「個人情報保護法」とは、正式名称を「個人情報の保護に関する法律」と言い、個人情報の活用による個人の権利や利益を守るための法律です。
個人情報とは生存する個人に関する情報であって、氏名、電話番号、住所など特定の個人を識別できるもののことを指します。
個人情報保護法では「個人情報」の他にも個人に関する情報として「個人データ」、「保有個人データ」が区別されています。
| 個人情報 |
生存する個人に関する情報であり、特定の個人を識別できるもの。 |
| 個人データ |
個人情報データベースなどを構成する個人情報。
※「個人情報データベース」とは、特定の個人情報を検索できるように体系化した、個人情報を含む情報の集合物のこと |
| 保有個人データ |
個人情報取扱事業者が以下の権限を持っている個人データ。
- 開示
- 内容の訂正
- 追加または削除
- 利用の停止
- 消去及第三者への提供の停止
|
個人情報保護法は、国際的動向や情報通信技術の進展などの状況から、3年ごとに見直し・改正が行われます。
2022年の改正では、人々の個人情報に関する意識の高まりに即した内容としつつ、保護と利用のバランス維持や、海外を視野にいれたリスク対応などが考慮されています。
個人の権利の拡大
今回の改正で、個人の権利保護の内容が拡大しました。
個人情報の保存媒体は多種多様となってきており、書面で提出が難しい音声データや動画なども増えています。
そのための利便性を重視し、保有個人データの開示に関しては電磁的記録の提供も可能となっています。
改正前と改正後の変更点
|
改正前 |
改正後 |
| 1. 保有個人データの開示方法 |
原則として書面による交付。 |
保有個人データの持ち主(本人)が、電子データを含めた開示方法を指定できる。
|
| 2. 個人データにおける本人への第三者提供記録の開示 |
個人データの持ち主(本人)は、開示請求ができない。 |
個人データの持ち主(本人)は、開示請求ができる。 |
| 3. 短期保有データの保有個人データ化 |
6カ月以内に消去されるデータは、保有個人データに含まない。 |
6カ月以内に消去されるデータも、保有個人データに含む。 |
| 4. 保有個人データにおける利用停止・消去・第三者への提供の停止に関する本人の請求 |
以下の場合は請求できる。
- 個人情報が目的以外の場面で利用された場合
- 不正取引など法違反の場合
|
現行に加えて、以下のような場合も請求できる。
- 保有個人データの漏えいが発生した場合
- 取引先の事業者が保有個人データを利用しなくなった場合
法違反をしていなくとも、個人の権利または利益が害される場合も対象。
|
5. オプトアウト規定の対象範囲
※個人データを第三者へ提供する際、保有者である本人が反対しなければ、同意したとみなす規定
|
要配慮個人情報のみ、第三者への提供ができない。 |
現行に加えて、事業者による不正取得があった個人データや、オプトアウト規定により提供されたデータも、第三者への提供ができない。 |
事業者の遵守すべき責務の追加
個人情報が漏えいした場合、これまでは個人情報保護委員会への報告や本人への通知は義務とされていなかったため、報告をしない事業者も多く、監督機関は適切な対応が行えませんでした。
今回の改正では、漏えい時の報告や本人への通知が義務化されます。
|
改正前 |
改正後 |
| 個人情報が漏えいした場合の報告義務 |
- 個人情報保護委員会への報告:努力義務
- 本人への通知:法律上の義務はなし
|
- 個人情報保護委員会への報告:義務化
- 本人への通知:原則義務化
※個人の権利利益を害するおそれが大きいとして、個人情報保護委員会規則で定める範囲に該当する場合
|
| 個人情報の不適正な利用の禁止 |
規定なし。 |
違法や不当な行為を助長するおそれのある不適正な利用を禁止する規定を制定。 |
ただし、個人情報取扱業者からほかの事業者へ個人情報を委託している場合、漏えいが発生したとしても、委託先の事業者へ報告すれば、委託元の事業者から個人情報保護委員会への報告は免除されます。
事業者に対する自主的な行動の促進
認定個人情報保護団体制度とは、個人情報保護委員会が認定した民間団体が、事業者に代わって、個人情報の取り扱いにおける苦情の対応や情報の提供などを行う制度です。
事業者は認定団体に加入することで、個人情報に関する苦情の申出先を、事業者自身ではなく認定団体にすることができます。
これまで認定団体は業種別の団体が多く、1つの企業における全ての分野(部門)を対象にしていたので、幅広い分野で事業展開している企業は加入しにくい状況でした。
しかし、今回の改正で、企業内の特定分野を対象とする団体も認定されることになったため、企業はより事業内容に沿った認定団体に加入できるようになりました。
|
改正前 |
