企業内部からの個人情報漏えいが増加していることから、個人情報保護法について企業の関心が高まっています。
2021年に情報処理推進機構IPAが発表した「企業の営業秘密の管理に関する調査」によると、退職者による個人情報の持ち出しが最も多いという結果となりました。
2022年4月には個人情報保護法が改正され、個人情報取り扱い事業者への責務追加による罰則強化など認識を新たにする必要が出てきましたが、その内容をしっかりと理解されている方は多くはないのではないでしょうか。
そこで本記事では、決して他人事ではない個人情報保護法の改正についてまとめた内容をご紹介します。
個人情報保護法の改正内容をまだ知らない方や、しっかりと理解しておきたい方はぜひご覧ください。
目次
改正個人情報保護法とは?
個人情報保護法とは、個人情報取り扱い事業者が情報を取り扱う際のルールについて定めた法律です。
2005年の施行以来、状況の変化にそって見直しが行われ、2022年には3年ごとに見直すというルールのもと改正が行われました。
見直しの基準となるのは以下の5つの項目です。
- 「個人の権利利益保護」
- 「外国事業者によるリスク変化への対応」
- 「保護と利用のバランス」
- 「AI・ビッグデータ時代への対応」
- 「国際的潮流との調和」
個人情報保護法が改正された目的と背景
そもそも個人情報保護法は、個人情報の「権利と利益の保護」「有効性の維持」という2つの目的のために作られました。これは個人情報を事業や社会のために有効活用しながら、個人の利益や権利についてもしっかり守るというもので、個人情報取り扱い事業者が守るべきルールの一つです。
保護法施行の背景には、情報化が進むにつれて流出した個人情報を悪用するケースが増加したためです。
当時の日本には個人情報についての法的ルールがなく、このことから2005年に個人情報保護法が施行されました。
しかし、情報通信技術の発達とともに個人情報の悪用方法も多様化し、改正前の個人情報保護法では対応しきれないことが明らかになりました。発覚した課題を解決するため、2017年に改正個人情報保護法が施行されました。
改正個人情報保護法に関する公布日・施行日
改正個人情報保護法の公布日は2020年6月12日、施行日は2022年4月1日です。
改正個人情報保護法では6つのポイントがあり、その1つである法令違反をした場合のペナルティ強化については、ほかに先駆けて2020年12月12日施行となっています。
さらに、個人データの第三者への提供時の経過措置についても2021年10月1日に施行され、これについては2015年に個人情報の保護と活用のバランスについて考慮された改正が行われており、3年ごとに見直しを行う規定がされました。
それが2020年に公布された改正個人情報保護法です。
実際には2018年12月頃から個人情報保護について国内外における政策や技術、産業などの状況調査が実施されています。
同時に、あらゆる分野の専門家にヒアリングを行い、具体的に改正するべき点についても検討されたうえで法改正を行いました。個人情報保護委員会のホームページでは、その調査結果が国ごとにまとめられています。
2022年4月施行の改正個人情報保護法6つのポイント
2022年4月1日に全面施行となった改正個人情報保護法は以下の6つのポイントがあります。
- ポイント①:個人の権利保護強化
- ポイント②:事業者の責務追加
- ポイント③:民間による自主的な取組の推進
- ポイント④:データ活用の促進
- ポイント⑤:ペナルティの強化
- ポイント⑥:外国事業者への罰則の追加
これらについて詳しく解説します。
ポイント①:個人の権利保護強化
改正前は6カ月以内に消去する個人情報を保有個人データに含みませんでしたが、 改正後は保有する期間を問わず、保有個人データとして保護しなければなりません。
また、本人からの保有個人データの利用停止・消去の請求は、「目的以外で利用されたとき」「不正に取得されたとき」のみ可能です。
第三者提供の停止請求については、「本人の同意なく第三者提供されたとき」となっていましたが、改正後はこれらに加えて、 「不適正に利用されたとき」も請求可能となりました。
ポイント②:事業者の責務追加
万が一、保有個人データが漏えいなどした際には必ず報告し、本人にも通知しなければならないという義務が追加されました。
ただし、データの取り扱いについて委託されているケースでは、委託元への通知のみで問題ありません。
