個人情報保護法は非常に改正の多い法律であり、3年に一度見直しがされることとなっています。最新の改正は2020年6月に公布され、2022年4月1日より施行されました。

 

では、今回の改正で、どのような見直しがなされたのでしょうか？今回は、2022年4月に施行された個人情報保護法の改正ポイントをくわしく解説します。

 

個人情報保護法の改正

 

個人情報保護法は、3年ごとに見直しがされることとなっています。これは、個人情報の保護に関する国際的動向や情報通信技術の進展、それにともなう個人情報を活用した新たな産業の創出や発展の状況などを勘案しつつ、適宜改正を加える必要性があるとされているためです。

 

はじめに、個人情報保護法の基本について解説していきましょう。

 

個人情報保護法とは

 

個人情報保護法とは、個人の権利利益の保護を目的とした法律です。その1条には、次のように目的が規定されています。

 

この法律は、デジタル社会の進展に伴い個人情報の利用が著しく拡大していることに鑑み、個人情報の適正な取扱いに関し、基本理念及び政府による基本方針の作成その他の個人情報の保護に関する施策の基本となる事項を定め、国及び地方公共団体の責務等を明らかにし、個人情報を取り扱う事業者及び行政機関等についてこれらの特性に応じて遵守すべき義務等を定めるとともに、個人情報保護委員会を設置することにより、行政機関等の事務及び事業の適正かつ円滑な運営を図り、並びに個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであることその他の個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする。

 

これを整理すると、次のようになります。

 

• この法律の目的
  1. 行政機関等の事務や事業の適正かつ円滑な運営を図ること
  2. 個人の権利利益を保護すること（ただし、個人情報の適正かつ効果的な活用が新たな産業の創出や活力ある経済社会、豊かな国民生活の実現に資するものであることなど個人情報の有用性に配慮）
• そのためにこの法律が行うこと
  1. 個人情報の適正な取扱いに関し、基本理念と政府による基本方針の作成その他の個人情報の保護に関する施策の基本となる事項を定めること
  2. 国及び地方公共団体の責務等を明らかにすること
  3. 個人情報を取り扱う事業者及び行政機関等についてこれらの特性に応じて遵守すべき義務等を定めること
  4. 個人情報保護委員会を設置すること

 

改正法の施行日

 

個人情報保護法は、3年ごとに見直されることとされています。直近の改正は2020年6月に公布され、2022年4月1日より施行されています。

 

2022年個人情報保護法改正ポイント①：漏えい等報告・本人通知の義務化

 

ここからは、2022年4月に施行された個人情報保護法の改正ポイントを順に解説していきましょう。

 

1つ目の改正ポイントは、万が一個人の権利利益を害するおそれがある個人データの漏えいなどが発生した場合において、個人情報保護委員会への報告と本人への通知が義務化された点です。

 

漏えいした場合に個人情報保護委員会への報告と本人通知が必要となる、「個人の権利利益を害するおそれがある事態」としては、次のものが挙げられています。

 

このような事態が生じた場合には、発生からおおむね3日から5日以内の個人情報保護委員会への報告と、本人へのすみやかな通知が必要です。

 

2022年個人情報保護法改正ポイント②：外国にある第三者への提供の要件拡充

 

改正ポイントの2つ目は、外国にある第三者に個人データを提供する際に、満たすべき要件が拡充された点です。

 

個人データを外国にある第三者に提供する場合において、次のいずれかの要件を満たさなければならない点は従前のとおりです。しかし、改正により、それぞれの中身が拡充されました。

 

本人の同意を得ること

 

次の2点を満たす場合には、外国にある第三者に個人データを提供することができます。

 

1. 本人の同意を得ること
2. 本人の同意を得るにあたって、次の情報を提供するこ
   • 移転先の所在国の名称
   • その国における個人情報の保護に関する制度
   • 個人情報保護のために移転先が講じる措置

 

このうち、「2」の要件が、改正により追加されました。

 

基準に適合する体制を整備した事業者への提供であること

 

次の3点を満たす場合には、外国にある第三者に個人データを提供することができます。

 

1. 基準に適合する体制を整備した事業者への提供であること
2. 移転「元」が次の措置を講じること
   • 移転先における適正な取扱い状況の定期的な確認
   • 移転先における適正な取扱いに問題が生じた場合の対応
3. 本人の求めに応じて、必要な措置等に関する情報を提供すること

