fbpx

情報セキュリティにまつわる
お役立ち情報を発信

[2022年] 改正個人情報保護法について解説!

個人情報保護法が改正され、施行されていることはもうご存知でしょうか?
法律が変わったということは、今の情報保護体制が、改正個人情報保護法には通用しなくなっている可能性があります。知らない間に法律に違反していることがあるかもしれません。
この記事を通して、改正個人情報保護法について、しっかりと学んでいきましょう。

改正個人情報保護法ってなに?

個人情報保護法が2020年に改正され、2022年4月から施行されました。ここでいう改正個人情報保護法とは、2020年に改正された個人情報保護法のことを指します。
今回の改正では、個人の権利保護の強化や個人情報取扱事業者の責務の追加など、様々な変更がありました。ここから詳しくみていきましょう。

改正の目的と背景は?

個人情報保護法そのものは、個人情報の「権利と利益の保護」「有効性の維持」という2つの目的があって作られました。
簡単にいうと、事業を行っていく上で個人情報を有効活用する上で個人の利益や権利はしっかり守りましょう、というものです。個人情報を取り扱う事業者は必ず守らなくてはいけないルールとなります。
今回の改正が行われた理由は、昨今の社会情勢の変化にともない、改正前の個人情報保護法では上記の目的を果たすことができないとされたためです。個人情報保護委員会では「3年ごと見直しに係る検討の着眼点」に即し、3年ごとに個人情報保護法の見直しを行っています。

改正個人情報保護法の公布日・施行日はいつ?

公布日:2020年6月12日
施行日:2022年4月1日
ただし、「法令違反に対する罰則の強化」については2020年12月12日施行

改正個人情報保護法のポイント

今回改正された個人情報保護法のポイントは大きく6つあります。
① 本人の権利保護の強化
② 事業者側の責務の追加
③ データの利用・活用の推進
④ 法的罰則の強化
⑤ 外国事業者への罰則の厳罰化
⑥ 不適性利用の禁止
このポイントについて解説していきます。

① 本人の権利保護の強化

改正前は、6ヶ月以内に消去される個人情報は短期保有データとしてみなされ、保有個人データに含まれませんでした。しかし、改正後は保有する期間がどれだけ短くても、保有個人データとしての保護をしなければならなくなりました。
加えて、本人からの保有個人データの利用停止・消去を請求するための条件が緩和されました。
具体的には「目的以外で利用された時」「不正に取得されたとき」の場合に可能になります。
第三者への提供停止請求に関しては、改正前は「本人の同意なく第三者に提供されたとき」とされていましたが、「不適性に利用されたとき」にも請求することが可能になりました。

② 事業者側の責務の追加

もし、保有個人データが漏えいしたときには必ず報告し、本人へ通知しなければならないという義務が追加されました。
ただし、データの管理を委託されている場合は、委託元への報告をすれば問題ありません。
また、「本人への通知が難しいとき」「本人の権利・利益を保護をするために代替措置をとるとき」は、必ずしも通知をしなければ罰せられるというわけではありません。

③ データの利用・活用の推進

改正前は、「仮名加工情報」という、個人が特定されないように加工してある個人情報であっても、厳しい規制がありました。このような個人を特定できないように加工した情報は、個人の権利を侵害する可能性が低いにも関わらず、通常の個人情報と同じ取り扱いをしなければなりませんでした。これが、データ活用をする際に疑問視されていました。
そこで、データ活用の促進のため、「仮名加工情報」について、通常の個人情報と比べて、事業者の義務が緩和されることになりました。
Cookieなど識別子情報、そこから閲覧履歴や購入履歴などの個人関連情報を辿ることができる情報を第三者に提供するときは、提供元は提供先に対して本人の同意を得ているかどうかを確認する必要があります。

