【最新版】2022年改正個人情報保護法のポイントと企業がすべき対応を解説!

法律 2024.12.11
【最新版】2022年改正個人情報保護法のポイントと企業がすべき対応を解説!

個人情報保護法は、制定から10年が経過した2015年に最初の改正がなされた後、いわゆる3年ごと見直しの規定に基づき、直近では2020年に改正個人情報保護法が公布・2022年に施行されました。

本項執筆時点(2024年6月)で、次の3年ごと見直しの議論が進められていますが、本稿では、2020年に交付・2022年に施行された個人情報保護法の改正の背景と重要なポイントについて取り上げます。

1.個人情報保護法の制定から2022年改正に至る経緯

1980年にOECDによりプライバシーガイドライン8原則が定められたことやデータバンク社会に対する危機意識が高まったこと、日本において個人情報の漏えい事件が多発していたことを受け、2003年に個人情報保護法が公布され2005年に施行されました。

その後、2015年に、施行以来初めての改正法が公布されました。この改正法で、個人情報保護に関する国際的な動向や、個人情報活用の拡大、情報通信技術の進歩、越境データ流通の拡大、個人情報保護に関する関心の高まりなどの動向に対応するためいわゆる「3年ごと見直し規定」が定められ、3年ごとに内容を見直すことが義務付けられました。

この規定に基づき、個人情報保護委員会において関係団体や有識者からのヒアリング等を基に把握された結果、個人情報保護法が改正されることとなり、成立したのが、今回取り上げる2022年に施行された改正個人情報保護法(以下「2022年改正法」)です。

2.改正個人情報保護法のポイントと事業者に求められる対応

ここからは、2022年個人情報保護法改正の重要ポイントのうちいくつかを取り上げ、解説します。

なお、2022年改正法の主な改正ポイントは、個人情報保護委員会のホームページからも確認することができますので、こちらも適宜ご参照ください。

本稿では、2022年改正法のうち、事業者が知っておくべきポイントとして以下の6点を取り上げます。

  • 開示、利用停止、消去等の請求権の拡充
  • 不適正な方法による個人情報の利用の禁止
  • 漏えい時の個人情報保護委員会への報告
  • 仮名加工情報の創設
  • 個人関連情報の創設
  • 外国にある第三者への個人データの提供

2.1 開示、利用停止、消去等の請求権の拡充

2.1.1 開示請求の範囲・事項の拡大

「保有個人データ」(個人情報保護法(以下「法」)16条4項)は、本人からの開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止(以下「開示等」)の対象となりますが、2022年改正法が制定される以前は、6か月以内に消去することとしている個人データは、この「保有個人データ」に当たらないものとされていました。

しかし、6か月以内に消去することとしている個人データであっても、その間に漏えい等が発生する危険性が存在する上、既に消去されているのであれば請求対応コストも生じないことが指摘されていました。

2022年改正法では、この「6か月要件」が撤廃され、個人データの保有期間にかかわらず、開示等の義務の対象となりました。

2.1.2 開示請求の範囲・事項の拡大による事業者への影響

6か月以内に個人データを消去することによって開示等の対象外と整理していた事業者は、開示等の対応方法を見直すことが必要になりました。

また、必要のない個人データについては、削除をしていれば開示等の対応を行う必要がないため、必要がなくなったデータは速やかに削除することが望ましいといえます。

2.1.3 開示のデジタル化の推進

2022年改正法が制定される以前は、事業者が保有個人データの開示請求を受けた場合、原則として書面を交付する方法により開示するものとされていましたが、開示請求の対象が膨大である場合や動画データである場合などには、そもそも書面を交付する方法に馴染まず、また、電磁的形式によって開示した方が本人にとって利便性が高い場合も多く想定されます。

そこで、2022年改正法によって、本人が、電磁的記録の提供を含め、開示の方法を指定できることとされ、請求を受けた事業者は、原則として、本人が指定した方法によって開示することが義務付けられました(法33条2項本文)。

2.1.4 開示のデジタル化推進による事業者への影響

2022年改正法制定以前に開示請求への対応を書面で行っていた事業者にとっては、本人が電磁的記録の提供による方法によることを求めた場合に備えて、電磁的記録を提供する準備を行っておく必要があります。

