個人情報保護法改正【2022年4月施行】
個人情報保護法とは、個人情報の利用目的の特定や制限、適切な取得や取得時に行う利用目的の通知、苦情の処理などを取りまとめた法律であり、個人の権利利益を保護することを目的に制定されています。
2022年より施行される改正個人情報保護では、個人の権利がより保護されるようになりました。個人の権利の在り方のみならず、事業者の責務及び取り組み、データ利活用、罰則、法が適用されない場所や越境に関する改正点について、下記に記載します。
【個人の権利の在り方】
・個人のデータ利用停止等の請求権
個人データについて、利用停止・消去等を請求する場合の対象要件が緩和され、改正後は、不正取得された個人データ以外にも、個人データの利用停止・消去の請求が可能になります。具体的には、事業者が個人データを利用する必要がなくなった、個人データの漏えいがあった、個人の権利や利益が損なわれるケース等が該当します。
・データの開示方法
旧法では、個人情報取扱業者は、原則として、保有している個人データを開示しなければなりませんでしたが、開示は書面による公布が必要でしたが、保有個人データは膨大な情報になる可能性もあり、書面に適さない場合がありました。改正後は、電磁記録の提供を含めて、請求者本人により開示方法を選択できるようになります。個人情報取扱業者は請求された方法によって開示をしなければなりません。
・第三者提供記録の開示請求
第三者提供記録とは、データを取得した事業者(個人情報取扱業者)が第三者へとその情報を提供する際に作成する記録のことです。改正前は、第三者記録の開示は本人による開示請求対象ではありませんでしたが、改正後は、どの事業者にどのような内容の情報が提供されたのか、第三者提供記録についての開示請求が可能になります。不正な手段で個人情報が流通することを防ぐことを期待されています。
・短期保存データの取り扱い
従来、6カ月以内に消去することを前提として取得した短期保存データは、開示や利用停止などの請求に応じる義務はないとされていました。改正後は、短期保存データも開示や利用停止請求の対象となります。短期である場合でも、流出をした場合、本人に取り返しのつかない損害が起きてしまうケースもあることから、個人の権利が強化されました。
・オプトアウト規定
本人の同意がない場合でも、個人データを第三者に提供できるオプトアウト規定というものがありました。改正後は、第三者提供する場合には、オプトアウトが規則に従う必要があるという規制が加えられました。オプトアウトを行うには、個人情報保護委員会に届出を提出する義務、本人に通知、または本人が知り得る状況にするとし、本人の要求を受け付ける方法が追加されました。
【事業者の責務】
・問題発生時の通知義務
事業者は、情報漏えい、個人利益損害のおそれがある問題が発生した場合、委員会および本人への通知が義務化されました。旧法では、個人データが漏えいなどの問題が発生した場合にも個人情報保護委員会に報告する義務はありませんでしたが、改正後は報告が義務となります。問題に関しては、規定で定められた一定の類型に該当する場合のみが対象になります。
・不適切な情報取得
旧法では、個人情報の不適切な利用の禁止、違法・不当な行為を助長・誘発するおそれがあったとしても、明文で禁止はされていませんでした。違法ではなくとも、不当な行為を助長してしまったり、誘発されたりするおそれがあります。本来であれば、個人情報保護法は個人の権利を守るために存在するにも関わらず、個人情報が不適切に利用されるケースなどが存在してしまいました。そのため改正後には、個人情報を不適切な方法で利用することは禁止であることが、はっきりと明文化され、利用した場合には利用停止の対象になりました。
【事業者の取り組み】
個人情報の適切な取り扱いを促すためには、民間による自主的な取り組みが必要となります。その仕組みとして、認定個人情報保護団体制度があります。認定個人情報保護団体とは、民間による個人情報保護を目的として個人情報保護委員会に認定を受けた法人です。これまでは認定団体は対象事業者すべての分野を対象としていましたが、改正により企業の特定分野を対象とする団体においても認定可能になりました。事業単位の認定団体制度により認定団体の活用ができ、個人情報の保護に対する取り組みの強化が期待されます。
【データの利活用】
・仮名加工情報
旧法では、事業者側が利用する目的で個人情報を加工したうえで特定できないようにした場合でも、個人情報に該当し、利用目的を特定、目的外利用の禁止、取得時の利用目的の公表、データ内容の正確性の確保などを行わなければなりませんでした。改正後は、「仮名加工情報」制度が新設され、開始・利用停止請求の義務化が緩和されます。ただし、内部分析等への利用を目的とするなど、限定的な状況でのみの利用となります。
・第三者によって利活用される情報
これまでは、データ取得時に個人データとなる情報でなければ、個人データの第三者提供とみなされませんでした。改正により、データ取得時には個人データに該当しないものの、第三者に提供することで個人データとして用いられることが想定される情報を取得する際、本人の同意が必要など、制限がかかるようになりました。個人を想定される情報とは、cookieなどが該当し、他の情報と照らし合わせることで、個人を特定できる可能性があるものです。制限がかかることで、本人の同意がなく提供されることで生じる問題が防げるようになります。
【罰則】
改正前は、委員会からの命令違反や虚偽申告は、命令違反の場合6カ月以下の懲役または30万円以下の罰金となっていました。改正後は、1年以下の懲役または100万円以下の罰金に改正され、虚偽報告は50万円以下の罰金に改正されます。法人に対しては、これまで個人と同額の罰金が課せられていましたが、高額な罰金制度が導入されます。背景には法人の罰則を、個人同様に数十万円だったものから、数倍以上に重罰化することで、不正流用などを防ぐ役割、命令違反や虚偽報告の抑止が期待されています。
【法が適用されない場所や越境】
旧法では、外国事業者の場合、日本国内の者に関する個人情報を取り扱っている事業者であっても、報告徴収・立入検査の対象ではありませんでした。改正後は、外国事業者であっても、日本国内の者に関係する個人情報を扱う場合、罰則で担保された報告徴収・命令対象となります。外国事業者においては、自国の名称や個人情報保護に関係する制度の有無などを、個人データ提供者に対して通告しておく義務が発生するようになります。
