2020年6月可決成立! 改正個人情報保護法が企業に与える影響とは?

個人情報保護法法律 2020.08.28
2020年6月可決成立! 改正個人情報保護法が企業に与える影響とは?

2020年6月、国会において「改正個人情報保護法」が可決・成立し、これまでに比べてより厳格な個人情報の取り扱いが定められました。これには、海外において個人データ管理にまつわる厳しい法律が相次いで運用され始めたことにも大きく関係しており、今後、個人データを扱う企業にとってはより精度の高い対策が求められることになります。

ここでは、今回の改正個人情報保護法で何が定められたのか、それによって企業にどのような影響があるのかについて解説します。

1.「個人情報保護法」とは

個人情報保護法とは、個人情報の取り扱い規則を定めた法律です。「個人のプライバシー保護」と「個人情報の活用により享受できる恩恵」のバランスを取るべく、2003年5月の公布後、2005年4月から全面施行されました。

個人情報の活用は、技術やサービスの発展・向上に大きな役割を果たします。その一方、個人情報はみだりに扱われて良いものではなく、個人の権利を侵害しないよう適切に保護されなければいけません。この状況を踏まえて、「適切な利用の範囲」について国家がガイドラインとして定めたのが個人情報保護法です。これにより、どこまで活用して良いのか、あるいはしてはならないのかが明文化されました。

個人情報保護法は2017年に改正が行われ、以後は3年ごとに見直し・改正を行う方針をとっています。今回は、2020年6月に国会で可決・成立した「改正個人情報保護法」について解説します。

2.「改正個人情報保護法改正」のおもな改正点

それでは、改正の注目ポイントを見ていきましょう。今回の改正では、全体として個人の権利がより強化されています。

「個人の権利の在り方」の変更

  • 「個人情報」「個人識別符号」「保有個人データ」の定義

最初に、個人情報の定義について再確認しましょう。個人情報とは「生存する個人を識別できる情報」です。名前や顔写真はもちろん、電話番号やメールアドレスなどを組み合わせて個人識別が可能になる情報も該当します。

個人情報のなかでも、「単体で個人を識別できる番号・文字など」は個人識別符号と分類されます。たとえば、マイナンバーや免許証番号、保険証番号が代表例です。

一方、「個人情報をデータベース化し、検索・修正・削除などの取り扱いを可能にしたもの」を保有個人データと呼びます。改正前は6ヶ月以上保有するものとの条件がありましたが撤廃され、今後は短期間の所有データも該当するようになりました。

  • 「保有個人データ」の開示方法

保有個人データの開示については、これまでは原則書面によりましたが、権利者が望んだ場合はデジタル上での提供を行うよう変更されました。これは、時代の移り変わりにつれて動画や音声などの個人情報が増え、書面での確認が困難になったことが大きな要因です。改正により、開示された情報を利用者がより活用しやすくなると期待されています。

  • 利用停止・消去などの権利を個人が持つ

権利者が個人データの利用停止・消去などを求められるのは、事業者が「法令に違反した場合」に限定されていました。しかし今回の改正では「正当な利益・権利が侵害される恐れがある場合」に緩和されたため、事業者が対応しなければならないケースが増えると予想されています。

「データ利活用に関する施策の在り方」の変更

  • 「仮名加工情報」の新設

個人の権利を強化する一方で、事業者によるデータ活用を妨げないよう「仮名加工情報」が新設されました。

仮名加工情報とは、「他の情報と組み合わせない限り個人を識別できないよう加工したデータ」です。保有個人データから、名前のような直接的に個人を識別できる情報を削除したものが該当します。

仮名加工情報の特徴の一つは、権利者からの請求(開示・利用停止など)への対応義務が緩和されることです。厳密な定義・条件例はまだ公表されていませんが、施行後には「仮名加工処理」がデータ活用の鍵となると予想されています。

