昨今の情報通信技術の進展は目覚ましく2015年に全面施行された個人情報保護法は、3年ごとの見直し規定が設けられました。この見直しに合わせて、改正点に関する情報を更新し、対処していかないと、会社で掲げる個人情報保護方針が現行法にそぐわないものになりかねません。2022年の改正を一緒に見ていきましょう。
監修 弁護士 伊藤 敦史
プロフィール
東京都出身。小石川高校卒業、成城大学法学部法律学科卒業、学習院大学法科大学院修了。2018年9月司法試験合格、2018年11月最高裁判所司法研修所入所、2019年12月司法修習終了後、広島弁護士会に登録。山下江法律事務所に入所。
主な取扱分野
企業法務、離婚、相続、交通事故、労働、消費者問題その他一般民事事件、倒産事件、刑事事件など
目次
個人情報保護法改正の流れ
2015年(平成27年)に改正され、2017年(平成29年)に全面施行された改正個人情報保護法の附則で「この法律の施行後三年ごとに、個人情報の保護に関する国際的動向、情報通信技術の進展、それに伴う個人情報を活用した新たな産業の創出及び発展の状況等を勘案し、新個人情報保護法の施行の状況について検討を加え、必要があると認めるときは、その結果に基づいて所要の措置を講ずる」と定められています。
これに基づいて検討が進められ、2020年(令和2年)に改正個人情報保護法が成立し、2022年(令和4年)4月に全面施行されました。
この2020年の改正個人情報保護法の附則でも「政府は、この法律の施行後三年ごとに、個人情報の保護に関する国際的動向、情報通信技術の進展、それに伴う個人情報を活用した新たな産業の創出及び発展の状況等を勘案し、新個人情報保護法の施行の状況について検討を加え、必要があると認めるときは、その結果に基づいて所要の措置を講ずるものとする。」と定められているため、令和7年(2025年)をめどに見直しが進められる見込みです。
2022年施行の改正個人情報保護法のポイント
個人情報の定義を変更する改正
データ保存期間による制限を廃止
改正前は6か月以内に消去される個人データは「保有個人データ」の対象外とされていましたが、改正後は消去の予定にかかわらず全て「保有個人データ」とされることになりました(16条7項)。
企業などの個人情報取扱事業者が利用目的等の公表や開示・訂正等の義務を負うのは、保有個人データについてです。保有個人データの対象が広がることは、企業にとっては負担が増えることになります。
個人の権利を行使するための改正
保有個人データの開示方法の追加
保有個人データについて本人が開示を求めた場合、改正前は書面の交付による方法が原則とされていましたが、改正後は電磁的記録の提供を含め、開示方法を本人が選択できるようになりました(33条1項)。
例えば、電磁的記録をCD-ROM等の媒体に保存して、それを郵送する方法や電子メールに添付して送付する方法、ウェブサイト上からダウンロードする方法などが認められるようになりました。
ただ、本人が選択した交付方法を実現するために大規模なシステム改修を行う必要がある等、対応することが困難な場合は遅滞なくその旨を本人に通知したうえで、書面の交付による方法で開示しなければならないとされています(同条2項・3項)。
利用の停止・消去等請求可能な条件の拡充
改正前において、保有個人データについて利用の停止・消去等の請求ができるのは、①同意を得ずに、または同意を得た範囲を超えて個人情報を取得した場合、②偽りその他不正な手段で個人情報を取得した場合に限られていましたが、改正後はこれらに加えて、③違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用している場合にも利用停止等を請求できるようになりました(35条)。
取扱事業者の責務を強化するための改正
漏えい等報告・本人通知の義務化
個人情報取扱事業者が取り扱う個人データが漏えい、滅失、毀損等し、個人の権利利益を害するおそれが大きい事態が発生した場合には、当該事態が発生したことを個人情報保護委員会に報告するとともに、本人に通知することが義務化されました(26条)。
報告・通知義務が生じるのは、具体的には以下の場合です(個人情報保護法施行規則7条)。
要配慮個人情報が含まれる個人データの漏えい等が発生し、又は発生したおそれがある事態
要配慮個人情報とは、本人の人種、信条、社会的身分、病歴、犯罪歴、犯罪の被害を受けた事実等、本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要する個人情報のことです(2条3項)。
