監修 松浦 絢子 弁護士
2020年に個人情報保護法が見直され、改正された法律が2022年4月から施行されました。改正個人情報保護法のポイントや企業が取るべき対応を解説します。
企業で従業員や取引先、顧客などの個人情報を取り扱う場合、改正点を理解しておく必要があります。
▶︎ おすすめ記事:2024年問題とは?
2024年問題とは、働き方改革関連法により、物流・運送業界や建設業界、医療などが影響を受け、多くの課題が発生する問題です。詳しく解説した記事はこちら
目次
そもそも個人情報保護法とはどんなもの?
個人情報保護法の正式名称は「個人情報の保護に関する法律」といい、2003年5月に制定、2005年4月に全面施行された法律です。
個人情報とは、生存する個人に関する情報で氏名や住所、生年月日、顔写真など、特定個人を識別できる情報です。また、単体では個人特定できなくても、他の情報との照合によって特定可能な情報ならば、個人情報にあたる場合もあります。
個人情報は、サービス向上や業務効率化に活用されます。一方で、悪用されれば個人の権利や利益が侵される恐れもあります。
個人情報を活用する有用性に配慮しつつ、個人の権利・利益を守れるよう、個人情報保護法が定められました。
個人情報保護法改正の背景
2005年に施行された個人情報保護法ですが、通信技術の発達や産業のグローバル化にともない、制定時には想定していなかった個人情報の利用が広がりました。
社会の変化を受けて2015年に改正(2017年施行)されるとともに、3年ごとの見直し規定が追加されました。見直し規定に基づき、2020年にあらためて改正、2022年4月に施行されています。
また、2021年にも、官民を通じた個人情報保護制度の見直しとして、デジタル社会形成整備法に基づく改正が実施されています。この改正では医療や学術分野での規制統一を図り、官民を通じた個人情報の保護と活用が強化されました。こちらも2022年4月に一部施行されています。
改正個人情報保護法(2022年4月施行)の概要
2022年4月より、2020年の改正内容が全面施行され、2021年の改正が一部施行となりました。改正個人情報保護法では、以下の観点から内容が見直されています。
改正個人情報保護法の見直し観点
- 個人の権利・利益の保護
- 技術革新の成果による保護と活用の強化
- 国際的な制度調和と連携
- 越境データの流通増大に伴う新たなリスクへの対応
- AI・ビッグデータ時代への対応
新しい技術や国際的な動向に対応すると同時に、�個人の不利益とならないために配慮された内容となっています。
改正個人情報保護法(2022年4月施行)のポイント
2022年4月に施行された改正個人情報保護法のポイントを5つ挙げて解説します。
改正個人情報保護法のポイント
- 個人の権利を拡充
- 企業や事業者の責務を追加
- 外国事業者に対しての規定を変更
- 法令違反があったときの罰則を強化
- 新しいデータ分類
個人の権利を拡充
2022年4月施行の改正個人情報保護法では、個人情報の利用停止・消去等の請求権が拡充されています。
改正前の個人情報保護法では、個人情報の目的外利用や不正取得された場合のみ、利用停止や消去請求ができました。また、第三者への個人情報の提供停止は、第三者提供義務違反の場合に限定されていました。
改正された個人情報保護法では、情報を利用しなくなった場合や、権利・利益が侵害される恐れのある場合も利用停止・消去の請求ができます。
さらに、改正前は書面交付が原則となっていた保有個人データの開示方法に、電磁的記録も使えるようになり、利便性が向上しました。保有個人データに開示請求をした際、メールやサイトからのダウンロードなどの電磁的記録での開示が可能となり、より早く情報を得ら�れるようになっています。
加えて、個人データの第三者提供記録の開示請求もできるようになりました。提供元・提供先それぞれへの開示請求も可能です。6ヶ月以内に消去する保有個人データの開示や利用停止、消去も可能になりました。