  • 第三者提供に関する同意の厳格化

個人情報の第三者提供について、権利者からの同意をより厳格に得なければならないよう変更されました。「提供先(第三者)で個人を特定できる可能性があるデータ」については、情報を取得する際にその旨を告知し、同意を得ることが重要なケースが増えると考えられます。

外国の事業者も罰則対象に

これまで、個人情報保護法の対象は個人情報(国籍・居住地問わず)を扱う「国内事業者」であり、国外事業者に関しては適用対象外でした。しかし改正により、個人情報(日本国内)を取り扱う「国外事業者」も罰則対象に追加されています。

罰則の厳罰化

以前は個人・法人問わず「50万円以下あるいは30万円以下の罰金」と定められていましたが、法人の罰金額が「1億円以下の罰金」と大きく引き上げられました。また、懲役刑についても「6ヶ月以下の懲役」から「1年以下の懲役」へと厳罰化されています。

3.改正に至った背景

では、今回なぜこのような改正が行われたのでしょうか。その背景についても見ていきましょう。

個人情報の悪用リスクの増加

もっとも大きな要因は、インターネット・AI・ビッグデータ活用技術などの進歩により、個人情報悪用のリスクが高まったことです。

最近では、大手就活情報サイト「リクナビ」が学生の個人情報(行動履歴など)から「内定辞退率」を予測・販売し、厚生労働省から指導を受けたことが大きな問題となりました。そうしたことから、事業者による個人情報の不正利用に歯止めをかける必要性が訴えられていました。

GDPR、CCPAなどに代表される世界的なプライバシー保護気運の高まり

2018年のGDPR(EU一般データ保護規則)、2020年のCCPA(カリフォルニア州消費者プライバシー法)など、世界中で個人のプライバシーを守る法律が相次いで誕生しています。いずれも日本国内の企業にも適用可能性があり、罰金が数十億円と高額になりえることから注目を集めました。このような世界情勢を鑑み、日本の個人情報保護法も厳罰化の方向に進んだのです。

4.企業が特に注意すべきポイント

では、今回の改正を受けて、企業はどんなところに注意すべきなのでしょうか。そのポイントをいくつかご紹介します。

ユーザーからの各種請求に対する対応

権利者が開示・利用停止などの請求を行いやすくなったため、申請が増加することが予想されます。上記で紹介したデジタルによる開示への対応はもちろん、利用停止や消去の申し出に対しても即応できるよう、企業内で情報管理体制を整えておく必要があります。

データ漏洩時の本人・委員会への通知義務化

万が一個人情報を漏洩させてしまった際には、原則として権利者と個人情報保護委員会に対する通知が義務付けされました(件数が少ないなど一部例外を除く)。明確な通知期限は定められていませんが、義務違反と判断されないためにも、できるだけ速やかに通知すべきでしょう。こちらも情報管理体制を事前に整えておく必要があります。

Cookieなど「個人特定の可能性があるデータ」の第三者提供

オンライン識別子(Cookie・IPアドレスなど)のような「組み合わせて個人を特定できるデータ」は保護対象とみなされます。取得目的・予定される取り扱い・提供先での利用目的などを公表して、取得時に同意を得得ることが重要となるケースがあります。

同意の取得は、プライバシーポリシーやCookieポリシーを作成・公表する手法が一般的です。記載しなければならない事項は多岐に渡りますので、まずは専門家への相談をおすすめします。

5. まとめ

今回の個人情報保護法の改正は、企業におけるデータ管理において大きな影響を与えることが予想されます。リスクを回避するためにも、適切な対応を取ることは個人データを扱う企業にとって急務ですが、公布・施行は2022年6月までに行われる見通しですので、今から取り組んでも十分に対応は可能です。まずは社内の情報管理体制の確認から始めましょう。

また、CMP(同意管理プラットフォーム)の導入は、安心・安全な個人データの取得・管理に大きな効果を発揮するものです。体制の構築と併せ、早めの導入検討をおすすめします。