2022.02.07

ビジネス

【2022年4月施行】個人情報保護法の改正ポイントをわかりやすく解説!

2020年に改正・公布された「改正個人情報保護法」は、2022年4月より全面施行されることになります。昨今において、個人情報の取り扱いに対する社会の関心も高まっていることから、法務担当者は必ず押さえておくべき法令の一つと言えます。

本記事では、改正個人情報保護法について理解を深めるために、法改正の目的や背景に加え、6つの改正ポイントをわかりやすく解説していきます。

2022年4月施行の改正個人情報保護法とは

2022年4月に施行される「改正個人情報保護法」は、国民の個人情報に関する意識の高まりに加え、社会・経済情勢や技術的な進歩を踏まえて、「3年ごとの見直しに係る検討の着眼点」に則り、3年ごとに制度の見直しが反映されたものとなります。

具体的には、3年ごとに見直しが実施される過程において、得られた以下の共通の視点を法改正に反映したものとなります。

  • 個人の権利利益の保護と活用の強化
  • 越境データの流通増大に伴う新たなリスクへの対応
  • AI・ビッグデータ時代への対応 等

改正の目的、背景

そもそも「個人情報保護法」とは、個人の権利や利益を守りながらも、個人情報の有効活用を図るための法律です。国内では2003年に公布・成立後、2005年に施行されることになりました。
その後、2017年の個人情報保護法の改正以来、個人情報保護をめぐる国内外の政策・技術・産業等の状況を踏まえた上で「3年ごとの見直しに係る検討の着眼点」に則り、3年ごとの法制度の見直しが進められてきました。

2022年4月に施行される「改正個人情報保護法」では、昨今における国民の個人情報に対する意識の高まりに加え、技術革新を踏まえた「個人の権利利益の保護」、「情報活用の強化」、「AI・ビッグデータへの対応」等が大きな目的となっています。

内容としては、本人の請求権の拡大や事業者(個人情報取扱事業者)の責務の追加などにより、個人情報の保護の強化が進められています。それに加えて、「仮名加工情報」を新たに創設するといった情報の利活用を容易にする取組みが加わることも注目すべき点と言えます。より具体的な内容や改正のポイントについては、のちほど詳しく解説いたします!

改正個人情報保護法の公布日、施行日

今回改正される個人情報保護法の施行開始時期については、以下のとおり公布日と施行日によってそれぞれ分かれています。

公布日:2020年6月12日
施行日:2022年4月1日

また、罰則に関する規定に限り2020年12月12日から施行されているので、この点は注意が必要です。なお、施行日以前の行為への罰則適用に関しては、法改正前の個人情報保護法の規定が適用されることになります。

なお、個人情報保護法の成立から今回の改正の流れを時系列でまとめると、下表のとおりです。

公布日 施行日 詳細
2003年(平成15年) 2005年(平成17年) 個人情報保護法成立
2015年(平成27年) 2017年(平成29年) 個人情報保護法改正
・3年ごとの見直し規定が盛り込まれる
・国際的動向、情報通信技術の進展、新産業の創出・発展の状況等を踏まえて考慮する
2020年(令和2年) 2022年4月1日(令和4年) 個人情報保護法改正
・3年ごとの見直し規定に基づく初めての法改正を行う
2021年(令和3年) 未定 個人情報保護制度の官民一元化

参考資料:個人情報委員会|個人情報保護法令和2年改正及び令和3年改正案について

個人情報保護法の改正ポイント、変更点

改正個人情報保護法の概要を踏まえた上で、具体的にはどのような点が大きく変更されるのでしょうか。押さえておきたい改正ポイントは以下の6つです。

  1.  個人の権利のあり方
  2.  事業者の守るべき責務の追加
  3.  認定団体制度において、特定分野(部門)だけを対象可能に
  4.  データ利活用の推進
  5.  ペナルティ(法定刑)の強化
  6.  外国事業者への罰則追加

これらの改正ポイントを踏まえて、現行のルールと比較しながらそれぞれみていきましょう。

個人の権利のあり方

改正個人情報保護法では、以下の改正点が加えられたことで、より個人の権利が保護されるようになります。

1.個人データの利用停止における請求権

改正個人情報保護法では、個人データの利用停止に加え、消去等を請求する際の対象要件が緩和されます。具体的には、不正に取得された個人データのほか、個人データの利用停止を求めたり、消去を請求することが可能となります。

たとえば、企業において個人データを利用する必要がなくなった場合や、個人データの漏えいが発生した場合、個人の権利や正当な利益が失われる場合などに個人の権利が保護されます。

旧法 利用停止・消去に関する請求権は、の場合に限定される

  • 個人情報を目的以外で利用した場合(旧個人情報保護法16条)
  • 不正な手段で取得した場合(旧個人情報保護法17条)
改正法 旧法に加えて、以下の場合でも請求可能となる

  • 違法または、不当な行為を助長し、誘発する可能性のある方法で利用した場合
  • 保有個人データを事業者が利用する必要がなくなった場合
  • 保有個人データの漏えいなどが発生した場合
  • 本人の権利利益が害されるおそれがある場合

2.データの開示方法

従来の個人情報保護法では、原則として個人情報取扱業者が保有している個人データを開示する必要があり、開示方法は原則として書面による公布が必要でした。しかしながら、保有する個人データは膨大な量になることもあり、書面による交付が適さない場合や、個人データが動画や音声データの場合などは、そもそも書面による交付が適さないケースもあります。