企業や事業者の責務を追加
改正個人情報保護法では、漏えい・滅失・毀損があり、個人の権利・利益を害する恐れが大きい場合の報告・通知が義務化されました。漏えいとは外部への流出、滅失とは内容が失われること、毀損とは意図しない形での内容変更や利用不能な状態となった場合を指します。
改正前の個人情報保護法では、こういった事態が発生した場合の報告・通知は義務化されていませんでした。
改正後は個人情報を扱う企業や事業者に対し、取り扱い上の問題があった場合の責務が追加されています。
また、違法行為だけでなく不当な行為を助長するなど、不適正な方法で個人情報を利用してはならないと明記されました。「不当な行為」とは、法令には反しないものの、道徳的に非難される行為を指します。たとえば、性別や出身地などを理由に、差別的な対応を取るようなケースが相当します。
外国事業者に対しての規定を変更
改正前の個人情報保護法では、次の3つの要件を満たせば、外国の第三者へ個人データを提供できました。
改正前の要件
- 本人の同意
- 基準に適合する体制を整備した事業者
- 日本と同等の水準国(EU・英国)
しかし改正後は、外国にある第三者への情報提供で本人同意を得る際、次の情報を提供する義務が加えられています。
改正後の要件
- 移転先の所在国の名称
- 該当外国での個人情報保護に関する制度
- 移転先が講ずる個人情報保護のための措置
外国の第三者へ情報提供する旨の同意を得るだけでなく、国の名称や該当国での個人情報保護制度の内容、移転先はどのような措置を取っているのかを伝えなければなりません。
また、本人から措置などに関する情報提供を求められた場合、対応する義務も追加されています。
さらに、外国事業者に対しても不適正な利用を禁止し、違反があれば個人情報保護委員会が指導、助言、勧告、命令できるようにもなりました。
法令違反があったときの罰則を強化
改正個人情報保護法では、違反や虚偽報告を抑止するため、措置命令や報告義務違反の罰則内容が引き上げられました。
| 改正前 | 改正後 | |
|---|---|---|
| 措置命令違反 | 6ヶ月以下の懲役または30万円以下の罰金 | 1年以下の懲役または100万円以下の罰金 |
| 報告義務違反 | 30万円以下の罰金 | 50万円以下の罰金 |
| 法人による措置命令違反 | 30万円以下の罰金 | 1億円以下の罰金 |
| 法人による個人情報データベース等の不正流用 | 50万円以下の罰金 | 1億円以下の罰金 |
事例ごとに科せられる懲罰は異なりますが、事態の重大性や悪質性によって内容が重くなります。個人情報の取り扱いには十分注意するとともに、問題発生時には適切な対処が必要です。
新しいデータ分類
改正により、「仮名加工情報」と「個人関連情報」と呼ばれるデータの分類が新しく定義されました。
「仮名加工情報」とは、他の情報と照合しなければ特定個人を識別できないよう、個人情報を加工した情報です。
たとえば顧客の利用情報には、氏名や年齢、利用時刻・金額、クレジットカード番号などが記録されます。このうち、氏名を復元可能な規則性を持たない記述に書き換え、クレジットカード番号を削除した情報に加工すると、仮名加工情報となります。
仮名加工情報は利用目的の変更制限や漏えい等の報告・本人通知、開示・利用停止等の請求対応の義務が適用されません。個人情報よりも扱いやすくなり、ビッグデータなどへの活用が可能です。
「個人関連情報」とは、生存する個人に関する情報で、個人情報・仮名加工情報・匿名加工情報のいずれにも該当しない情報です。
たとえば、蓄積された位置情報や購買履歴、サービスの利用履歴、単独の位置情報などです。
個人関連情報を第三者提供する場合、提供先が個人データとして取得すると想定されるなら、提供元に本人同意を得ているかの確認が義務づけられています。
個人情報保護法改正によって企業がすべき対応とは?