例えば、従業員の健診結果が保存されているUSBメモリを紛失した場合や、病院の電子カルテシステムがランサムウェアに感染し、個人データが暗号化され復元できなくなった場合(このような場合も「毀損」にあたります)などがこれに該当します。
不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態
ECサイトからクレジットカード情報を含む個人データが漏えいした場合が典型例ですが、送金や決済機能のあるウェブサービスのログインIDとパスワードの組み合わせを含む個人データが漏えいした場合のように、個人データが漏えいすることで間接的に財産的損害が発生するおそれがある場合も含まれます。
不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態
不正アクセスによって個人データが漏えいした場合が典型例ですが、個人データが記載された書類が盗難に遭った場合や従業員が顧客の個人データを不正に持ち出し、第三者に提供した場合なども含まれます。
個人データに係る本人の数が1,000人を超える漏えい等が発生し、又は発生したおそれがある事態
漏えい等が発覚した時点で被害者が1,000人を超えていた場合だけでなく、調査を進める中で被害者が増えていき、1,000人を超えた場合にも報告の義務があります。
なお、被害者数が1,000人を超えない場合であっても、個人情報保護委員会に任意の報告を行うことができます。
外国にある第三者への提供要件の追加
経済・社会活動のグローバル化や情報通信技術の発展に伴い、海外への業務委託も一般的なものとなり、個人情報の国境を越えた流通が増加しています。従来、第三者への情報提供について、国内と国外で区別していませんでしたが、国外においては国内と同等の個人情報保護制度があるとは限らないことから、2015年の個人情報保護法改正で、外国にある第三者に個人情報を提供する場合には、別途本人の同意が要求されることになりました。
今回の改正では、同意を得る際に当該外国における個人情報保護制度や当該第三者が講じる個人情報保護措置に関する情報などを提供する義務が追加されました(28条2項)。
これにより、国外の事業者に個人情報を提供するかどうかの判断がよりしやすくなることが期待されます。
安全管理のために講じた措置を公表事項に追加
個人情報取扱事業者は、保有個人データについて32条1項各号に定める事項を公表しなければならないとされていますが、4号の「保有個人データの適正な取扱いの確保に関し必要な事項として政令で定めるもの」の内容が改正され、保有個人データの安全管理のために講じた措置(安全管理措置)についても公表事項に追加されました(個人情報の保護に関する法律施行令10条)。
企業が具体的に行うべき対応については、後の改正対応のところで説明します。
不適正利用の禁止の新設
違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用することを禁止する規定が新設されました。
例えば、違法な取り立てを行うことが想定される闇金融業者に個人情報を提供したり、違法な差別を誘発することが想定される破産者の個人情報をデータベース化し、インターネットで公開する行為等が禁止されるようになりました。
個人関連情報の第三者提供規制の新設
IDのような個人関連情報(詳しくは前回の記事をご覧ください)は、それ自身では特定の個人を識別することができないため、個人関連情報を第三者に提供する際に本人の同意は不要であるのが原則です。
ただし、提供先の第三者が個人関連情報と保有している個人データを紐づけて利用することが想定される場合には、事前に本人の同意を得ることが義務付けられました(31条)。
個人情報を取りまく環境を整える改正
仮名加工情報の新設
購買データの活用など個人の活動と関連したデータを利用したイノベーションを促進する目的で、個人情報から氏名等の特定の個人を識別できる情報を除いたものを「仮名加工情報」として利用できる制度を新設するとともに、仮名加工情報を取り扱う事業者に対して加工の仕方や安全管理措置に関するルールを定めています(41条以下)。
法令違反に対する罰則の強化
個人情報保護法違反の行為に対しては、個人情報保護委員会による是正勧告(145条1項)、是正命令(同条2項)がなされ、それにも従わない場合に初めて罰則が科されるという仕組みになっています。