2.1.5  個人情報の利用停止・消去等の請求権の拡充

2022年改正法制定前は、本人が、保有個人データの利用停止、消去、第三者提供の停止を請求できるのは、保有個人データが本人の同意なく目的外利用されている場合又は偽りその他不正の手段により個人情報が取得されたもしくは本人の同意なく要配慮個人情報が取得されたものである場合等の限定的な場合に限られていました。

しかし、2022年改正法により、違法又は不当な行為を助長し、又は誘発するおそれがある方法により保有個人データを取り扱われている場合や、保有個人データを利用する必要がなくなった場合、本人が識別される保有個人データの取扱いにより当該本人の権利又は正当な利益が害されるおそれがある場合等には、当該保有個人データの利用停止、消去又は第三者への提供の停止を請求することができるものとされました(法35条)。

「本人が識別される保有個人データの取扱いにより当該本人の権利又は正当な利益が害されるおそれがある場合」については、例えば、電話勧誘を受けた本人が、電話勧誘の停止を求める意思表示をしたにもかかわらず、事業者が本人に対する電話勧誘を繰り返し行っているような場合が該当するものとされています(個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」3-8-5参照)。

2.1.6 個人情報の利用停止・消去等の請求権の拡充による事業者への影響

個人データの利用停止、消去又は第三者への提供の停止を請求できる場合が拡充されたことに伴い、事業者としては、社内規程等に定められた請求対応フローの見直しや、プライバシーポリシーの見直しが必要になると考えられます。

2.2 不適正な方法による個人情報の利用の禁止

2022年改正法制定以前は、事業者が個人情報を適正に取得した後、特定された利用目的の範囲内で利用している限り、それがたとえ不適正であったとしても、違法とする根拠がありませんでした。

それが2022年改正法により、違法又は不当な行為を助長し、又は誘発するおそれのある方法による個人情報の利用が明文で禁止され、このような個人情報の利用を行ってはならないことが明確化されました(法19条)。

個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」3-2では、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用している事例として、以下のような事例が挙げられています。

  • 違法な行為を営むことが疑われる事業者(例:貸金業登録を行っていない貸金業者等)からの突然の接触による本人の平穏な生活を送る権利の侵害等、当該事業者の違法な行為を助長するおそれが想定されるにもかかわらず、当該事業者に当該本人の個人情報を提供する場合
  • 裁判所による公告等により散在的に公開されている個人情報(例:官報に掲載される破産者情報)を、当該個人情報に係る本人に対する違法な差別が、不特定多数の者によって誘発されるおそれがあることが予見できるにもかかわらず、それを集約してデータベース化し、インターネット上で公開する場合

2.2.1 事業者への影響

本条が追加されたことや消費者の権利意識が高まっていることに鑑み、事業者としては、PIA(個人情報保護評価)を実施し、不適正利用につながるおそれのある取扱いの有無を確認し、必要に応じてリスクの低減措置を講じることが求められます。本人の同意を取得しているから大丈夫と割り切るわけではなく、これまで以上に、個人情報の取扱いの適正性に配慮する必要があると考えられます。

2.3 漏えい時の個人情報保護委員会への報告

2022年改正法が制定される前は、個人データの漏えい等(漏えい、滅失、毀損)が発生した場合の個人情報保護委員会への報告は努力義務とされており、また、本人への通知も講ずることが望ましい措置の1つと位置づけられるにとどまっていました。

しかし、2022年改正法では、漏えい等の報告が本人、事業者、監督機関それぞれにとって多くの意義があること、本人に通知することで本人が自ら適切な措置を講じることができることなどから、一定の場合に個人情報保護委員会への報告及び本人への通知が法的義務となりました。

個人情報保護委員会への報告及び本人への通知を行わなければならないのは、以下の事態が生じた場合です(法26条1項、個人情報保護法施行規則7条)。

  • 要配慮個人情報が含まれる個人データ(高度な暗号化その他の個人の権利利益を保護するために必要な措置を講じたものを除く)の漏えい等が発生し、又は発生したおそれがある事態
  • 不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態
  • 不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態
  • 個人データに係る本人の数が1000人を超える漏えい等が発生し、又は発生したおそれがある事態