 

このうち、「2」と「3」の要件が、改正により追加されました。

 

日本と同等の個人情報保護水準を有する国への提供であること

 

EUやイギリスなど、個人情報の保護レベルが日本と同等の水準である国の事業者に対してであれば、日本国内の第三者に個人データを提供する場合と同様に個人データを提供することができます。この点は、改正前後で違いはありません。

 

2022年個人情報保護法改正ポイント③：保有個人データの開示請求等拡充

 

3つ目の改正ポイントは、保有個人データの開示請求などの拡充です。

 

 

改正により、これまで原則として書面での開示が原則であったところ、電子メールでの送信やウェブサイトからのダウンロードなど、書面以外での開示請求の方法を本人が指示できることとされました。

 

また、次の点も改正されています。

 

第三者提供記録の開示請求権の創設

 

これまで、保有個人データの第三者提供の記録は、開示請求の対象に含まれていませんでした。改正後は、第三者提供の記録について開示請求が可能となっています。

 

なお、第三者提供記録の開示請求は、個人データの提供元と提供先のいずれに対して行っても構いません。

 

6ヶ月以内に消去する保有個人データも対象に

 

従来、6ヶ月以内に消去される保有個人データについては、開示請求や利用停止請求、消去などの対象外とされていました。改正により、6ヶ月以内に消去される個人データについても、開示請求などの対象となっています。

 

利用停止等請求ができる場面の拡大

 

これまで、保有個人データの利用停止や削除の請求ができるのは、目的外利用や不正取得があった場合に限定されていました。改正により、次の場合においても利用停止請求や削除請求が可能とされています。

 

 

 

 

 

2022年個人情報保護法改正ポイント④：公表等事項の拡充

 

改正ポイントの4つ目は、個人情報取り扱う事業者が公表すべき事項として、安全管理のために講じた措置が追加された点です。

 

ただし、たとえば次の事項など、公表により安全に支障が出るおそれがある事項については、公表しなくても構いません。

 

 

2022年個人情報保護法改正ポイント⑤：不適正利用禁止の明文化

 

改正ポイントの5つ目は、個人情報を、違法や不当な行為により利用してはならないことが、明文化された点です。これは特に大きな変更点ではなく、従前は明文規定のなかった事項が明文化されたということです。

2022年個人情報保護法改正ポイント⑥：個人関連情報に関する規程の新設

 

6つ目の改正ポイントは、「個人関連情報」に関する規程が新設された点です。順を追って解説していきましょう。

 

個人関連情報とは

 

改正によって新設された「個人関連情報」とは、生存する個人の情報であり、次のいずれにも該当しないものです。

 

 

たとえば、スマートフォンから送信されたある人の位置情報やある人のサービス利用履歴、Cookieなどがこれに該当します。

 

これらは、それ単体では誰の個人データであるのかまではわからないようになっていることが多いでしょう。しかし、他社が保有している他の情報と照らし合わせることで、誰のデータであるのかが明確となる場合があります。

 

このようなものを、「個人関連情報」と定義して、新たに保護の対象とされました。

 

個人関連情報に関する義務

 

個人関連情報を第三者に提供する場合において、提供先の第三者が他の情報と照合することによって個人を特定できる情報となることが想定される場合には、原則として情報の提供を受ける側が、あらかじめ本人の同意を得なければなりません。

 

また、提供先が本人同意を得ていることについて確認する義務が、提供をする側に対しても課されます。

 

なお、一定の要件を満たすことで、提供元が代わりに同意取得をすることも可能です。

 

一定の要件とは、提供先の第三者を個別に明示することや、第三者が個人関連情報を個人データとして取得した後の利用目的について本人に対して通知または公表することなどです。

 

2022年個人情報保護法改正ポイント⑦：仮名加工情報に関する規程の新設

 

7つ目の改正ポイントは、「仮名加工情報」に関する規程が新設された点です。具体的に解説していきましょう。

 

仮名加工情報とは

新設された「仮名加工情報」とは、他の情報と照合しない限り、特定の個人を識別できないように個人情報を加工した情報を指します。

 

たとえば、顧客の購買状況から個人を特定できる情報（氏名や電話番号、住所など）や、不正利用により被害が生じる可能性のある情報（クレジットカード番号など）を削除したデータなどです。

