【2022年4月施行】個人情報保護法改正、6つのポイントとは?

2020年6月、「個人情報の保護に関する法律等の一部を改正する法律(改正個人情報保護法)」が公布されました。2022年4月に全面施行される予定になっていますが、法定刑の引き上げが2020年12月に行われています。企業は早急に個人情報に対する取り組みを見直すことが求められています。今回の改正で企業はどのような影響を受けるのか。本記事では、改正の背景や改正法案のポイントについて解説します。

【資料ダウンロード】>>資料ダウンロード一覧へ

\これだけは抑えておきたい/「改正個人情報保護法対応チェックリスト」

個人情報保護法とは?

個人情報保護法とは、「個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする」法律です。(※同法第1条より)

個人の権利・利益の保護と個人情報の有用性とのバランスを図るため、2003年に成立・2005年に全面施行されました。

改正の背景

近年情報通信技術の発展とともに、個人情報の重要性が日に日に高まっていることは言うまでもないでしょう。

今回の改正は、2015年の改正個人情報保護法で設けられた「いわゆる3年ごと見直し」に関する規定を受けて、直近の個人情報に関する共通視点をまとめて反映したものです。

今や個人情報の利活用は経済を発展させるために必要不可欠な要素。これまで個人情報ではなかった識別情報が、技術の進歩により個人を特定できるようになりました。今回の改正で、このグレーゾーンへの改正が大きなポイントと言えるでしょう。世界を見わたしても個人情報保護をめぐる規制はますます厳しくなっています。企業はこの変化に的確に対応していかねばなりません。

【正式な法令名】

法令名:個人情報の保護に関する法律等の一部を改正する法律

公布日:2020年6月12日/施行日:2022年4月1日(予定)

改正法 6つのポイント

ポイント1.個人の権利のあり方

本人が個人情報取扱事業者に対して情報開示を請求できる範囲が拡大し、自分の個人情報がどのように扱われているのかを事業者に問い合わせることが可能となります。

【例】

現行改正後
 6か月以内に消去する短期保存データは、「保有個人データ」に含まれない ⇒含まれる
 データの開示は原則として書面における交付 ⇒電磁的記録の提供など、本人が請求した方法によって開示しなければならない
 データの利用停止・消去を請求できる場面を限定

  • ・個人情報を目的外で利用した場合
  • ・不正な手段により取得した場合
 ⇒データの利用停止・消去を請求できる場面が拡大

  • ・違法又は不当な行為を助長し又は誘発するおそれがある方法で利用した場合
  • ・個人情報を事業者が利用する必要がなくなった場合
  • ・データの漏えい等が生じた場合
 第三者提供記録(※)は本人による開示請求の対象外 ⇒対象内

※第三者提供記録…個人データを第三者に提供する際に、提供者と受け取る側の両方が義務付けられている記録。

ポイント2. 事業者の責務が追加

・漏えい時の報告義務

現行では、個人データの漏えい時に個人情報保護委員会に報告する法的義務はなく、各企業に委ねる形となっていました。しかし、海外ではすでに義務となっている国が多いことから、今回日本でも法的措置が取られることとなりました。

また漏えい等が発生した際、個人情報取扱事業者は本人へ通知する義務も課せられます。

個人情報保護委員会への報告は、速報(30日以内に行う)と確報(速報から30日以内に行う)の二段階に分けて実施される流れとなっています。

・不適正な利用の禁止

今回の改正で、違法な行為を助長する可能性があるまたは誘発する場合は、個人情報の利用を禁止することができるようになります。現行では、このような不適正な利用を規制する規定はありません。

ポイント3. 事業者による自主的な取り組みを促す仕組み作り

個人情報保護法では、個人情報保護委員会の他に、民間団体を利用して認定団体制度を設けています。

現行では、認定団体制度は対象事業者の全ての分野を対象としていましたが、新法で対象事業者の特定分野に限定した団体を認定することが可能となりました。

これにより認定団体の活動が活発化することが期待されます。

ポイント4. データ利活用の促進

イノベーションの推進などデータの利活用を促進するため、新たに「仮名加工情報」制度が新設されました。

仮名加工情報とは、他の情報と照合しない限り、特定の個人を識別することができないように個人情報を加工した個人に関する情報です。仮名加工情報に当たる場合は、通常の個人情報と比べて個人情報取扱事業者に課せられる義務が緩和され、個人情報取扱事業者の負担が軽減されることに。具体的には、Cookieなどの識別子情報が対象となります。

