個人情報保護法は、社会経済情勢の変化に対応するため、3年ごとに見直されることとされています。そのため、非常に改正の多い法律の一つであるといえるでしょう。

 

最近の改正は令和2年（2020年）の改正であり、これは令和4年（2022年）4月1日より施行されています。しかし、令和5年（2023年）3月現在、まだこの改正に対応できていない事業者様も存在するのではないでしょうか？

 

今回は、個人情報保護法の直近の改正内容について、弁護士がまとめて解説します。ご確認いただき、まだ対応ができていないという事業者様は、早期に弁護士へ相談すると良いでしょう。

 

 

 

個人情報保護法とは

 

個人情報保護法とは、個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする法律です。この目的を達成するため、個人情報の適正な取扱いに関する基本理念などを定めるとともに、個人情報を取り扱う事業者などが遵守すべき義務などについて規定しています。

 

個人情報保護法は以前、5,000件を超える個人データを保有する企業のみが適用対象とされていました。そのため、個人データの保有件数が少ない企業の中には、今も自社が適用対象外であると思い込んでいる場合もあるかもしれません。

 

しかし、この「5,000件基準」は、2017年の改正ですでに撤廃されています。現在は、個人データを1件でも保有するのであれば、すべての事業者が適用対象となっていますので、注意しましょう。

 

個人情報保護法は頻繁に改正される

 

個人情報保護法は、頻繁に改正される法律の一つです。これは、社会経済情勢の変化に対応するため、個人情報保護法を3年ごとに見直すこととされているからです。

 

そのため、自社が個人情報保護法に一度しっかりと対応したとしても、改正に応じて適宜見直さなければなりません。

最近では、令和2年（2020年）に改正されており、これが令和4年（2022年）4月1日より施行されています。この改正に沿った対応ができているかどうか、いま一度確認しておく必要があるでしょう。

 

個人情報保護法改正ポイント1：個人の権利利益の保護強化

 

ここからは、令和4年（2022年）4月1日に施行された個人情報保護法の改正内容のうち、主なものを解説します。自社の対応と照らし合わせながら、確認すると良いでしょう。

 

はじめに、個人の権利利益の保護強化についてです。今回の改正では、個人データの対象である本人の権利保護が、次のように強化されました。

 

漏洩時の個人情報保護委員会への報告義務等の義務化

 

個人情報の漏洩や滅失、毀損などが発生した場合、改正前は、個人情報保護委員会への報告や本人への通知は努力義務とされていました。改正後は、次の漏洩や滅失、毀損などが生じた場合には、個人情報保護委員会への報告と本人への通知が義務化されます。

 

 

個人情報保護委員会への報告は「速やかに」行うべきこととされており、おおむね3日から5日以内が目安となります。

 

安全管理措置の公表義務を追加

 

個人情報保護法では、あらかじめ公表するか、本人の求めに応じて遅滞なく回答すべき事項が定められています。

 

改正により、公表や遅滞なく回答すべき事項に、安全管理のために講じた措置が追加されました。ただし、次のものなど、公表や回答により安全管理に支障をきたす可能性のある措置については、公表などの対象から除外されます。

 

 

安全管理措置は、本人から問い合せがあった際に遅滞なく回答すれば問題ありません。ただし、応答に要する事務作業を軽減するためには、あらかじめプライバシーポリシーに織り込むなどして公表しておくことも検討すると良いでしょう。

 

違法または不当な利用禁止を明確化

 

個人情報を違法や不当な目的で利用することは、当然ながら避けるべき行使です。しかし、従来はこれについて、明文の規定がありませんでした。

 

そこで、改正法では、「違法または不当な行為を助長し、または誘発するおそれがある方法により個人情報を利用」を禁止する規定が明文化されています。

 

保有個人データの開示方法の改正

 

本人は、自分の個人データを保有している事業者に対して、保有個人データの開示請求をすることが可能です。この開示請求に応じる方法は、従来、書面による交付が原則とされていました。

 

これが改正により、本人が次のいずれかの方法を選んで開示請求ができることとされています。

 

