【2022年度】改正個人情報保護法とは? 改正のポイントや企業が取るべき対応をわかりやすく解説
2022年に改正された個人情報保護法は、個人情報をより強く保護する方向へシフトしています。改正により、企業が取り組むべき対応方法も変わってくるでしょう。本記事では、主な改正ポイントや企業が取るべき対応、罰則規定について解説します。
目次
改正個人情報保護法とは?
個人情報保護法(個人情報の保護に関する法律等の一部を改正する法律)は2020年に改正、2022年4月1日に施行されました。本記事で紹介する2022年4月の改正では、個人の権利保護の強化や個人情報取扱事業者の責務の追加、データの利活用の促進などが盛り込まれています。
個人情報保護法改正の目的
どのような目的で個人情報保護法が改正されたのでしょうか。行政機関である個人情報保護委員会が示す改正目的をご紹介します。
・個人の権利利益の保護
個人情報保護法第1条では、個人の権利利益を保護することを目的としています。2022年の改正では、情報を提供する個人が自身の情報の取り扱いに関心を高めていることから、個人情報保護法の目的である「個人の権利利益を保護する」ために十分な措置を講じることに配慮しながら、制度改正をすすめることが必要です。
・個人情報の保護と利用のバランスの調整
2015年の法改正によって重視された「個人情報保護と利用のバランス」は、引き続き重要なポイントとなるでしょう。経済成長と個人情報保護の両面のバランスを保つために、改正をすすめる必要があります。
・国際的潮流との制度調和
デジタル化された個人情報がグローバルに活用されていて、国際的な制度調和に配慮を示しながら制度改定をすすめる必要があります。
・外国事業者によるリスク変化への対応
海外の事業者によるサービス利用が活発化するなか、個人情報保護に関して本人が直面するリスクが変化してきています。このリスク変化への対応も必要です。
・AI・ビッグデータ時代への対応
AI・ビッグデータ時代を本格的に迎えるにあたり、本人が個人情報を網羅的に把握することに困難が伴います。個人情報取扱事業者は、できる限り本人が個人情報を把握できるよう環境を整備していくことが必要です。
個人情報保護法改正の背景
個人情報保護法が改正された背景について、制定時の状況から段階的に確認していきましょう。
・IT技術の進歩による個人情報保護の必要性の高まり|2005年より全面施行
まずは、個人情報保護法が制定された背景から説明しましょう。IT技術の進歩によりプライバシー侵害のリスクが生じたことから、個人情報保護の議論が活発になったのは1980年頃です。同年、OECDから個人情報保護の8原則が出されました。国際的にも個人情報保護の必要性が高まり、日本では2003年に個人情報保護法が制定され、2005年より全面施行されています。
・個人情報の活用範囲の拡大|2015年に改正
2005年より個人情報保護法が全面施行されてから、IT技術の進歩はますます発展を遂げています。PCやスマートフォン、スマートウォッチなどのデバイス、SNS、AI等により、個人の生活が便利になってきました。一方、行動ターゲティング広告に代表されるような、個人情報保護法制定当時では想像が及ばなかった領域で個人情報の利用が見られるようになっています。
個人の立場からは、個人情報の流出リスクに十分な配意を示し、事業者の個人情報を適正に取り扱うことが強く求められます。そうした背景から、2015年に個人情報保護法が改正されました。
・3年ごと見直し規定による改正
2015年の個人情報保護法では、3年ごと見直し規定が盛り込まれました。これは、個人情報保護に関する世界の動向、IT技術の進展やそれに伴って個人情報を活用した新規の産業の創出等を想定したことから、3年ごとという短い期間で個人情報保護法の見直しをしていくという内容です。2022年4月1日施行の個人情報保護法改正は、このような背景によって改正されました。
主な改正のポイント
続いて、2022年改正の主なポイントを見ていきましょう。
漏えいなどの報告、本人通知の義務化
個人情報が漏えい・滅失または毀損(きそん)した場合、個人の権利や利益を害する可能性が高い事態について、個人情報取扱事業者は個人情報保護委員会に報告すると共に、本人にも通知することが義務化されました。
改正前は個人情報保護委員会への報告と本人への通知は努力義務だったのですが、改正により義務化されることとなりました。なお、個人情報保護委員会への報告が必要となる事態とは、以下のような事態として委員会規則で定められています。
1.要配慮個人情報の漏えい等 2.財産的被害のおそれがある漏えい等 3.不正の目的によるおそれがある漏えい等 4.1,000件を超える漏えい等 |
1~3については、件数を問わず報告する必要があります。
外国の第三者への提供
外国の第三者への個人情報を提供する要件として、いくつかの事項が追加されています。まず、外国の第三者への個人情報を提供する際は「本人の同意」が必要でした。しかし、改正後は本人の同意を取得する際に、以下の情報を提供することが義務づけられています。
・個人情報の移転先の所在国の名称 ・移転先の外国における個人情報の保護に関する制度 ・移転先が講じる個人情報保護の措置 |