ポイント5. ペナルティの強化

新法では、措置命令・報告義務違反の罰則について法定刑が引き上げられました。

現行改正後
措置命令(42条2項、3項)の違反
6か月以下の懲役又は30 万円以下の罰金
⇒1年以下の懲役又は100 万円以下の罰金
報告義務(40条)違反
30 万円以下の罰金
⇒50 万円以下の罰金

さらに、法人に対する法定刑も新設され、違反した場合は最高で1億円以下の罰金が課せられます。

ポイント6. 外国の事業者に対する、報告徴収・立入検査などの対応

今回同法75条・外国の個人情報取扱事業者に対する内容が変更となり、日本国内にある者に関する個人情報を扱う外国の事業者も報告徴収・命令および立入検査などの対象となりました。

おすすめの情報セキュリティコンサルティングサービス

以上、改正個人情報保護法についてポイントを絞って見てきました。対応はマストであるものの、「どうしていいか分からない」「時間と労力がかかる」といった声を耳にします。

そこで今回は、日本パープルの情報セキュリティコンサルティングサービス<Coach MAMORU(コーチマモル)>をご紹介します。

専門講師が、企業の抱える情報セキュリティ課題に対して柔軟にカスタマイズした形で教育・コンサルティングを提供するサービスです。刻々と変化する情報セキュリティを安心・確実に遂行するには、プロの外部サービスを活用するのも効率的です。情報セキュリティにお悩みの担当者は一度相談してみてはいかがでしょうか。

2022年の施行までに個人情報に関する社内規定の見直しを

今回の改正と同時に、企業は情報セキュリティや社内規定について再度見直す必要があるとともに社員の一人ひとりの認識を向上させなければなりません。また、マニュアルを作成して、万が一の際の報告・通知義務に備えておくことも必要となるでしょう。他にも、企業が対応すべきことは多岐にわたります。健全な企業活動のために、2022年の施行までに早急に取り組んでいきましょう。今後の記事では、より深堀して企業が把握、対応ができるように改正個人情報保護法の内容をお知らせしていきます。

Pマーク取得企業も新たな「構築・運用指針」に対応した運用を

今回の改正個人情報保護法に合わせて、Pマーク取得企業も新たな「構築・運用指針」に対応していかなければなりません。次の審査まで時間に余裕があったとしても、2022年4月以降は新たな基準での運用が求められています。Pマーク取得企業は今回の対応を「個人情報に対する意識向上」の好機だととらえ、積極的に進めていきましょう。

個人情報保護法改正(2022年4月施行)関連記事

第1回【2022年4月施行】個人情報保護法改正、6つのポイントとは?
第2回【2022年4月施行】個人情報保護法改正、6つのポイントを徹底解説
第3回【2022年4月施行】個人情報保護法改正、プライバシーポリシー改訂のポイント
第4回【2022年4月施行】個人情報保護法改正、開示請求のポイント
第5回【2022年4月施行】個人情報保護法改正、個人関連情報・オプトアウト規制・不適正利用に関する対応ポイント
第6回【2022年4月施行】個人情報保護法改正、従業員教育で取り上げるべきポイント教育
第7回【2022年4月施行】個人情報保護法改正、個人データ漏洩等の報告・対応について
第8回【2022年4月施行】個人情報保護法改正、個人データの取り扱いに関する安全管理措置について
第9回【2022年4月施行】個人情報保護法改正Q&A、海外のクラウドサーバーやソーシャルプラグインに関する考え方
第10回【2022年4月施行】改正個人情報保護法対応に向けた主なTo Doを解説!(全企業対象)
第11回【2022年4月施行】改正個人情報保護法対応に向けた主なTo Doを解説!(Pマーク取得企業対象)

【資料ダウンロード】>>資料ダウンロード一覧へ

\これだけは抑えておきたい/「改正個人情報保護法対応チェックリスト」