければいけないとしています。

⑤ AI・ビッグデータ時代への対応

AI・ビッグデータ時代を迎えるにあたり、個人情報に関するデータの活用方法が多様になりました。それに伴い、本人が個人情報を網羅的に把握することが困難になってきています。そこで事業者は、できる限り本人が個人情報を把握できるよう環境を整備しなければならないとしています。

個人情報保護法改正の背景

今回の改正個人情報保護法の公布日は2020年6月12日で、施行日は2022年4月1日でした。
個人情報保護法の施行時は、民間事業者向けと行政機関向けで、個別のガイドラインが制定されていましたが、今回、官民のガイドラインが統一され、現在は内閣総理大臣の所轄に属する行政委員会である個人情報保護法委員会がその統括をしています。

<個人情報保護法の変遷>
2003年:個人情報保護法 施行 (公布:2003年)
2017年:個人情報保護法 改版 (公布:2015年)
2022年:改正個人情報保護法 施行(公布:2020年)

個人情報保護法の6つの改正点

個人情報の取り扱いが厳格化され、漏えい時には通知が「完全義務化」され、「厳罰」が科されます。ここからは、2022年の改正で設けられた改正点6つを解説します。

① 個人の権利の在り方

主に取得した個人情報の取り扱いルールについて示されています。
改正前は何らかの方法で不正に取得されたデータのみが利用停止や情報消去を求められる対象でしたが、これに加えて、個人の権利または正当な利益が害されるおそれがある場合も、個人情報の利用停止や情報消去の請求ができるようになりました。
また、個人情報の開示に関しても、本人がデータの開示方法を指定できるようになると共に、第三者へデータを提供した場合にはその提供記録の開示請求も可能となりました。
事業者は、オプトアウト(はっきりとした同意をとらずに第三者提供ができる)の対象が変更されており注意が必要です。

② 事業者の義務の在り方

主に個人情報を取り扱う事業者の責務について示されています。
改正前は漏えい事故が発生した場合でも、報告や通知は努力義務でした。
改正後は「質的に侵害の恐れが大きい類型」「量的に侵害の恐れが大きい類型」について、個人情報保護委員会への報告と本人への通知が義務化されました。
さらに報告は「速報」と「確報」に分けての報告が必要となります。速報はインシデントが発覚してから3〜5日以内、確報は60日以内とされており、この報告等の義務違反があった場合、行政処分の対象になります。
また、平素から事業者として情報の取り扱いで気をつけるべきポイントが2点あります。
1つ目は「不適切利用の禁止」。違法行為をする第三者に個人情報を提供する、差別を誘発するような個人情報を集約してデータベース化・インターネット上で公開するといった不適正な方法で個人情報を利用してはならないとされています。2つ目は、本人から得た情報から、プロファイルやスコアリングなどを経て関心事などの情報を分析する場合、その利用目的を本人にある程度イメージできるようにしておくことです。

③ 特定分野を対象とする団体の認定団体制度を新設

「認定個人情報保護団体」の認定対象の拡充が行われました。
苦情処理や対象事業者への情報提供を行う「認定個人情報保護団体」として、民間団体を認定する認定制度があります。これまでは事業分野単位の民間団体が対象でしたが、改正後は部門単位で組織される民間団体も認定を受けることが可能となりました。
認定されると、定期的な情報提供や、万が一漏えいを起こしてしまった場合も、事故報告や仲介業務などの支援をしてくれるため、インシデント発生時の事故対応や是正活動に専念できるようになります。

④ データ利活用の施策

データの利活用を目的に、「仮名加工情報」制度の新設と事業者義務が緩和されました。
改正前は、事業者がデータを利用する場合、個人を特定できないよう個人情報を加工した場合でも、利用目的を明確にして、本人に公表するよう求めるなど、利活用の鈍化につながっていました。
そこで「仮名加工情報」制度を新設し、その人が誰なのか、他の情報と照合しない限り特定できないような何らかの加工をして活用・保管すれば、開示・利用停止請求への対応などの義務が緩和されました。具体的には、氏名を削除または置換、クレジットカード番号などの財産的被害が生じるおそれがある番号を削除するなどの措置が求められます。

⑤ 法令違反に対するペナルティの強化

今回の改正で、法定刑が個人・法人共に概ね引き上げられました。個人情報保護委員会からの措置命令の違反、個人情報データベースなどの不正提供、個人情報保護委員会への虚偽報告などをした際の罰則が重くなっています。
法人などが個人情報保護委員会からの措置命令に違反した場合と、個人情報データベースなどを不正提供した場合が特に重くなっています。いずれも法令違反をした際の罰金が1億円以下と大幅にアップしています。

⑥ 法の域外適用・越境移転

外国の事業者への域外適用について、範囲が変更されました。
外国事業者が国籍を問わず日本在住の人のデータを扱うケースが増えています。
改正前は海外の事業者が日本国内にある支店などで個人情報を扱う場合の立ち入り検査や報告徴収といった罰則はありませんでしたが、改正後は日本国内の個人情報を取り扱う外国事業者も、罰則によって担保された報告徴収・命令および立ち入り検査の対象となりました。命令に従わない場合には公表を行うことができます。

まとめ

個人情報保護法改正により、本人の情報保護に関して規定が強化されました。
個人の権利の強化や第三者提供にまつわる変更、仮名加工情報や個人関連情報の新設など、多岐にわたる改正ポイントを前編としてご紹介しました。次回、後編では、企業が確認すべき改正個人情報保護法への対策を中心にご紹介いたします。