【改正前後の条文比較】2022年4月施行!改正個人情報保護法(2020年6月可決・成立)が企業に与える影響は?
2020年6月、国会において「改正個人情報保護法」が可決・成立し、これまでに比べてより厳格な個人情報の取り扱いが定められ、2022年4月に施行されました。これには、海外において個人データ管理にまつわる厳しい法律が相次いで運用され始めたことも大きく関係しており、今後、個人データを扱う企業はより精度の高い対策が求められます。
ここでは、今回の改正個人情報保護法で何が定められたのか、それによって企業にどのような影響があるのかについて、改正前後の条文を比較しながらご紹介します。
なお、令和3年個人情報保護法改正(官民一元化)の影響で、条ズレが発生しており、改正前と改正後で条数が異なっています。本記事において、令和3年個人情報保護法改正による改正点は取り上げませんが、上記ご留意ください。
1.「個人情報保護法」とは
個人情報保護法とは、個人情報の取り扱い規則を定めた法律です。「個人のプライバシー保護」と「個人情報の活用により享受できる恩恵」のバランスを取るべく、2003年5月の公布後、2005年4月から全面施行されました。
個人情報の活用は、技術やサービスの発展・向上に大きな役割を果たします。その一方、個人情報はみだりに扱われて良いものではなく、個人の権利を侵害しないよう適切に保護されなければいけません。
この状況を踏まえて、「適切な利用の範囲」について国家がガイドラインとして定めたのが個人情報保護法です。これにより、どこまで活用して良いのか、あるいはしてはならないのかが明文化されました。
個人情報保護法は2017年に改正が行われ、以後は3年ごとに見直し・改正を行う方針をとっています。
今回は、2020年6月に成立し、2022年4月に全面施行された「改正個人情報保護法」について解説します。
2.「改正個人情報保護法改正」のおもな改正点
それでは、改正の注目ポイントを見ていきましょう。今回の改正では、全体として個人の権利がより強化されています。
【「個人の権利の在り方」の変更】
・「個人情報」「個人識別符号」「保有個人データ」の定義
最初に、個人情報の定義について再確認しましょう。個人情報とは「生存する個人を識別できる情報」です。名前や顔写真はもちろん、電話番号やメールアドレスなどを組み合わせて個人識別が可能になる情報も該当します。
個人情報のなかでも、「単体で個人を識別できる番号・文字など」は個人識別符号と分類されます。たとえば、マイナンバーや免許証番号、保険証番号が代表例です。
一方、「個人情報をデータベース化し、検索・修正・削除などの取り扱いを可能にしたもの」を保有個人データと呼びます。改正前は6ヶ月以上保有するものとの条件がありましたが撤廃され、今後は短期間の所有データも該当するようになりました。
・「保有個人データ」の開示方法
<改正前>
第二十八条 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データの開示を請求することができる。
2 (前略)政令で定める方法により、遅滞なく、当該保有個人データを開示しなければならない。(後略)<改正後>
第三十三条 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データの電磁的記録の提供による方法その他の個人情報保護委員会規則で定める方法による開示を請求することができる。
2 (前略)同項の規定により当該本人が請求した方法(当該方法による開示に多額の費用を要する場合その他の当該方法による開示が困難により、遅滞なくである場合にあっては、書面の交付による方法)により、遅滞なく、当該保有個人データを開示しなければならない。(後略)
保有個人データの開示については、これまでは原則書面によりましたが、権利者が望み、事業者側に拒否する正当な理由がない場合はデジタル上での提供を行うよう変更されました。これは、時代の移り変わりにつれて動画や音声などの個人情報が増え、書面での確認が困難になったことが大きな要因です。改正により、開示された情報を利用者がより活用しやすくなると期待されています。
・利用停止・消去などの権利を個人が持つ
<改正前>
第三十条 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データが第十六条の規定に違反して取り扱われているとき又は第十七条の規定に違反して取得されたものであるときは、当該保有個人データの利用の停止又は消去(中略)を請求することができる。<改正後>