改正後 |
| 認定個人情報保護団体制度 |
企業の全ての分野(部門)を対象とする団体を認定。 |
企業の特定分野(部門)を対象とする団体も認定される。 |
個人情報の利活用における施策
「仮名加工情報」の概念が追加されたことにより、氏名などを削除して、本人のものと確認できなくなった個人情報に関しては、取り扱いの義務が緩和されました。
一方で、個人情報の提供に関しては、本人の同意が得られているかなどの確認が義務化され、制度が厳しくなっています。
|
改正前 |
改正後 |
| 仮名加工情報 |
仮名化した名前であっても個人情報として扱い、事業者は法を遵守する義務がある。 |
氏名などを削除した個人情報を「仮名加工情報」とする概念を創設。
事業者内での分析に限定するなどを条件に、個人データの開示や利用停止などに関する義務を緩和。 |
| 個人データを提供する際の確認 |
提供元では個人データにならないものが、提供先で個人データと想定された場合の規定はなし。 |
提供元では個人データにならないものの、提供先で個人データと想定される情報の第三者提供に関して、本人の同意があるかどうかなどの確認を義務化。 |
違反時のペナルティ強化
今回の改正で、違反時における罰金の額や懲役の年数が引き上げられました。
個人情報保護法に違反した人への罰則を厳しくすることで、虚偽報告や命令違反を防止することが目的です。
特に、法人に対する罰金刑は厳しくなっています。
|
改正前 |
改正後 |
| 個人情報保護委員会からの命令違反や、虚偽報告などをした場合の法定刑の引き上げ |
命令違反の場合
(個人の場合) |
6カ月以下の懲役または30万円以下の罰金 |
1年以下の懲役または100万円以下の罰金 |
| 虚偽報告などをした場合 |
30万円以下の罰金 |
50万円以下の罰金 |
| 個人情報のデータベースなどの不正提供や、個人情報保護委員会からの命令違反を行った場合、法人に対する罰金刑の引き上げ |
個人と同額の罰金
(30万円または50万円以下の罰金)
|
法人の罰金刑を最高額まで引き上げる
(1億円以上の罰金)
|
外国事業者における罰則の追加
これまで、外国事業者は罰則の対象外でしたが、日本の居住者に対する個人情報を扱う場合は、外国事業者であっても報告徴収や命令、立入検査が行われる対象となりました。
この背景には、日本に住んでいる人が海外の商品をECサイトなどで簡単に購入できる機会が増えたことが挙げられます。
個人情報保護法が改正されたことに伴い、企業全体でより一層個人情報の取り扱い方や、個人情報を守るセキュリティを見直す必要があります。
法人の罰金刑が引き上げられたことからも、思わぬところから損害が大きくなる可能性があるので注意しましょう。
個人情報の提供・請求に対応するための管理方法の見直し
今回の改正により、顧客などの個人情報が第三者にわたる可能性がある場合は、あらかじめ情報提供者である本人の同意を得なければならなくなりました。
現状、同意が得られていない場合は、同意獲得のフローを検討する必要があります。
また、情報提供者である本人は、第三者への個人情報の受け渡しの記録も請求できるようになったため、記録の保存と管理についても見直すようにしましょう。
さらに、個人情報は電磁的記録での提供も可能になったため、取り扱う個人情報をどのように利用するかによって、電磁的記録で管理するかどうかも検討が必要です。
全般的なセキュリティの強化
今回の改正で、社内で情報漏えいが発生した場合には、個人情報保護委員会への報告や情報提供者本人への通知が義務化されました。
万が一、従業員のミスで情報漏えいが発生した場合、社内報告を怠ると顧客先とのトラブルになるだけでなく、今後は法律違反にもなります。
本来であれば社内で報告をするのは当然のことですが、これまで以上に報告の責任が問われるため、注意しましょう。
ただし、昨今では新型コロナウイルスの影響でリモートワークが増えたため、従来よりも情報漏えいのリスクは高まっています。
自社の業務環境を再度見直したうえで、万全なセキュリティ対策を行ってください。
システムの利用
個人情報保護法の改正内容を理解できたとしても、意識だけで完全にリスクをなくすのは難しいことです。
適切な情報管理ができるよう、データ保全対策、セキュリティ対策に特化したシステムの利用も視野に入れましょう。
例えばセキュリティ対策ソフトを導入すれば、パソコンの操作履歴の収集、管理が可能になるほか、外部接続機器の利用を制限できるなど、様々なセキュリティ対策を講じることができます。
また、適切なシステムを選ぶ際には、自社がどのような個人情報を扱っており、誰がどのように管理しているのかを把握することも大切です。
※参考資料:個人情報保護委員会「令和2年 改正個人情報保護法について」
※本記事の内容は掲載日時点での情報です。
