2022年4月施行「改正個人情報保護法」のポイント

2020年6月に成立・公布された「改正個人情報保護法」が、2022年4月に全面施行を迎えます。今回の改正法では、個人の権利意識の高まりや、技術革新との調和、国際化への対応といった観点から、個人の権利強化や事業者の責務が大きく見直されました。

改正のポイントは大きく以下の6つに分けることができます。

① 個人の権利強化

② 事業者の守るべき責務の追加

③ データ利活用の促進

④ 部門別の認定個人情報保護団体の制度化

⑤ ペナルティの強化

⑥ 外国事業者への罰則追加

以下、それぞれの概要について説明します。

個人の権利強化

最近の個人情報に対する意識の高まりを踏まえて、個人の権利が強化されました。具体的には次のような変更がなされています。なお、それぞれの詳細についてはこちらの記事をご参照ください。

(1) 個人情報の利用停止・消去などの請求権の拡大

これまで個人は、「法律違反がある場合」に限り、企業に対して利用停止・消去などの請求権を行使できましたが、本改正により、「利用する必要がなくなった場合」や「重大な漏えいが発生した場合」など、権利行使できる範囲が広がりました。

(2) 短期保存データの保有個人データ化

短期保存データ (６ヶ月以内に削除される個人データ) も、開示や利用停止の対象となる「保有個人データ」に含めることになりました。短期しか保存しないデータであっても、漏えいすれば個人の権利を害するリスクがあることに変わりはないためです。

(3) 個人データの開示方法のデジタル化

これまで保有個人データの開示方法は原則として書面に限られていましたが、デジタル形式での開示を請求できるようになりました。

(4) 第三者への提供記録を開示請求の対象に

個人データを第三者に提供した記録について、本人が開示請求できるようになりました。

(1) 漏えい時の報告義務

これまで漏えい等が発生した場合、個人情報保護委員会への報告は努力義務で、本人への通知は法律上の義務ではありませんでした。

本改正により、個人の権利利益の侵害のおそれが大きい場合は個人情報保護委員会への報告が義務化され、かつ、本人への通知も義務化されました。

(2) 不適切利用の禁止

これまでは個人情報の取得時に「適正な取得」が義務付けられているだけで、利用時のルールとしては、「利用目的の範囲内での利用」という制限しかありませんでした。

本改正により、「違法または不当な行為を助長する等の不適切な方法により個人情報を利用してはならない」ことが義務化されました。

今回の改正で「仮名加工情報」制度が新設されました。

「仮名加工情報」とは、個人情報から氏名等を削除するなどして、他の情報と照合しない限り、個人を識別できないようにした情報」のことです。仮名加工情報をデータ分析やAIの学習データとして利用することで、企業のイノベーションが促進され、新たなビジネスチャンスの創出に寄与することが期待されています。

「仮名加工情報」については別記事にて詳しく取り上げています。

「認定個人情報保護団体」とは、個人情報の取扱いに関する苦情処理や、適正な取扱いに関する情報提供などを担う民間団体です。

これまでは、事業分野単位の民間団体が対象だったのですが、個人情報を活用したビジネスが多様化していることから、改正後は、特定の部門を対象とする団体を認定団体として認定できるようになります。

改正法では、個人情報保護委員会の命令に違反した場合や、虚偽報告が発覚した場合などに対するペナルティが強化されました。法人に対する罰金刑は個人より重く設定され、例えば命令違反の場合、現在の「50万円以下」から「1億円以下」に強化されます。

近年では、企業が保有する個人情報が外国の企業に提供されることも増えています。そのため、個人情報が外国に提供された場合、それを受け取った外国の企業にも、一定の義務が課されることになりました。

今回は、改正個人情報保護法のポイントについて概要を確認しました。変更内容は多岐にわたるため、改正施行規則(2021年3月24日公表) 各ガイドラインなども参考にしたうえで、2022年4月の施行に向けて、自社の個人情報の取扱い状況の見直しや社内規定の改訂などを着実に準備を進めていきましょう。