 

ただし、本人が求める方法で開示に応じることが困難である場合には、書面での交付をすることも可能です。開示請求への対応をスムーズとするため、「その個人情報取扱事業者の定める方法」についてプライバシーポリシーに定めておくことも検討すると良いでしょう。

 

また、個人データの第三者提供記録についても開示請求が可能となる改正や、従来は対象外とされていた6ヶ月以内に消去する保有個人データも開示対象とする改正もなされています。

 

利用停止・消去等の請求権の拡充

 

本人が事業者に対して個人データの利用停止や消去できるケースは、従来、目的外利用や不正取得があった場合に限定されていました。

 

これが改正により拡充され、次の場合にも利用停止や消去を求めることができるようになっています。

 

 

なお、個人情報保護委員会のホームページでは、このうち「3」の例として、「退職した従業員の情報を自社のホームページに掲載し続け、本人の不利益になった場合」が挙げられています。このようなケースは非常に身近であるかと思いますので、削除などの請求があった場合には速やかに対応できるよう、体制を整えておきましょう。

 

 

 

 

個人情報保護法改正ポイント2：越境データへのリスク対応

 

改正ポイントの2つ目は、越境データへのリスク対応です。最近では、個人データが外国にある企業などの提供されることも珍しくありません。

 

たとえば、日本企業が、個人データを取り扱う必要のある業務を、外国にある企業に委託する場合などです。

しかし、個人情報の取り扱いに関するルールは、その国によって異なります。提供先の企業が所属する国の法令で個人情報の取り扱いルールが甘ければ、個人データが意図しない内容で利用されるなど、本人の不利益となってしまうかもしれません。

 

こうした問題を受け、次の改正がなされています。

 

外国にある第三者への個人データ提供時における情報提供の充実等

 

改正により、外国にある第三者へ個人データを提供する際には、その国の個人情報保護の程度に応じて、所定の措置を講じるべきこととされました。それぞれ、次のとおりです。

 

なお、外国にある第三者への個人データ提供については、近年、非常に注視されています。仮に適切な措置を講じることなく個人データを問題のある国にある企業に移転すれば、企業の信頼を大きく損ねてしまいかねません。そのため、特に注意して適切な対策を講じる必要があるでしょう。

 

日本と同等の水準国である場合

 

提供先の第三者がEUやイギリスなど、日本と同等の個人情報保護体制を整えている国にある場合には、国内にある第三者へ提供する場合と同様の措置を講じれば問題ありません。

 

日本と同等の水準国にない場合

 

提供先の第三者が日本と同等の個人情報保護体制を整えている国以外に所属する場合には、次の2つのパターンがあります。

 

まず、委託先の企業などが日本の個人情報保護委員会規則で定める基準に適合する体制を整えている場合には、提供元である企業が次の措置を講じることで、個人情報の提供が可能となります。

 

 

一方、委託先の企業などが日本の個人情報保護委員会規則で定める基準に適合する体制を整えていない場合には、第三者提供に関する本人からの同意の取得時に、次の情報を提供しなければなりません。

 

 

個人情報保護法改正ポイント3：ビッグデータへの対応

 

個人情報保護法改正ポイントの3つ目は、ビッグデータへの対応です。

 

ビッグデータの分析や活用は、企業のマーケティングやAIの発展などにとって、非常に有用となります。そのため、経済発展のためには、ビッグデータの利活用は望ましいことといえるでしょう。

 

その一方で、本人が予測していない範囲でデータが活用されたり、思わぬ個人情報の漏洩に繋がってしまったりすれば、個人の権利が害されてしまいかねません。

 

そこで、新たに「個人関連情報」と「仮名加工情報」を定義し、それぞれの取り扱いについて定めることとされました。これらの概要は、次のとおりです。

 

仮名加工情報の新設

 

仮名加工情報とは、他の情報と照合しない限り、特定の個人を識別できないように個人情報を加工して得られる個人に関する情報です。加工によって一定の安全性を確保しつつも、従来から存在する匿名加工情報よりもデータの有用性を保ち、詳細な分析を実施し得るものとされています。

