改正個人情報保護法が2020年6月に公布され、2022年4月1日に施行されます。自社の個人情報の取扱いやセキュリティが、改正法と適しているかを確認している情報システム担当者も多いのではないでしょうか。この記事では、改正個人情報保護法の目的や改正ポイントについて解説します。ぜひ、自社の個人情報取り扱いの参考にしてください。
個人情報保護法の改正の目的
個人情報保護法が改正されるのには目的があるからです。改正ポイントを理解するためにも、まずは目的について解説します。
個人の権利や利益を保護する
社会の IT 化がますます進化している中で、サイバー攻撃や個人情報の漏えいなどが話題になっています。個人情報保護法の第1条の「個人の権利利益の保護」を担保するため、十分な措置を整備する必要が生じました。また、自分の個人情報の取扱いについて、関心を高める人も増えているため、その期待に応えなければなりません。
ビッグデータや AI への対応
ビッグデータがますます活用されるようになり、AI が急速に進化しビッグデータを自動分析しています。個人情報は、これまで以上に多岐にわたって利用されています。このような環境下では、個人情報がどのように取り扱われているかを網羅し、把握することは困難です。
事業者は、個人情報を取り扱う際に、本人に説明責任を果たさなければなりません。本人が予測できる範囲内の利用とするためにも法改正が必要となります。
個人情報保護と利用のバランスをとるため
個人情報保護と個人情報利用のバランスは大切です。個人の権利利益の保護と経済成長などが、両面で行き渡る制度を目指さなければなりません。今回の法改正でも、データの利活用と個人情報保護のバランスを図る形で進められてきました。個人情報に関する技術革新成果によっても、両面で行き渡る制度を目指しています。
国際社会との調和をとるため
個人情報は、国内だけで利活用されているわけではありません。グローバル展開している事業者では、海外や海外からデジタル化された個人情報を利活用しているのが実態です。国内と同様に個人情報を保護するためには、国際的な制度との調和や連携が不可欠であり、これまでの制度を見直さなければなりません。
外国事業者によるリスク多様化への対応
IT の進化により、国内であっても外国事業者のサービスを利用する人も増加し、海外の EC サイトなどで買い物をする人もいます。国境を超えたビジネスにより、個人情報も国境を超えて利用されるようになっているのです。外国事業者による情報漏えいリスクが増大し、本人が直面するリスクも多様化しているため、これらに対応する必要があります。
ガイドラインのポイント1:個人の権利保護強化
改正個人情報保護法のガイドラインのポイントの1つが個人の権利保護の強化です。主なものを4つ解説します。
短期保有データを保有個人データ化する
これまで、6ヶ月以内に消去される「短期保有データ」は、「保有個人データ」に含まれていませんでした。しかし、短期間で消去される場合でも漏えいリスクがあるため、保有個人データに含まれるようになります。保有個人データとは、本人が求めれば、事業者は開示、訂正、利用停止などが行える個人データであり、個人情報保護法で定義されています。
開示請求のデジタル化
本人が求めれば、個人情報取扱事業者は、保有個人データを開示しなくてはなりません。しかし、個人情報によっては、動画や音声データなど情報量が膨大なものもあります。これまでは、書面による開示・交付が原則であったため、動画や音声データの書面開示・交付は不可能でした。
今回の改定により、本人が指定する方法で開示請求できるようになるため、電磁的記録(データ)での開示・交付も選べるのです。事業者は、個人情報のデジタル化を急ぐ必要があります。
利用停止・消去請求権などの要件緩和
本人が、保有個人データの利用停止や消去などを請求できる要件が緩和されます。これまでは、事業者が個人情報を目的外で利用した場合や不正手段により個人情報を取得した場合に限られていました。しかし、本人の個人情報に対する権利保護により強化されたのです。法改正後は、次のケースでも利用停止や消去を請求できます。
- 保有個人データを利用する必要がないと判断できる場合
- 事業者による保有個人データの漏えい
- 個人の権利利益の保護が侵害される可能性がある場合
第三者提供記録の開示請求権
法改正により、第三者への提供禁止請求権の要件も緩和されます。事業者は、個人情報を第三者に提供したり、受領したりする場合は、法令で定めた記録が必要です。しかし、その記録の開示は、本人であっても請求できませんでした。改正法施行後は、本人が第三者提供記録の開示が請求できるようになります。
ガイドラインのポイント2:事業者の責務追加
ポイントの2つ目は、事業者への責任の追加です。「漏えい報告の義務化」や「不適正な利用」について解説します。
漏えい報告の義務化
個人情報取扱事業者は、個人情報が漏えいした場合であっても、個人情報保護委員会への報告義務がありませんでした。改正により事業者は、個人情報が漏えいした場合、同委員会への報告が責務として義務化されます。個人情報の受託者は、直接の報告義務はありませんが、委託者である事業者への報告義務があり、事業者は同委員会へ報告しなければなりません。
不適正な利用が禁止される
今回の改正により、個人情報を不適正に利用することが禁じられます。不適正な利用とは、違法や不当な行為を助長したり、誘発したりする利用方法です。これまでは、不適正な利用について、個人情報保護法で禁止されていませんでした。施行後は、個人の権利利益に反する方法での利活用は許されません。
ガイドラインのポイント3:団体認証制度の新設