2.3.1 漏えい時の個人情報保護委員会への報告義務化による事業者への影響

漏えい等の報告が義務化されたことにより、事業者は、個人情報取扱規程やインシデント管理規程等の社内規程を改定し、役員や従業員に周知することが求められます

個人情報保護委員会への報告は、いわゆる速報(規則8条1項)と確報(同条2項)が必要になりますが、速報に関しては当該事態を知った時点から概ね3日~5日以内に行うことが必要であり(個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」3-5-3)、早急な対応が求められることから、事前の準備が必要です。

2.4 仮名加工情報の創設

個人のプライバシー保護を尊重しつつも、企業による個人情報の利活用を妨げないための枠組みとして「仮名加工情報」が新設されました。

従来の匿名加工情報と個人情報の中間に位置する情報で、所定の加工基準に従って作成された情報(仮名加工情報)は、本人の各種請求(開示・訂正等、利用停止等の請求)への対応義務や取扱いに関する制限が一部緩和されます。

ガイドラインでは、加工基準について以下のように具体的な事例に触れられています。

・会員 ID、氏名、年齢、性別、サービス利用履歴が含まれる個人情報を加工する場合に次の措置を講ずる。
1)氏名を削除する。

・氏名、住所、生年月日が含まれる個人情報を加工する場合に次 の 1 から 3 までの措置を講ずる。
1)氏名を削除する。
2)住所を削除する。又は、○○県△△市に置き換える。
3)生年月日を削除する。又は、日を削除し、生年月に置き換える。

引用個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(仮名加工情報・匿名加工情報編)」2-2-2-1-1

2.4.1 仮名加工情報の創設による事業者への影響

仮名加工情報の創設により、事業者は、仮名加工情報を活用する必要性を検討し、活用する場合には、仮名加工情報取扱事業者に課される義務を把握し、適切な対応を行うことが求められます。

2.5 個人関連情報の創設

新たに「個人関連情報」という定義が新設され、その提供行為及び提供を受ける行為に規制がかかることになりました。

個人関連情報とは、「生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないもの」を指します(法31条)。具体的には、Cookie情報や(氏名に結びつかない)インターネットの閲覧履歴、IPアドレスなどが該当します。これまでグレーゾーンだったCookieの取扱いに、明確なルールが定められたと解釈できるでしょう。

具体的には、提供元において個人データでなくとも、提供先において個人データとなることが想定される場合には本人の同意を得ることが必須となりました。ガイドラインでは「同意取得の主体」と「同意取得の方法」について、以下のように触れられています。

  • 同意取得の主体:原則として、情報を利用する主体となる提供先が同意を取得する。
    (ただし、提供元による同意取得の代行は許容される)
  • 同意取得の方法:同意取得にあたっては、対象となる個人関連情報の範囲を特定できるように示した上で、明示の同意である必要がある。
    (提供元が同意取得を代行する場合には、上記に加えて、提供先の第三者を個別に明示する必要がある)

引用:個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」3-7-2

2.5.1 個人関連情報の創設による事業者への影響

事業者は、自社のデータフローにおいて個人関連情報を提供し又は提供を受ける場面の有無を確認し、そのような場面が存在する場合には、同意・確認義務を適切に履行できるよう、プライバシーポリシーを改定するなどの対応をとる必要があります

同意管理には、CMP(同意管理プラットフォーム)の導入が推奨されます。詳細は以下の記事をご参照ください。

>>CMPについて、詳しくはこちら

2.6 外国にある第三者への個人データの提供

外国(EU、英国を除く)にある第三者に個人データを提供する場合(個人データの委託、事業承継、共同利用の場合を含む)、以下いずれかが必要です(法28条)。

  1. 提供先の第三者が相当措置を継続的に講ずるために必要な体制(基準適合体制)を整備している
  2. 本人の同意を取得すること

これが、2022年改正法により1、2のいずれについても、提供先における個人情報の取扱いに関する本人への情報提供の充実を図る観点から、要件が追加されました。

2.6.1 基準適合体制の整備による場合

事業者は、追加的に以下の対応を行う必要があります(法28条3項)。

  • 提供先による相当措置の継続的な実施を確保するために必要な措置を講じること
  • 本人の求めに応じて、当該必要な措置に関する情報を本人に提供すること

2.6.2 本人の同意による場合

事業者は、個人データを提供する前に、本人に対し、以下の情報を本人に提供する義務を負います(規則17条2項)。

  • 当該外国の名称
  • 適切かつ合理的な方法により得られた当該外国における個人情報の保護に関する制度
  • 当該第三者が講ずる個人情報の保護のための措置に関する情報