第三十五条 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データが第十八条若しくは第十九条の規定に違反して取り扱われているとき、又は第二十条の規定に違反して取得されたものであるときは、当該保有個人データの利用の停止又は消去(中略)を請求することができる。
第十九条 個人情報取扱事業者は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない。
従来、権利者が個人データの利用停止・消去などを求められるのは、事業者が「法令に違反した場合」に限定されていました。
しかし今回の改正では、第十九条の規定の新設により「正当な利益・権利が侵害される恐れがある場合」も対象となるよう緩和されたため、事業者が対応しなければならないケースが増えると予想されています。
【「データ利活用に関する施策の在り方」の変更】
・「仮名加工情報」の新設
<定義の条文>
第二条5項 この法律において「仮名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報をいう。
一 第一項第一号に該当する個人情報 当該個人情報に含まれる記述等の一部を削除すること(後略)。
二第一項第二号に該当する個人情報 当該個人情報に含まれる個人識別符号の全部を削除すること(後略)。
個人の権利を強化する一方で、事業者によるデータ活用を妨げないよう「仮名加工情報」が新設されました。
仮名加工情報とは、「他の情報と組み合わせない限り個人を識別できないよう加工したデータ」です。従来から存在する「匿名加工情報(完全に個人を特定できないように加工を施した情報)」と、個人情報の中間に位置する枠組みとして誕生しました。
仮名加工情報の特徴の一つは、利用目的の変更制限や権利者からの請求(開示・利用停止など)への対応義務が緩和されることです。
<義務の条文>
第四十一条9項 仮名加工情報、仮名加工情報である個人データ及び仮名加工情報である保有個人データについては、第十七条第二項、第二十六条及び第三十二条から第三十九条までの規定は、適用しない。
第十七条
2 個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない。
また、第二十六条は情報漏えい時の委員会への報告について、第三十二条から第三十九条は権利者からの各種請求に関する内容が記載されています。
【外国の事業者も罰則対象に】
<改正前>
第七十五条 第十五条、第十六条、第十八条(第二項を除く。)、第十九条から第二十五条まで、第二十七条から第三十六条まで、第四十一条、第四十二条第一項、第四十三条及び次条の規定は、国内にある者に対する物品又は役務の提供に関連してその者を本人とする個人情報を取得した個人情報取扱事業者が、外国において当該個人情報又は当該個人情報を用いて作成した匿名加工情報を取り扱う場合についても、適用する。<改正後>
第百六十六条 この法律は、個人情報取扱事業者、仮名加工情報取扱事業者、匿名加工情報取扱事業者又は個人関連情報取扱事業者が、国内にある者に対する物品又は役務の提供に関連して、国内にある者を本人とする個人情報、当該個人情報として取得されることとなる個人関連情報又は当該個人情報を用いて作成された仮名加工情報若しくは匿名加工情報を、外国において取り扱う場合についても、適用する。
外国の事業者に対する個人情報保護法の適用範囲について、従来は特定の条文のみを指していた文章が、「この法律は」と対象となる条文を特定しない形での表現に変更されました。
この変更により、個人情報保護法「第四十条(報告・立入検査)」及び「第四十二条2項3項(命令の規定)」が外国の事業者に対しても適用されるように改正されています。
結果として、これまでは勧告のみ行えた外国事業者に対して、国内事業者同様に「罰則によって担保された報告徴収・命令」が可能となりました。
【罰則の厳罰化】
<改正前>第百七十三条(新設)
第八十七条 法人の代表者又は法人若しくは人の代理人、使用人その他の従業者が、その法人又は人の業務に関して、第八十三条から第八十五条までの違反行為をしたときは、行為者を罰するほか、その法人又は人に対しても、各本条の罰金刑を科する。<改正後>
第百七十三条 第百四十五条第二項又は第三項の規定による命令に違反した場合には、当該違反行為をした者は、一年以下の懲役又は百万円以下の罰金に処する。
第百七十九条 法人の代表者又は法人若しくは人の代理人、使用人その他の従業者が、その法人又は人の業務に関して、次の各号に掲げる違反行為をしたときは、行為者を罰するほか、その法人に対して当該各号に定める罰金刑を、その人に対して各本条の罰金刑を科する。
