【2022年4月施行】改正個人情報保護法について、重要な6つのポイント
令和4年(2022年)の4月より、改正個人情報保護法が施行されます。
デジタル化が進む一方で、多様化する個人情報の活用への対応として、総務省によって施行される改正個人情報保護法。
大きく分けて、6つのポイントが存在するので、解説していきます。
①個人の権利
②業者の責任強化
③業者の自主的な取り組み
④個人情報のデータ活用について
⑤違反時のペナルティ
⑥外国事業者のあり方
の6つとなります。
どれも重要なポイントです。
弊社UPFでも個人情報保護についてご不明な点にお応えしております。何なりとおたずねください。
・改正個人情報保護法の6つのポイント
現在も改正案が進んでおり、令和4年にはすべてが整って施行される予定です。
以下にポイントの概略をまとめます。
①個人の権利
個人情報は、消去したり停止したりしてもらう権利を個人が明確に持つこととなります。従来は、不正取得や目的外利用などの法令違反があった場合にのみ、利用停止請求権が発生し、その利用を止めることができたのですが、今回の改正では、不法行為がなくとも個人が利用停止請求権を持つこととなります。
本人が電磁記録をデータ開示請求して提供を受ける権利を持ち、本人の希望によって電子的な方法での開示が可能になりました。事業者は、開示の際の電子的方法について準備する必要があります。
また、短期(半年)のデータでも、開示や利用停止の対象になることとなりました。
第三者には、そもそも不正取得の個人データを渡すことはそもそも禁止でした。くわえて、オプトアウトにより取得した個人データも、第三者提供は禁止となります。
②業者の責任強化
漏洩事故発生時の権利侵害は、委員会へ報告が義務となります。違反や不当行為を助長するような、ふさわしくない行為によって個人情報を手に入れたり、利用したりするのは厳禁となります。
●漏洩等ををした場合、速報3日以内、確報1か月以内にすることが義務付け。
●保有個人データに関する事項の周知に、以下を追記
・事故時の責任者として、事業者住所、代表者指名を明記する
・外国にある事業者に提供(委託を含む)場合には、カントリーリスクとリスク情報の参照先を明記
・プロファイリングする場合にはその旨
などが必要です。
③業者の自主的な取り組み
認定団体は今の制度にくわえて、部門で認定も可能となります。
現在は組織全体に対してでしたが、特定分野に特化した事業部に対して、認定が可能となります。
④個人情報のデータ活用について
たとえば、個人情報のデータの提供元では、仮名などで個人情報に該当しないが、提供先によっては該当してしまう場合。その第三者提供の個人情報は、本人の同意が必要となります。
ここが今回の改正の肝であり、前回の改正時に登場した「匿名加工個人情報」にくわえて、「仮名加工個人情報」「個人関連情報」が利活用できるようになりました。さらに、その取り扱いにルールが設定されました。
個人関連情報を第三者提供する場合、提供先で個人データとして利用するのであれば、提供先が同意を取る必要があります。そして提供元は提供元で、同意を取っているか確認する必要があります。
⑤違反時のペナルティ
命令違反や、虚偽報告といった場合の、ペナルティを引き上げます。罰金の場合は、法人の場合、罰金額の最高額を引き上げることとなります。これを法人重科と呼びます。個人情報データベース等の不正提供罪も法人重課となっています。従業員が勝手に不法な個人データを入手して利用した場合、法人はその行為を「禁止し、それを徹底した」ことが証明できない限りは、1億円以下の罰金となってしまうので注意が必要です。
⑥外国事業者のあり方
外国の事業者であっても、国内にある個人情報を取り扱う事業者の場合は、罰則によって担保され、報告や命令の対象となります。
・改正の注意点
デジタル化が進むにつれて、個人情報が取り扱われるシーンが増えてきました。またDXも進んでおり、すべてがオンライン化しつつあります。そこで懸念されるのが個人情報の漏洩。総務省もここに危機意識を抱いており、何度も検討と審議を重ねながら、ガイドラインの策定に乗り出しました。
実は令和2年(2020年)の春先から検討が続いていた改正個人情報保護法ですが、施行にあたって必要な意見募集や周知と告知を継続的に実施し、令和4年4月1日の施行を目指す構えです。
特に、以下のポイントは別途学んでおく必要があります。
【本人の権利】
【請求権】
【トラブル時の報告】
【不適切利用時】
【認定団体による取組】
【外国企業の取り扱い】
【加工した情報の基準】
【同意の取得】
【移転先のリスクなど周知徹底】
個人情報の漏洩が万が一起きると、事業に著しいダメージを受けます。事業規模が大きいほど報道リスクも高まりますし、現実にたくさんの企業が事故を起こし、報道されて信頼を毀損してしまっています。また、違反時のペナルティが引き上がっているため、法人重科によって、支払う金銭的な負担も大きなものとなってしまいます。
個人情報を適正に取り扱い、ビジネスを推進していくためにも、いらぬトラブルを起こして社会的信頼を毀損しないためにも、企業としてしっかりとマネジメントシステムの体制構築はこれからの時代を生き抜く安全弁になってくれます。
弊社ではそういった最新の個人情報保護の体制構築について体系的に解決できるプライバシーマーク取得のサポートしておりますので、何なりとお申し付けください。
この記事を書いた人
株式会社UPF
同じテーマの記事はこちら
JIS Q 15001とは何か?Pマークとの関連性から活用メリットまで解説します
JIS Q 15001とはどのように活用されるものなのでしょうか。また、JIS Q 15001について調べると必ず目にするPマークはどのようなもので、JIS Q 15001とはどの […]
ISMAP管理基準とは?徹底的に解説!
日本初の情報セキュリティ評価制度ISMAPについてご存じでしょうか? 近年テレワークの拡大やDX化の促進によりクラウドサービスへの関心が高まっています。 本記事ではISMAPの概要 […]
ISMAPクラウドサービスリストとは?徹底的に解説!
日本初の情報セキュリティ評価制度ISMAPについてご存じでしょうか? まだまだ馴染みのない言葉だと思います。今後デジタル化がさらに加速する中で多くのクラウドサービスが開発されていく […]
isms認証とiso27001認証との違いを徹底解説!
情報セキュリティの管理を考える上で、無視できないのがISMS認証です。この名称を聞いたことがある人も多いのではないでしょうか。その他にはISO27001認証、Pマーク等、ISMS認 […]
ISMAPのメリット、登録方法まで徹底解説!
ISMAPは2020年6月から運用が始まっています。2021年3月に初めてISMAPのクラウドサービスリストが公開され、四半期ごとに更新されています。 この記事では、ISMAPの解 […]