 

これにより、たとえばある人が「2022年12月1日の12時に法務商店の東京店で1,000円の買い物をし、同じ人が2022年12月2日の19時に法務商店の横浜店でも2,000円の買い物をした」ことなどはデータとして残るものの、このデータの対象者が「山田太郎氏」であることはわかりません。

 

仮名加工情報は、データの加工によって一定の安全性を確保しつつも、データの有用性を保って詳細な分析を実施することを目的としています。特定の個人を識別することができず、また、加工元の個人情報を復元できない点が大きなポイントです。

 

規制を強化する他の改正内容とは異なり、個人データの有用性に配慮した規定であるといえるでしょう。

 

仮名加工情報で除外される義務

 

仮名加工情報に変換された情報は、次の義務が適用除外とされます。

 

 

仮名加工情報であれば、その情報から本人を特定することはできません。そのため、たとえ情報が漏えいしたとしても、本人のプライバシーが侵害される可能性は低いでしょう。

 

また、同じ理由から、内部での分析や利用の範囲内であれば、当初通知などをした利用目的以外の利用も可能とされます。

2022年個人情報保護法改正ポイント⑧：罰則の強化

 

2020年6月に公布された改正個人情報保護法では、罰則が強化されています。罰則の強化に関する改正のみは施行日が異なっており、こちらは令和2年（2020年）12月12日から早々に施行されました。

 

		懲役刑		罰金刑
		改正前	改正後	改正前	改正後
個人情報保護委員会からの命令への違反	行為者	6月以下	1年以下	30万円以下	100万円以下
	法人等	–	–	30万円以下	1億円以下
個人情報データベース等の不正提供等	行為者	1年以下	1年以下	50万円以下	50万円以下
	法人等	–	–	50万円以下	1億円以下
個人情報保護委員会への虚偽報告等	行為者	–	–	30万円以下	50万円以下
	法人等	–	–	30万円以下	50万円以下

参照元：令和２年 改正個人情報保護法について（個人情報保護委員会）

 

罰則の強化に関する改正ポイントは、主に次の2点です。

命令違反や虚偽報告等の法定刑引き上げ

個人情報保護委員会による命令に違反した場合や、個人情報保護委員会に対して虚偽の報告をした場合などの法定刑が引き上げられました。

 

主な改正ポイントは、次のとおりです。

 

• 個人情報保護委員会からの命令への違反：もともと「6ヶ月以下の懲役または30万円以下の罰金」であったところ、「1年以下の懲役または100万円以下の罰金」へと引き上げ
• 個人情報保護委員会への虚偽報告等：もともと30万円以下の罰金であったところ、50万円以下の罰金へと引き上げ

法人への法定刑引き上げ

法人の業務に関連して代表者や従業員などが個人情報保護委員会の命令違反等をした場合には、行為者が罰せられるほか、法人も罰金刑の対象となります。

 

この場合に法人に対して課される法定刑が、改正によって引き上げられました。主な改正ポイントは、次のとおりです。

 

 

まとめ

 

個人情報保護法は、頻繁に改正される法律の一つです。また、法の創設当初は保有している個人情報が5,000件以下の事業者は適用除外とされていたものの、今はこの制限は存在せず、個人情報保護法と無縁でいられる企業はほとんど存在しないでしょう。

 

そのため、改正に合わせてプライバシーポリシーを改訂するほか、社内の業務フローの見直しなど随時対応していかなければなりません。個人情報保護法に則った対応をしていない場合には、個人情報保護委員会からの命令などの対象となり得るのみならず、万が一漏えいが発生した際の責任が重くなりかねないでしょう。

 

しかし、改正法を追い、自社のみで対応することは容易ではありません。そのため、個人情報保護法改正への対応は、弁護士とともに進めることをおすすめします。

 

たきざわ法律事務所では、個人情報保護法への対応など企業法務のサポートに力を入れております。改正法への対応するためのプライバシーポリシーの改訂や業務フローの見直し、万が一個人情報が漏えいしてしまった場合の対応まで、広くサポートすることが可能です。

 

個人時報保護法への改正対応などでお困りの際には、ぜひたきざわ法律事務所までご相談ください。

お問い合わせフォームはこちら