法改正により、特定分野を対象とした認定団体制度が充実されます。内容や団体認定制度について解説します。
特定分野を対象とする認定団体制度
改正個人情報保護法では、特定分野を対象とする団体の認定団体制度が拡充されます。特定の業種や業務に限定した団体を認定できるようになるため、認定団体の活用が進むと期待されているのです。
これまでの認定団体制度では、対象事業者の全ての分野を対象とする団体のみの認定となっていました。事業単位であっても認定団体と認められれば、専門的な個人情報保護を推進できるとされています。
認定団体制度とは
認定団体制度とは、認定個人情報保護団体の略称です。個人情報保護法に定められ、個人情報保護委員会以外にも、民間団体による自主的な個人情報保護を図るために設けられています。個人情報保護委員会から認定を受けることで、認定個人情報保護団体と認められるのです。
法改正により、特定分野の個人情報保護指針の作成が求められています。また、個人情報に関する苦情を受付けたり、事業者へ個人情報の適切な取扱いの指導や情報提供を行ったりすることも期待されます。
ガイドラインのポイント4:法令違反の罰則強化
今回の法改正では、個人の権利や利益を保護する観点から、法令違反の罰則も強化されます。改正前との比較を含めて解説します。
措置命令・報告義務違反の法定刑引き上げ
改正個人情報保護法の施行により、措置命令や報告義務違反に対する法定刑が引き上げられました。これまでの法定刑では、「個人の権利利益の保護」が難しいと判断されていました。法律の実効性を上げることで、法律違反の抑止が期待されています。
法人の罰金刑を引き上げ
法定刑の引上げと同様に法人の罰金刑も引き上げられました。これまでの、罰金刑よりも重い刑とすることで、法令違反の抑止効果が期待できるからです。これまで、数十万程度であった罰金刑が、最大1億円の罰金刑となっています。
改正前と後での法定刑比較
| 罰金刑 | 懲役刑 | ||||
|---|---|---|---|---|---|
| 改正後 | 改正前 | 改正後 | 改正前 | ||
| 個人情報保護委員会からの命令を違反 | 個人など | 100万円以下 | 30万円以下 | 1年以下 | 6ヶ月以下 |
| 法人など | 1億円以下 | 30万円以下 | - | - | |
| 個人情報データなどの不正提供など | 個人など | 50万円以下 | 50万円以下 | 1年以下 | 1年以下 |
| 法人など | 1億円以下 | 50万円以下 | - | - | |
| 個人情報保護委員会への虚偽報告など | 個人など | 50万円以下 | 30万円以下 | - | - |
| 法人など | 50万円以下 | 30万円以下 | - | - | |
改正個人情報保護法は、2022年4月1日に施行されますが、法定刑は、2020年12月12日から引げ上げられました。従って、法令に違反した場合は、改正後の重い刑罰や罰金刑が科せられます。
ガイドラインのポイント5:外国事業者に対する罰則など
個人情報を護り、個人の権利利益を保護するためには、外国事業者であっても個人情報保護法を遵守させなくてはなりません。しかしこれまでの法では、外国事業者へは立入検査や命令に関する規定が適用されていませんでした。
今回の改定により、国内の個人に関わる個人情報を取扱う外国事業者も、罰則によって担保された報告徴収・命令の対象となります。つまり、海外にある外国事業にも、権限の行使が可能となるのです。
ガイドラインのポイント6:データの活用推進
個人情報を護ることは重要ですが、利活用とのバランスをとることも大切です。ここでは、データの利活用推進について解説します。
仮名加工情報について義務を緩和
個人情報であっても、個人を特定できないように加工した情報は、個人の権利利益の保護を侵害する可能性が低くなります。これまでは、このような情報であっても個人情報に該当していました。
そこで、データを利活用する観点から「仮名加工情報」が創設されることになりました。仮名加工情報は、他の情報と照合しなければ、個人を識別できないように加工された情報です。開示や利用停止請求への対応義務が緩和されるため、データの利活用が進むと期待されています。
提供先での個人情報確認義務の新設
個人関連情報の第三者提供規制が新設されます。これまで、提供元では個人関連情報であっても、提供先で個人情報となりうる情報に対しては規制がありませんでした。
改正により、提供先で個人情報となることが想定される場合には、原則として本人の同意が必要となります。提供元は、提供先で個人情報に当てはまるか検討しなければなりません。該当する場合は、本人の同意を確認した上で、個人関連情報を提供することになります。
個人関連情報とは「生存する個人に関する情報であって個人情報・仮名加工情報・匿名加工情報のいずれにも該当しないもの」※1です。
まとめ
は、2022年4月に施行されます。今回の改正の中で、法令違反の罰則は、法定刑・罰金刑ともに大幅に引き上げられ、2020年12月に施行されています。個人情報取扱事業者は、早急に改正個人情報保護法を把握し理解を深め、自社の個人情報取扱い方法が改正法に適合しているかを確認しなければなりません。
改正法に適合していない場合は、早急に対応しましょう。しかし、事業者によって必要な対応が異なり、多くの事業者は自前で対応することが難しくなっています。このようなケースでは、セキュリティ対策事業者へ依頼することが有効です。
SBテクノロジーでは、個人情報のセキュリティ対策支援として、サービスの導入から、セキュリティ監視・運用・各ソリューションをまたいだ相関分析・調査・解決策のご提案まで一貫して提供しています。
