個人データを守る法律とは|企業が注意すべき点を紹介

法律 2021.01.25
個人データを守る法律とは|企業が注意すべき点を紹介

2020年6月、個人情報保護法の改正法案が可決されました。法改正にともない、個人情報の取り扱いはおおむね従来よりも厳格化され、企業にも新たな対応が求められます。

本記事では、個人データ(個人情報全般)を守る個人情報保護法を中心に、個人データを扱う企業が注意すべき点について説明します。

1. 個人データを守る法律とは

個人データの活用は、より消費者にマッチした技術・サービスの開発を進めるうえで重要です。しかし、個人データには「個人が周囲に知られたくない情報」も含まれるため、漏えいや不当な情報提供に該当しないよう細心の注意を払わなくてはなりません。

個人情報保護法は、個人のプライバシー(私生活の情報をみだりに公開されない権利)を守りつつ、個人データを利活用できる環境を作るための法律です。

2. 個人データを扱うにあたり注意すべき点

個人情報保護委員会の「個人情報の保護に関する法律等の一部を改正する法律(概要)」に記載されているとおり、改正法には以下6つの観点から変更が加わります。

  • 個人の権利の在り方
  • 事業者の守るべき責務の在り方
  • 事業者による自主的な取組を促す仕組みの在り方
  • データ利活用に関する施策の在り方
  • ペナルティの在り方
  • 法の域外適用・越境移転の在り方

ここでは、改正法で変更される内容から、特に影響が大きいと予想されるポイントを説明します。

2.1 個人の権利の在り方

「個人の権利の在り方」の変更によって、個人の請求権が拡大されます。特に以下の事項は念頭に置いておくべきでしょう。

2.1.1 利用停止・消去等、データの請求権の範囲拡大

個人が請求できる利用停止・消去などの権利が、法律違反の場合だけでなく「個人の権利・正当な利益が害されるおそれがある場合」にも行使できるよう変更されました。請求権の適用範囲が拡大されることから、企業側に対する利用停止や消去等の請求は増えるものと予想されます。

2.1.2 個人データにおける第三者提供記録の開示請求が可能になる

個人データの授受に関する第三者提供記録を本人が開示請求できるようになりました。企業側は、第三者提供記録の作成を徹底し、速やかに開示できるよう体制を整える必要があります。

2.1.3 短期保存データを保有個人データに含めて開示・利用停止等の対象とする

6ヵ月以内に消去する「短期保存データ」は、これまで保有個人データに含まれませんでした。しかし、改正法で短期保存データも保有個人データに加わることになり、開示・利用停止等の対象となります。

保有個人データ、また保有個人データの解説にともない登場する用語については、以下表で解説しています。

用語

概要

保有個人データ

個人情報取扱事業者が、開示・内容の訂正・追加・削除などを実施する権限を持った個人データ(例外あり)

個人データ

個人情報データベース等を構成する個人情報

個人情報データベース等

特定の個人情報を容易に検索できるよう体系的にまとめられたもの

2.1.4 オプトアウト規定により第三者に提供できるデータの範囲を限定

本人の要求により事後的に停止できることを前提として、本人の同意なく個人データの第三者提供を認める「オプトアウト規定」は、改正法により提供できるデータの範囲が限定されます。これまで第三者提供が制限されていた要配慮個人情報に加え、以下に該当する情報も第三者提供できるデータから除外されます。

  • 不正に取得された個人情報
  • オプトアウト規定によって他の事業者から提供された個人データ

改正後は、オプトアウト規定による第三者提供ができなくなります。

2.2 事業者の守るべき責務の在り方

事業者の守るべき責務も変更され、特に「漏えい時の通知義務化」は個人データを扱うすべての企業が意識しなければなりません。

2.2.1 個人の権利利益を害する漏えい等は通知を義務化

個人データの漏えいにおける報告は努力義務でしたが、改正法により個人の権利利益を害するおそれがあるものは委員会への報告、および本人への通知が義務化されます。

また、2020年10月末に公開された「改正法に関連する政令・規則等の整備に向けた論点について(漏えい等報告及び本人通知)」では、以下を考慮して評価するように提言されています。

  • 個人の権利利益に対する実質的な影響
  • 漏えいした個人データの性質・内容
  • 漏えい等の態様
  • 漏えい等の事態の規模

いずれにせよ、企業にとっては情報漏えい時の対応に直接関わる事項であるため、特に注目しておくべき部分です。

2.2.2 不適正な利用の禁止を明確化しなければならない

改正法には「違法又は不当な行為を助長する等の不適正な方法により個人情報を利用してはならない旨を明確化する」と記載があります。こちらも前項と同様、具体的な条件は明示されていませんが、従わなければ法令違反となるため、議論の進展を注視しておきましょう。

2.3 データ利活用に関する施策の在り方

データの利活用は、個人データを活用する企業に有利に働くとともに、改正前はカバーできていなかったプライバシー問題の解消が図られています。

2.3.1 仮名加工情報を創設して義務を緩和

改正法では「仮名加工情報」と呼ばれる概念が新たに創設されました。仮名加工情報は、ほかの情報と照合しない限り個人を識別できないよう加工された情報です。「個人情報の取得当時の利用目的」を超え、別の目的で利用できるなど、個人情報よりも規制が緩和されています。

仮名加工情報の創設により、企業は個人にまつわるデータを利活用しやすい状況になると考えられます。

2.3.2 提供先で個人データになり得る情報の第三者提供は本人同意などを義務化

ほかの情報と照合して容易に特定の個人を識別できる情報(個人関連情報)は、第三者に提供する際に本人同意が必要となりました。これにより、提供先で個人情報となる事実を予期しながら、提供元では個人情報に該当しないデータを提供する行為が規制されます。

提供元で個人情報に該当しないデータの具体例としては、オンライン識別子のCookieが挙げられます。

>>Cookie(クッキー)の意味とは?マーケティング担当者の必要知識を解説

2.4 ペナルティの在り方

企業が法令違反した場合、高額のペナルティが科せられます。

2.4.1 法定刑の引き上げ

従来の法律では、委員会による命令に違反した場合のペナルティは「6ヶ月以下の懲役または30万円以下の罰金」でしたが、改正法では「1年以下の懲役または100万円以下の罰金」に変更されます。

同時に、虚偽報告等に分類される場合の罰金も30万円以下から50万円以下に引き上げられることとなっています。

2.4.2 法人に対する罰金刑の最高額引き上げ

データベース等の不正提供や委員会の命令違反は従来、法人個人の罰金が同額でしたが、資力などの格差を考慮して金額が引き上げられました。以下のとおり、命令違反や個人情報データベース等の不正提供は最大1億円、虚偽報告は最大50万円に罰金が引き上げられます。

令和2年改正個人情報保護法の罰金刑と懲役刑

出典:個人情報保護委員会「令和2年 改正個人情報保護法について」

罰則が一段と厳しくなったため、慎重に個人情報を取り扱わなければ大きな痛手を被ることとなります。

3. まとめ

個人情報保護法の改正で個人情報の取り扱いは一段と厳しくなりました。企業は新たたにより厳格な対応が求められます。2022年春頃までに施行される見込みのため、早急に体制を見直し、改正法の内容に適応できるよう準備しておきましょう。