次に、基準に適合する体制を整備した事業者について、改正後は個人情報の移転元が適切な措置を取ること、本人の求めに応じて必要な措置に関する情報を取ること等が義務づけられました。
保有する個人情報の開示方法
個人情報取扱事業者が持っている個人情報の開示方法は、従来、書面による交付が原則でした。しかし、改正後はCD-ROM等による媒体の郵送、電子メールによる送信、あるいはウェブサイトのダウンロード等、本人が指定できるように変わっています。
個人情報の利用の停止、消去等の請求
個人情報の利用の停止、消去等の請求について拡充されることとなりました。従来、個人情報の利用の停止・消去ができるのは、目的外利用・不正取得の場合に限定されていたのです。また、第三者提供の停止ができるのは、第三者提供義務違反の場合に限定されていました。改正後は以下の場合にも、利用の停止・消去等の請求ができるようになっています。
・個人情報を利用する必要がなくなった場合 ・個人情報保護委員会への報告義務のある、重大な漏えい等が発覚した場合 ・本人の権利または正当な利益が害されるおそれがある場合 |
公表等事項の充実
安全管理のために講じた措置を公表等する義務があるものとして追加されることになり、公表等事項の充実化が図られました。
不適正利用の禁止
違法や不当な行為等によって、個人情報を利用してはいけないことを明確化されました。違法や不当な行為とは、例えば企業の採用において性別や国籍などの属性により本人に対し差別的取り扱いをするために、個人情報を利用するような場合が値します。
第三者への個人関連情報の提供規制
生存する個人に関わる情報を個人関連情報といい、この情報を第三者に提供する際には規制を受けることとなりました。具体的には個人関連情報を第三者に提供する場合、提供先において個人データとして取得されることが想定される際、提供元が第三者提供に対して本人の同意が得られているかの確認が義務づけられましたというものです。
仮名加工情報による一定の安全性の確保
改正では仮名加工情報が制度として新設されました。仮名加工情報とは、特定の個人を識別できないように個人情報を加工した情報のことです。個人情報を加工することによって、一定の安全性を確保することが狙いとなります。なお、個人情報を仮名加工情報に変換することで、以下の義務が適用から除外されるようになりました。
・利用目的の変更の制限 ・漏えい等の報告・本人への通知 ・開示・利用停止等の請求対応 |
改正に向けて企業が取るべき対応
個人情報保護法改正によって、企業はどのような対応を取るべきでしょうか。改正ポイントを踏まえつつ対応方法を確認していきましょう。
・デジタルデータによる個人情報の開示請求への対応準備
改正により、本人が指定した場合にはデジタルデータによる開示が必要になりました。そのため、企業はデジタルデータによる個人情報の開示請求へ準備しておきましょう。
・社内で権利利益の侵害のおそれがないか確認
改正により、第三者提供記録を本人が開示請求できるようになりました。企業は第三者提供記録について、権利利益の侵害がないかを確認しておきましょう。もし個人情報の利用停止・消去・第三者提供停止が行われた場合、会社存続の危機に陥ることも想定されます。権利利益の侵害のおそれがないか、社内で十分な確認が必要です。
・情報漏えいが起こった際の対応の見直し
改正により、個人情報の漏えいが起こった際は個人情報保護委員会への報告、ならびに本人への通知が義務化されています。漏えいが起こらないことが一番ですが、万が一漏えいが起こってしまった際に慌てて対応に抜け漏れがないよう、業務フローを作っておくことが賢明です。
・仮名加工情報の活用
改正によって新設された仮名加工情報を活用すると、「利用目的の変更の制限」「漏えい等の報告・本人への通知」といった複数の義務が適用除外となります。企業においては、研究・統計分析などに仮名加工情報を活用することが可能です。
改正個人情報保護法の罰則
改正個人情報保護法では、個人情報保護委員会の措置命令・報告義務違反の罰則に対して法定刑が強化されています。旧法では、個人情報保護委員会の措置命令違反の罰則は「6ヶ月以下の懲役または30万円以下の罰金」でした。しかし、改正により「1年以下の懲役又は100万円以下の罰金」に強化されることとなっています。
また、報告義務違反の罰則については「30万円以下の罰金」だったところが、改正により「50万円以下の罰金」に強化されることとなりました。なお、個人情報データベースの不正な流用について法定刑の変更はありません。
まとめ
2022年4月の個人情報保護法改正により、本人の情報保護に関して規定が強化されました。IT技術の進展を通じて新たな事業が生まれてくるなか、企業は個人情報を適切に扱う必要があり、一部の罰則が強化されています。個人情報保護法改正によって、これまで以上に慎重な個人情報の取り扱いが求められるでしょう。正しい取り扱いができるよう、企業側の対応の見直しも迫られているといえそうです。
・ライタープロフィール
山崎英理夫(人事コンサルタント)
人事コンサルタントとして教育研修のプログラム開発、人事制度診断等を提供。また、企業人事として新卒・中途採用に従事し、人事制度構築や教育研修の企画・運用など幅広く活動。この経験を活かし、人材関連の執筆にも数多く取り組む。