個人の利益を守ってくれる個人情報保護法は2022年に改正・施行されます。データで情報管理をしている企業や組織は多いため、改正内容を把握し、然るべき対応をとるようにしましょう。この記事では、2022年の改正個人情報保護法について改正点を解説しています。ぜひ参考にしてください。
個人情報保護法とは?
旧個人情報保護法は2003年に施行されました。個人情報保護法とは、個人情報の利用目的の特定や制限、適切な取得や取得時に行う利用目的の通知、苦情の処理などを取りまとめた法律です。個人の権利利益を保護することを目的に制定されています。2022年より、個人情報保護法は改正され施行されることが決まっています。
改正個人情報保護法の施行開始時期
改正個人情報保護法の施行開始時期は、公布日と施行日とで分かれています。公布されたのは2020年6月12日であり、施行は2022年4月1日からとなります。罰則に関する規定のみ2021年12月12日より先行して施行されている点にも注意をしましょう。施行日以前の行為に対する罰則の適用については、改正前の個人情報保護法の規定が適用されます。
2022年より施行される改正個人情報保護法のポイント
2022年より施行される改正個人情報保護法のポイントは複数あります。ここでは、ポイントを一つずつ解説します。
個人の権利の在り方に関する改正点
改正個人情報保護法では、個人の権利がより保護されるようになりました。個人の権利の在り方に関する改正点について以下にて解説をします。
個人のデータ利用停止等の請求権について
個人データについて、利用停止や消去等を請求する場合の対象要件が緩和されることになりました。改正後は、不正取得された個人データ以外にも、個人データの利用停止・消去の請求が可能になります。
たとえば、事業者が個人データを利用する必要がなくなったときや個人データの漏えいがあったとき、また個人の権利や利益が損なわれるケース等が該当します。
データの開示方法について
旧個人情報保護法では、個人情報取扱業者は原則として、保有している個人データを開示しなければなりませんでしたが、開示は書面による公布が必要でした。しかし、保有個人データは膨大な情報になる可能性もあり、書面に適さない場合がありました。
改正後は、電磁記録の提供を含めて請求者本人によって開示方法を選択できるようになります。個人情報取扱業者は請求された方法によって開示をしなければなりません。
第三者提供記録の開示請求について
第三者提供記録とは、データを取得した事業者(個人情報取扱業者)が第三者へとその情報を提供する際に作成する記録のことです。
改正前は、第三者記録の開示は本人による開示請求対象ではありませんでした。改正後は、個人データの提供者はどのような事業者にどのような内容の情報が提供されたのか、第三者提供記録についての開示請求が可能になります。
不正な手段で個人情報が流通することを防ぐことを期待されています。
短期保存データの取り扱いについて
従来、6カ月以内に消去することを前提として取得した短期保存データについては、開示や利用停止などの請求に応じる義務はないとされていました。改正後は、短期保存データも開示や利用停止請求の対象となります。短期である場合でも、流出をした場合に本人に取り返しのつかない損害が起きてしまうケースもあることから、個人の権利が強化されました。
オプトアウト規定について
本人の同意がない場合でも、個人データを第三者に提供できるオプトアウト規定というものがありました。改正後には、第三者提供する場合には、オプトアウトが規則に従う必要があるという規制が加えられました。オプトアウトを行うには、個人情報保護委員会に届出を提出する義務、本人に通知、または本人が知り得る状況にするとし、本人の要求を受け付ける方法が追加されました。
事業者の責務に関する改正点
事業者の責務に関する改正点では、問題発生時の通知義務や不適切な情報取得に関してなどが該当します。以下にて解説をします。
問題発生時の通知義務について
事業者は情報漏えいや個人の利益損害のおそれがある問題が発生した場合、委員会および本人への通知が義務化されました。旧法では、個人データが漏えいなどの問題が発生した場合にも個人情報保護委員会に報告する義務はありませんでしたが、改正後は報告が義務になります。問題に関しては、規定で定められた一定の類型に該当する場合のみが対象となります。
不適切な情報取得について
旧法では、個人情報の不適切な利用の禁止、違法・不当な行為を助長・誘発するおそれがあったとしても、明文で禁止はされていませんでした。違法ではないにせよ、不当な行為を助長してしまったり、誘発されたりするおそれもあります。本来であれば、個人情報保護法は個人の権利を守るために存在するにも関わらず、個人情報が不適切に利用されるケースなどが存在してしまいました。
そこで改正後には、個人情報を不適切な方法で利用することは禁止であることが、はっきり明文されるようになり、利用した場合には利用停止の対象にもなりました。