2.6.3 外国にある第三者への個人データの提供による事業者への影響

事業者としては、まず、外国にある第三者に個人データを提供している事例の洗い出しを行い、それぞれについて、提供の根拠(上記1、2)を整理する必要があります。その上で、プライバシーポリシー等に必要な記載を追加することが考えられます。

3.その他、個人情報取扱事業者が負う義務

個人情報を取り扱うにあたり、個人情報取扱事業者はほかにもいくつかの点で義務を負わなければなりません。そのなかで特に重要度の高い義務を抜粋して説明します。

個人情報取扱事業者の義務

特に重要度の高い事項(抜粋・改編)

個人情報の利用目的

個人情報の利用目的は具体化して明示し、変更前との関連性が合理的に認められる範囲を超えて利用目的の変更を行ってはならない

個人情報の取得

不正な手段により個人情報を取得してはならず、特定の場合を除き利用目的を公表・通知しなければならない

個人データの管理

個人データは正確性・新しさ・安全性を保つよう管理し、不要になった場合は遅滞なく削除するよう努めなければならない

個人データの第三者への提供

特定の場合を除き、本人の同意を得ないまま第三者へ個人データを提供してはならない

保有個人データにまつわる公表・開示・訂正・利用停止など

個人情報取扱事業者の名称、全ての保有個人データの利用目的の通知・請求手続きなどは本人が確認できる状態にしなければならない

個人情報の取扱いに関する

苦情処理

個人情報の取り扱いに関する苦情を、いち早く適切に処理できるよう努めなければならない

匿名加工情報取扱事業者等の義務

匿名加工情報は適切な加工を行い、かつ加工方法などの情報は安全管理措置を講じること。また第三者に提供する場合は匿名加工情報であることを明示しなければならない

参考:個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」、「個人情報の保護に関する法律についてのガイドライン(仮名加工情報・匿名加工情報編)

それぞれ複数の項目から特に重要度の高い義務を抜粋したものであるため、全文を参照する場合はガイドラインの「個人情報取扱事業者の義務」をご参照ください。また、匿名加工情報取扱事業者等の義務に関して詳しく確認する場合は、ガイドラインの「匿名加工情報編」を参照してください。

4. 自己点検チェックリストとガイドラインの活用

自社の個人情報の取り扱いが適切か否かを確かめられるよう、中小企業を想定した「自己点検チェックリスト」が個人情報保護委員会から公開されています。チェックリストとして7つの項目が用意されており、各項目に対してガイドラインの参照先が記されているため、いち早く現状の体制を見直すために活用できます。

こちらは改正前から存在するもので、今回の改正の内容すべてをチェックできるものではありません。しかし、このチェックリストに記載されている内容は企業のプライバシー保護の基本となるもので、いずれも押さえておくべき重要な事項です。

まずは自己点検チェックリストを利用し、現状のどこに重大な問題がありそうなのか把握しましょう。重点的に見直すべき点が把握できたら、ガイドラインの対応箇所を参照しつつマニュアルの作成・修正を進めると、効率的に体制作りを実施できるでしょう。

5.まとめ

個人の権利の強化や第三者提供にまつわる変更、仮名加工情報や個人関連情報の新設など、今回の個人情報保護法改正で変更されるポイントは多岐にわたります。どのような義務が課せられているのか、どのような対応を取るべきなのか正しく理解することが欠かせません。
本記事と、随時更新されるガイドラインやQ&Aを参考に、自社の情報管理体制の見直しを進めることが重要です。

公開日:2021年1月26日

パーソナルデータの取扱いにお悩みの方に

  • 海外ツールは同意取得バナーがごちゃごちゃしていてわかりにくい…
  • 誰にどこまで同意を取ったか管理するのが大変…
  • ツールを導入するたびに手作業で全部同意を取り直すのは面倒…
  • 同意は管理できても他社システムを上手く連携して使えないと…

Trust 360で、すべて解決!