 

たとえば、店舗の販売データから氏名やクレジットカード番号など直接的に個人を特定する情報や不正利用のリスクのある情報を削除し、年齢や利用店舗、購入金額などの分析に必要なデータを残したものなどがこれに該当するでしょう。仮名加工情報に該当した場合には、次の義務が除外されます。

 

 

なお、仮名加工情報とした場合であっても、もとの個人情報はそのまま残すことが可能です。ただし、仮名加工情報を他の情報と照合するなどして元の個人情報に係る個人を識別することは、禁止されています。

 

個人関連情報の新設

 

個人関連情報とは、次のいずれにも該当しない、生存する個人に関する情報を指します。

 

 

個人情報保護委員会のホームページによると、たとえば次の情報が個人関連情報に該当するとされています。

 

 

ただし、特定の個人を識別できる蓄積された位置情報等は、個人関連情報ではなく個人情報となります。

 

個人関連情報は、提供元となる企業では誰のデータであるかわからないものの、提供先となる企業では他の情報と紐づけることで個人が特定でいる場合があります。この場合には、提供を受ける企業があらかじめ本人の同意を得る必要があるほか、提供先の企業が本人の同意を得ていることについて、提供元企業が確認しなければなりません。

 

個人情報保護法の改正に適切に対応するために

 

個人情報保護法は、上でも解説をしたとおり、頻繁に改正される法律です。しかし、当然ながら改正が頻繁であることを理由に、対応の遅れや漏れが許されるわけではありません。

 

実際の個人情報の取り扱い状況やプライバシーポリシーの内容が改正法に適応できていなければ、指導や罰則の対象となる可能性があります。また、顧客からの信用を損ねてしまう可能性がある他、SNSなどで炎上してしまうリスクもあるでしょう。

 

では、企業が個人情報保護法の改正へ適切に対応するためには、どうすれば良いのでしょうか？主な対応方法は、次のとおりです。

 

法令とガイドラインを読み込んで理解する

 

個人情報保護法の改正に自社で適切に対応するためには、個人情報保護法や施行令、施行規則などを確認することが不可欠です。さらに、最新のガイドラインもよく読み込んで、理解しておく必要があるでしょう。

 

そのうえで、適法な対応を自社の実情に落とし込んで対応しなければなりません。

 

弁護士に相談する

 

専門の部署がある場合などでない限り、法令やガイドラインの読み込みと理解を自社のみで行うことは容易ではありません。そのため、現実的な対応策としては、弁護士に相談をすることが近道となるでしょう。

 

個人情報保護法に詳しい弁護士へ相談することで、改正に伴って自社で行うべき対応やプライバシーポリシーの改訂などについて、具体的なアドバイスやサポートを受けることが可能となります。

 

 

 

 

社内に周知徹底する

 

個人情報保護法の改正は、経営陣のみが理解しておけば良いというものではありません。いくら経営陣が個人情報保護法の改正内容などについてよく理解していても、実際に個人情報を取り扱う担当者の理解が不足していれば、適切な対応をとることは困難でしょう。

 

そのため、社として個人情報保護法の改正に対して適切に対応するためには、改正内容について社内に周知徹底することが必要です。また、社内のワークフローを見直すべき場合も少なくないでしょう。

 

社内へ改正内容を周知徹底するためには、弁護士など外部の専門家に研修を依頼することなどが考えられます。

 

まとめ

 

個人情報保護法は、頻繁に改正される法律です。直近の改正は令和2年（2020年）であり、この改正は令和4年（2022年）4月に施行されました。

 

改正法にまだ対応できていないという事業者様は、早期に対応をする必要があるでしょう。具体的に何をすれば良いのかわからないという場合には、弁護士へ相談することをおすすめします。

 

たきざわ法律事務所では、個人情報保護法改正への対応支援に力を入れております。頻繁に改正される個人情報保護法への対応にお悩みの際には、たきざわ法律事務所までお気軽にお問い合わせください。

 

お問い合わせフォームはこちら