事業者の取り組みに関する改正点
個人情報の適切な取り扱いを促すためには、民間による自主的な取り組みが必要となります。そのための仕組みとして、認定個人情報保護団体の制度があります。
認定個人情報保護団体とは、民間による個人情報保護を目的として個人情報保護委員会に認定を受けた法人のことです。これまでは認定団体は対象事業者すべての分野を対象としていましたが、改正により企業の特定分野を対象とする団体においても認定可能になりました。
事業単位の認定団体制度により認定団体の活用ができ、個人情報の保護に対する取り組みがより強化されることが期待されます。
データの利活用に関する改正点
データの利活用に関する改正点を上げていきます。改正点には、仮名加工情報について第三者によって利活用される情報などがあります。
仮名加工情報について
旧法では、事業者側が利用する目的で個人情報を加工したうえで特定できないようにした場合でも、個人情報に該当してしまいます。利用目的を特定、目的外利用の禁止、取得時の利用目的の公表、データ内容の正確性の確保などを行わなければなりませんでした。
改正後は、「仮名加工情報」制度が新設され、開始・利用停止請求の義務化が緩和されます。ただし、内部分析等への利用を目的とするなど、限定的な状況でのみの利用となります。
第三者によって利活用される情報について
これまでは、データ取得時に個人データとなる情報でなければ、個人データの第三者提供とみなされませんでした。改正により、データ取得時には個人データに該当しないものの、第三者に提供することで個人データとして用いられることが想定される情報を取得する際、本人の同意が必要などの制限がかかるようになりました。
個人を想定される情報とは、cookieなどが該当し、他の情報と照らし合わせることで、個人を特定できる可能性があるものです。制限がかかることで、本人の同意がなく提供されることで生じる問題が防げるようになります。
罰則に関する改正点
改正前は、委員会からの命令違反や虚偽申告は、命令違反の場合6カ月以下の懲役または30万円以下の罰金となっていました。
改正後は、1年以下の懲役または100万円以下の罰金に改正され、虚偽報告は50万円以下の罰金に改正されます。法人に対してはこれまで個人と同額の罰金が課せられていましたが、1億円以下の罰金となり、法人への高額な罰金制度を導入する予定です。
背景には法人の罰則を、個人同様に数十万円だったものから、数倍以上に重罰化することで、不正流用などを防ぐ役割、命令違反や虚偽報告の抑止が期待されています。
法が適用されない場所や越境に関する改正点
旧法では、外国の事業者の場合、日本国内の者に関する個人情報を取り扱っている事業者であっても報告徴収・立入検査などの対象ではありませんでした。改正後は外国事業者であっても、日本国内の者に関係する個人情報を扱う場合、罰則で担保された報告徴収・命令対象となります。
外国事業者においては、自国の名称や個人情報保護に関係する制度の有無などを個人データ提供者に対して通告しておく義務が発生するようになります。
2022年の改正個人情報保護法に伴い企業がとるべき対策
2022年の改正個人情報保護法に伴い企業がとるべき対策としてはどういったものがあるのでしょうか、以下にて解説をします。
個人データの取り扱いへの対応
事業者は請求者の希望する開示方法で、個人データの開示を行えるよう準備しておく必要があります。また、第三者に個人情報を提供する場合、データの提供日、第三者の個人情報など規定で定められた内容を記録しなければなりません。
記録作成義務は、事前に本人の同意を得ている場合でも、免除されるわけではありませんので注意が必要です。また、記録は個人情報保護委員会規則で定められた期間保存しなければなりません。さらに、オプトアウト利用についての同意をプライバシーポリシーへ追加する必要があります。
事業者の責務においての対応
自社の個人データ収集方法が不適切な方法に当たらないかを確認しましょう。また、問題が起きてしまった場合には、速やかに委員会および個人への通達を行うフローを作成しておくとよいでしょう。
個人データの漏えいなどが発生した場合の対応については、個人情報保護委員会のホームページにも記載してあります。対象となる事案や、漏えい等事案が発覚した場合に講ずべき措置が具体的に示されています。また、報告の方法、報告を要しないケースなどの確認も可能です。
まとめ
旧個人情報保護法から改正個人情報保護法となることで、関係する企業各社も個人データの取り扱いやセキュリティ強化が重要となるでしょう。
SBテクノロジーでは、お客様に代わって EDR が検知したサイバー攻撃の痕跡から攻撃を早期に検知し、ネットワーク内を調査することでサイバー攻撃の拡散を防ぐ、侵入を前提としたセキュリティ対策サービス「MSS for EDR」をご提供しています。
改正個人情報保護法の対応に向けてセキュリティ強化を検討している方は、ぜひお問い合わせください。