一 第百七十三条及び第百七十四条 一億円以下の罰金刑
二 第百七十七条 同条の罰金刑
【個人情報保護法 罰則の改正前後の比較】
出典:個人情報保護委員会「令和2年 改正個人情報保護法について」
法律に違反した場合の罰則も強化されています。
以前は個人・法人問わず「50万円以下あるいは30万円以下の罰金」と定められていましたが、法人の罰金額が「1億円以下の罰金」と大きく引き上げられました。また、命令違反に関する懲役刑についても「6ヶ月以下の懲役」から「1年以下の懲役」へと厳罰化されています。
3.改正に至った背景
では、今回なぜこのような改正が行われたのでしょうか。その背景についても見ていきましょう。
【個人情報の悪用リスクの増加】
もっとも大きな要因は、インターネット・AI・ビッグデータ活用技術などの進歩により、個人情報悪用のリスクが高まったことです。
2019年8月には、大手就活情報サイト「リクナビ」が学生の個人情報(行動履歴など)から「内定辞退率」を予測・販売し、厚生労働省から指導を受けたことが大きな問題となりました。そうしたことから、事業者による個人情報の不正利用に歯止めをかける必要性が訴えられていました。
【GDPR、CCPAなどに代表される世界的なプライバシー保護気運の高まり】
2018年のGDPR(EU一般データ保護規則)、2020年のCCPA(カリフォルニア州消費者プライバシー法)など、世界中で個人のプライバシーを守る法律が相次いで誕生しています。いずれも日本国内の企業にも適用可能性があり、罰金が数十億円と高額になりえることから注目を集めました。このような世界情勢を鑑み、日本の個人情報保護法も厳罰化の方向に進んだのです。
4.企業が特に注意すべきポイント
では、今回の改正を受けて、企業はどんなところに注意すべきなのでしょうか。そのポイントをいくつかご紹介します。
【ユーザーからの各種請求に対する対応】
権利者が開示・利用停止などの請求を行いやすくなったため、申請が増加することが予想されます。上記で紹介したデジタルによる開示への対応はもちろん、利用停止や消去の申し出に対しても即応できるよう、企業内で情報管理体制を整えておく必要があります。
【データ漏洩時の本人・委員会への通知義務化】
万が一個人情報を漏洩させてしまった際には、原則として権利者と個人情報保護委員会に対する通知が義務付けられました(件数が少ないなど一部例外を除く)。
2021年5月に発表されたガイドライン(案)によれば、委員会への通知は、下記のように2段階に分けて行うよう定められています。
- 速報:当該事態を知った時点から概ね3~5 日以内
- 確報:30日以内(一部例外のみ60日以内)
参考:個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」
本人への通知は「速やかに」という表現に抑えられているものの、即応できるようにこちらも情報管理体制を事前に整えておく必要があるでしょう。
【Cookieなど「個人特定の可能性があるデータ」の第三者提供】
オンライン識別子(Cookie・IPアドレスなど)のような「組み合わせて個人を特定できるデータ」は、「個人関連情報」と呼ばれる改正法上の新たなデータ定義に含まれることになりました。取得目的・予定される取り扱い・提供先での利用目的などを公表して、取得時に同意を得ることが重要となるケースがあります。
同意の取得は、プライバシーポリシーやCookieポリシーを作成・公表する手法が一般的です。記載しなければならない事項は多岐に渡りますので、まずは専門家への相談をおすすめします。
5. まとめ
今回の個人情報保護法の改正は、企業におけるデータ管理において大きな影響を与えることが予想されます。全面施行された今、個人データを扱う企業がリスクを回避するためには、適切な対応を取ることが急務です。まずは社内の情報管理体制の確認から始めましょう。
また、CMP(コンセントマネジメントプラットフォーム)の導入は、安心・安全な個人データの取得・管理に大きな効果を発揮します。体制の構築と併せ、早めの導入検討をおすすめします。
公開日:2020年8月28日
パーソナルデータの取扱いにお悩みの方に
- 海外ツールは同意取得バナーがごちゃごちゃしていてわかりにくい…
- 誰にどこまで同意を取ったか管理するのが大変…
- ツールを導入するたびに手作業で全部同意を取り直すのは面倒…
- 同意は管理できても他社システムを上手く連携して使えないと…
で、すべて解決!