また、「本人に通知することが難しいとき」「本人の権利・利益の保護をするために代替措置を行っているとき」は、必ずしも通知しなければならないというわけではないと定められています。
ポイント③:民間による自主的な取組の推進
認定個人情報保護団体とは、本人あるいは関係者から個人データの取扱いについて苦情があった場合の処理、個人データの適正な取扱いについての情報提供など必要な業務を自主的に行う民間団体です。
改正前は個人情報取扱事業者のすべての分野が対象となっていましたが、改正後は特定分野のみを対象にすることが可能となりました。
ポイント④:データ活用の促進
改正前は個人が特定できないように加工してある場合でも厳しい規制が課せられていました。
改正後は氏名を削除したうえで、ほかの情報と照合しなければ個人を特定できないように工夫していれば、特定条件を満たしている場合に限り、開示や利用停止請求への対応義務などが緩和されます。
ただし、Cookieなど識別子情報、そこからわかる閲覧履歴・購入履歴など個人関連情報を第三者提供する場合、提供元は提供先に対して本人の同意を得ていることかどうかを確認しなければなりません。
ポイント⑤:ペナルティの強化
改正前に個人が措置命令違反した場合は、6カ月以下の懲役もしくは30万円以下の罰金でしたが、改正後は1年以下の懲役もしくは100万円以下の罰金に強化されています。
また、報告義務違反についても、改正前の30万円以下の罰金から改正後は50万円以下の罰金に変更されています。
法人が違反した場合も、改正前は個人に対するものと同じでしたが、改正後は厳しくなり、措置命令違反や個人情報データベースなどからの不正流用で1億円以下の罰金となっています。
報告義務違反については50万円以下の罰金です。
ポイント⑥:外国事業者への罰則の追加
一部のみ対象となっていた外国事業者への罰則は、改正後には日本国内に住む人の個人情報などを取り扱っている事業者も報告徴収・命令の対象になり、これに違反した場合は罰則が適用されるようになりました。
企業がすべき改正個人情報保護法への対策
個人情報保護法の改正にあたり、企業がどのような対策をしたほうが良いのか、ここでは3点ご紹介します。
電磁的記録(デジタルデータ)による開示請求への対応準備
改正前は本人から保有個人データについての開示請求がされたとき、原則として書面での開示をしなければなりませんでした。
改正後は、開示請求方法を本人が選択することが可能となり、書面以外に電磁的記録による開示もできるようにしておかなければいけません。
場合によっては、プライバシーポリシーの改訂も必要となります。
ただし、電磁的記録による開示に膨大な費用のかかる場合は、紙での開示も認められています。
個人データの取り扱いへの対応(権利侵害の恐れなどの社内確認)
改正後は本人が第三者提供された記録を開示できるようになりました。
また、本人の権利利益が侵害される可能性があるときには、本人が利用停止・消去、第三者提供の停止などが請求できます。もし停止請求された場合、事業に大きな影響を及ぼすケースもないとはいえません。
そのため、あらかじめ第三者請求において権利の侵害をしていないかどうかの確認を行い、必要に応じて社内での取り扱いについても見直す必要があります。
事業者の責務においての対応(情報漏洩発生時の対応見直し)
改正後、保有個人データが漏えいした際には個人情報保護委員会と本人への報告が義務化されています。
情報漏えいはあってはならないことですが、万が一に備えて具体的な例を考慮したうえで業務フローを見直し、対応に関するマニュアルの作成が必要です。
特に、分野によって各部署で個人データを保有している場合は、多方面から対策法を練っておくことが重要になります。
個人情報保護委員会のホームページには、情報漏えいした際にどのような対応をとるべきなのか具体的に記載されているので参考にしましょう。また、報告する必要がない例についても確認可能です。
まとめ
主に6つの改正ポイントにそって施行された改正法では、個人の権利が拡充し、個人情報取り扱い事業者への債務追加による罰則が強化されました。
これによりプライバシーポリシーや個人情報の管理の見直しなど、改正法に則した対応が必要となります。
安全管理の徹底や情報漏えい防止に備え、詳細なガイドラインを確認するとともに専門家へ相談することもぜひご検討ください。
メールマガジンで「マーケティング」に関するお役立ち情報を定期的にお届けしています!
▼メルマガ無料購読はこちらから!