④ 法的罰則の強化

措置命令に対する罰則が強化されました。
改正前は個人が措置命令に違反した場合、6ヶ月以下の懲役もしくは30万円以下の罰金でした。
改正後、1年以下の懲役もしくは100万円以下の罰金となり、罰則が強化されました。
また、報告義務の違反も改正前は30万円以下の罰金でしたが、改正後は50万円以下の罰金になりました。
個人だけでなく法人が違反した場合の罰則も強化されました。改正前は個人の違反と罰則が同じでしたが、改正後は措置命令や個人情報データベースからの不正流用で1億円以下の罰金となり、かなり強化されていることがわかります。
報告義務違反は個人と同様50万円以下の罰金です。

⑤ 外国事業者への罰則の厳罰化

改正前は一部のみが対象となっていた外国事業者への罰則は、改正後は日本に住む人の個人情報を取り扱っている事業者も報告徴収と命令の対象になりました。これに違反した場合は罰則が適用されます。
今回の改正によって、外国事業者の不適切な個人情報の取り扱いについてしっかりとした取締りができるようになりました。

⑥ 不適正利用の禁止

違法や不当な行為によって、個人情報を利用してはいけないことが改正前に比べて明確になりました。
違法や不当な行為というのは、例を挙げると、企業の採用の場面で、国籍や性別などで差別的なことを理由に不採用にするために、個人情報を利用することなどが当たります。

改正へ向けた企業・事業者の取り組み

ここまで、改正された個人情報保護法のポイントについて解説してきました。
ここからはその改正のポイントを踏まえ、企業がどのような取り組みをしていく必要があるのかを解説していきます。

① 電磁的記録による開示請求への対応

改正前は、本人から保有個人データの開示請求があった場合は、紙媒体での開示をする必要がありました。
しかし、改正後は開示の方法を本人が選べるようになりました。これによって、書面以外に電磁的記録による開示にも対応できるようにする必要があります。
ただし、電磁的記録による開示の対応に多額の費用がかかってしまう場合は、書面での開示でも認められるということになっています。

② 個人データ取り扱いの確認

改正後は、本人が第三者に提供された記録を開示請求できるようになりました。
また、本人が権利利益が侵害される可能性があると判断した場合、利用停止・消去・第三者への提供の停止などが請求できるようになりました。
停止請求をされると、事業に大きな影響を及ぼす可能性があります。そのため、あらかじめ第三者に提供する際に権利の侵害をしていないかどうかの確認をおこなうことで、未然に事業への影響を防ぐことができます。

③ 個人データ漏えい時の対応確認

保有個人データが漏えいした時は、個人情報保護委員会と本人への報告をすることが、改正後から義務化されました。
情報の漏えいは、ないに越したことはありません。しかし、もし情報漏えいが起こってしまった時のために、具体的な例を用いて業務フローを見直し、対応を考えることが必要です。
分野によって各部署で個人データを管理している場合は、緻密に対策を検討する必要があります。

まとめ

個人情報保護法の改正によって、個人の権利保護の強化がされ、個人情報を取り扱う事業者への罰則の強化が行われました。
これによって、社内の個人情報保護体制の見直しをする必要が出てきます。
プライバシーマークを取得することで、社内の個人情報保護体制を見直し、個人データの取り扱いについて信頼を得ることができます。この機会にぜひプライバシーマークの取得、更新を検討してみてはいかがでしょうか。

株式会社UPFには、業界No.1を誇る実績に基づく、プライバシーマーク(Pマーク)教育のノウハウがございます。
教育実施でお悩みの企業様・ご担当社様は、どうぞお気軽にお問い合わせください。

お問い合わせはこちらから。
株式会社UPFについて詳しくはこちらから。

この記事を書いた人

株式会社UPF

株式会社UPF

東京都中央区に本社を構える株式会社UPFです。 日本全国を対象にPマーク(プライバシーマーク)とISMS(ISO27001)の新規取得コンサルティング、取得後の運用支援事業を展開しております。 プライバシーマークについてのお問い合わせ・ご相談は→03-6661-0846セキュリティーコンサルティング事業部まで

同じテーマの記事はこちら

すべて見る