この命令違反の罰則が「6か月以下の懲役または30万円以下の罰金」から「1年以下の懲役または100万円以下の罰金」に強化されました(173条)。
また、命令違反やデータベース等の不正提供罪については、法人の罰金の上限額を引き上げることで抑止効果を図っています(179条)。
認定団体制度の対象を拡大
個人情報保護の適正な取り扱いの確保を目的とした団体(認定団体)について、事業の種類や業務の範囲を限定した団体を認定できるようにしました。これにより、銀行業や保険業、医療分野などの業界団体が認定団体として認められることになり、その業界・分野に即した個人情報保護対策が図られることになりました。
企業に必要とされる改正対応
漏えい等報告・本人通知の手順の整備
上で説明したように、個人データが漏えい、滅失、毀損等した場合、個人情報保護委員会への報告と本人への通知が新たに義務付けられました。個人データの漏えいなどは起きてはならないことですが、個人情報保護委員会への報告は「速やかに」しなければならないとされています(個人情報保護法施行規則8条)。
「速やかに」が具体的に何日なのかは個別の事案によりますが、事態を認識してからおおむね3~5日以内と考えられているため、事故発生時の対応をあらかじめ決めておかないと間に合わないおそれがあります。少なくとも、漏えい事案が発生したことを現場担当者が把握した際の連絡体制や状況把握・原因究明のための体制、対外的な公表の基準などについて定めておくべきでしょう。
外国にある第三者への情報提供の有無の確認
外国にある第三者に個人情報を提供している場合、本人の同意に加え、追加の情報提供が義務付けられたことから、外国にある第三者に情報提供を行っているかを確認したうえ、提供していることが判明したときは、当該外国の個人情報保護制度についての調査が必要となります。一部の国については、個人情報保護委員会のホームページで情報が提供されているので参考にするとよいでしょう(外国における個人情報の保護に関する制度等の調査)。
安全管理措置の公表
保有個人データに関する公表事項に安全管理措置が追加されたことに伴い、プライバシーポリシー等に安全管理措置について記載することが求められます。概要や一部をホームページ等に掲載し、残りを本人の求めに応じて遅滞なく回答を行うといった対応も可能ですが、単に「『個人情報の保護に関する法律についてのガイドライン(通則編)』に沿って安全管理措置を実施しています」というだけでは義務を果たしているとはいえません。
公表すべき事項については、個人情報の保護に関する法律についてのガイドライン(通則編)で詳しく説明されていますが、おおむね以下の項目について記載する必要があります。
公表すべき安全管理措置
- 基本方針の策定
- 個人データの取扱いに係る規律の整備
- 組織的安全管理措置
- 人的安全管理措置
- 物理的安全管理措置
- 技術的安全管理措置
- 外的環境の把握
開示請求対象となるデータの仕分け
開示・訂正等の請求対象となる保有個人データの範囲が拡大したことに伴い、改めて社内で保有している個人情報を洗い出し、開示等請求がなされたときの対応を決めておく必要があります。
開示の方法についても請求者の選択した方法で開示することが原則とされたため、見直しが必要となるでしょう。
個人情報ならびに個人関連情報の提供先での利用法を確認する
個人関連情報や仮名加工情報についても、第三者提供する際、一定の場合に本人の同意が必要となるケースがあるため、自社では個人データに該当しない場合であっても提供先での利用法を確認しておく必要があります。
個人情報の不正提供に対する規制も厳しくなったことから、改めて自社の個人情報がどのように利用されているのかを確認すべきといえます。
まとめ
今回は2022年4月に全面施行された改正個人情報保護法のポイントと企業における対応について説明しました。個人情報保護法の運用については、個人情報保護委員会のホームページにガイドライン、改正に関する解説、よくある質問などがまとまっていますので、これらを参考にするとよいでしょう。
また、2023年3月9日(木)に、第36回企業法務セミナー「事例から学ぶ!中小企業の個人情報対策~個人情報保護法改正を踏まえて~」を開催します。
経営者、経営幹部、法務担当者、個人情報保護対策責任者・管理者・推進者、情報セキュリティに関心のある方、個人情報保護法の概要について関心がある方は、ぜひご参加ください。