個人情報保護法の改正にあわせて、企業は個人情報の利用状況を確認し、問題発生や問い合わせがあった際の対応手順を整えておく必要があります。
個人情報利用状況の確認
現在、社内ではどのような情報を扱い、何の目的で利用しているのか、適切な管理が行なわれているかなど状況を把握し、必要にあわせた見直しが大切です。
社内での個人情報利用だけでなく、情報の提供先があるなら、提供先に関する情報やそこでの利用状況も確認します。
現状の取扱方法や配慮の指針となるプライバシーポリシーが��、改正された個人情報保護法に適応していない点があるなら、改正も必要です。
漏えい等が発生した際の対応手順を整備
情報漏えいなどが起きてしまった場合を想定し、対応手順をあらかじめ決めておくことも重要です。問題が拡大しないための一次対応には何をするべきか、個人情報保護委員会への報告は誰が行うのか、本人通知の方法はどうするのかなどを決めておく必要があります。
こうした問題は未然に防ぐために対策すべきですが、万が一の発生時に迅速な対応ができなければ、被害や損失の拡大につながります。対応が後手に回れば問題を隠しているような印象も与え、さらなるイメージダウンにつながる恐れもあります。
速やかに適切な対処ができるよう、社内で手順を整備しましょう。
開示や利用停止を求められた際の対応準備
改正された個人情報保護法では、開示や利用停止の請求対象が拡大されたため、改正前にはなかった対応を要求される可能性があります。
請求されてから対応を考えるのではなく、あらかじめ対応手順を決めて、社内周知しておくことが望ましいでしょう。社内通知しておけば、請求依頼を受けた従業員も戸惑わずに対応できます。
個人情報を適切に処理するなら管理ツールの使用を
従業員を雇い入れているなら、従業員の個人情報も適切に管理しな��ければなりません。
freee人事労務は、個人情報はもちろん、口座情報や入出金データなど、すべてのデータを暗号化して保存。すべての通信に対して金融機関レベルの通信方式を採用し、強固なセキュリティ体制を敷いています。
個人情報の取り扱いでは、一定基準を満たす企業に与えられる国際認証TRUSTeを取得しており、従業員の個人情報も適切な管理が可能です。
データはクラウド上で保管されているため、パソコンの紛失やハードディスクの破損による物理的なデータ損失の心配もありません。
外部へのデータ漏えいを防ぐ対策が施され、安心して利用できるfreee人事労務をぜひお試しください。
まとめ
2022年4月に施行された改正個人情報保護法では、個人情報に関する個人の権利・利�益が拡充され、企業側の責務も追加されました。
また、仮名加工情報・個人関連情報と呼ばれる新しい分類が定義され、個人情報の保護や活用に利用されています。
こうした改正に対応するため、企業は社内外での個人情報の利用状況を確認し、問題発生時や開示請求時の手順を整備する必要があります。
改正された個人情報保護法の内容を確認・理解し、適切に対応できる体制を整えましょう。
よくある質問
個人情報保護法とは?
個人情報保護法とは、個人情報を活用する有用性に配慮しつつ、個人の権利・利益を守れるよう、個人情報保護法が定められた法律です。
個人情報保護法を詳しく知りたい方はこちらをご覧ください。
個人情報保護法の改正で何が変わった?
個人情報に関する個人の権利・利益が拡充され、企業側の責務も追加され、仮名加工情報・個人関連情報と呼ばれる新しい分類が定義されました。
個人情報保護法の改正を詳しく知りたい方はこちらをご覧ください。
監修 松浦 絢子 弁護士
松浦綜合法律事務所代表。京都大学法学部、一橋大学法学研究科法務専攻卒業。東京弁護士会所属(登録番号49705)。法律事務所や大手不動産会社、大手不動産投資顧問会社を経て独立。IT、不動産、相続、金融取引など幅広い相談に対応している。さまざまなメディアにおいて多数の執筆実績がある。