そのような課題を踏まえ、改正個人情報保護法では、個人データを保有する本人により、電磁記録の提供を含めて開示方法を選択できるようになります。それに伴い個人情報取扱事業者は、本人が請求した開示方法に従って開示する必要があります。これにより、保有個人データの利用等において本人の利便性の向上が期待できると言えます。

旧法 個人情報取扱事業者が扱う保有個人データの開示方法については、書面での交付が原則とされている。
改正法 本人は、電磁記録の提供を含めて個人情報取扱事業者の開示方法を選択できる。また個人情報取扱事業者側は、原則本人が請求した方法に従い開示を行う義務がある。

 

3.第三者提供記録における開示請求

従来の個人情報保護法では、個人データの提供者本人は、個人情報取扱業者が作成した「第三者提供記録(※1)」の開示請求は対象外でした。しかし法改正後は、個人データの提供者が個人情報取扱業者に対して、どのような内容のデータが提供されたのかを第三者提供記録について開示請求することが可能となります。これにより、不正入手などによる個人情報の漏えい防止が期待できます。

※1)第三者提供記録:データを取得した個人情報取扱業者が第三者へとその情報を提供する際に作成する記録のこと

旧法 第三者提供記録は、本人による開示請求の対象外となっていた。
改正法 第三者提供記録が本人による開示請求の対象になる。

4.短期保存データに関する取り扱い

これまでの個人情報保護法では、あらかじめ6ヵ月以内に消去することを前提とした短期保存データに関して、開示・利用停止の請求に対しての義務化はありませんでした。しかし法改正後は、短期保存データも開示・利用停止の請求対象となります
短期におけるデータの保存であっても、万が一その期間にデータが漏えいした場合、個人が被る損害が膨大なことから、法改正により個人の権利がより強化されることになります。

旧法 短期保存データは、保有個人データに含まれていない(旧個人情報保護法2条)。
改正法 6ヵ月以内に消去することを前提とした短期保存データも保有個人データに含まれる。

事業者の守るべき責務の追加

次の改正ポイントとして、以下のとおり個人情報保護を扱う個人情報取扱事業者が守るべき責務が2点追加されています。

1.個人データが漏えいした場合の報告義務

従来では、個人データ漏えいによる問題が生じた場合、個人情報保護委員会への報告は義務化されていませんでした。
しかし法改正により個人情報取扱事業者は、情報漏えいや個人の権利利益を害する問題が生じた場合、委員会への報告および本人への通知が義務付けられます。なお、これらの問題については、規定で定められている一定の類型(要配慮個人情報、不正アクセス、財産的被害)に該当する場合のみ制度の対象となります。

旧法 個人情報漏えい等が発生した場合、個人情報取扱事業者による個人情報保護委員会への報告、または本人への通知は義務化されていなかった。(「個人データの漏えい等の事案が発生した場合等の対応について」告示参照)
改正法 個人情報漏えい等が発生した場合、個人情報取扱事業者は個人情報保護委員会への報告に加え、本人に通知することが義務化される(個人情報保護法22条)。

2.不適正な個人情報利用の禁止

個人情報の不適切な方法での利用の禁止や違法・不当な行為を助長する等のおそれがあった場合、旧法では禁止義務は明文化されていませんでした。しかし今回の法改正により、個人情報の不適切な利用の禁止義務が明文化され、利用した場合には利用停止の対象となります。

旧法 違法・不当な行為を助長等するおそれがある方法での個人情報の利用については、明文にて禁止されていない。
改正法 違法・不当な行為を助長・誘発するおそれがある方法による個人情報の利用について、明文で禁止されることになった。

認定団体制度において、特定分野(部門)だけを対象可能に

個人情報の適切な取り扱いを促進するための仕組みとして、民間による個人情報保護を目的として個人情報保護委員会にて認定を受けた法人「認定個人情報保護団体」による制度が以前より設けられています。

従来までは、認定団体は対象事業者の全分野を対象としていましたが、法改正以降は、企業の特定分野(部門)を対象とする団体も認定が可能になりました。これにより、事業単位の認定団体制度によって認定団体の活用が可能となり、個人情報の保護に対する取り組みがより強まることが期待できます。

旧法 認定団体制度については、事業者の全分野における個人情報等の取扱いを対象とする団体の認定を行う。
改正法 認定団体制度において、事業者の特定の事業における個人情報の取扱いを対象とする団体の認定を行うことが可能になった。

データの利活用の推進

改正個人情報保護法において、データの利活用を推進する観点から、以下の2点が新設されています。

1.「仮名加工情報」の創設と義務の緩和

旧法では、事業者側が自社内部における事業活動やマーケティング活動などの利用目的で個人情報を加工し、特定できない状態に変換した場合であっても、個人情報に該当してしまいます。そのため以下の対応が義務化されていました。

  • 利用目的を特定(個人情報保護法15条)
  • 目的以外での利用禁止(個人情報保護法16条)
  • 取得時の利用目的の公表(個人情報保護法18条)
  • データ内容の正確性の確保(個人情報保護法19条)

しかしこれでは、個人を特定できないように変換された情報は、個人の権利利益の侵害リスクは低いものの、通常の個人情報と同様な取り扱いが必要とされることに対してデータの利活用の観点から疑問が浮上していました。

そこで、このような課題を払拭するために「仮名加工情報」制度が新設されました。本制度は、「他の情報と照合しない限り、特定の個人を識別できないよう加工して得られる個人に関する情報のこと」を言います。法改正後では、自社内部での分析に限定するといったことを条件に、開始・利用停止請求への対応等の義務が緩和されます。

旧法 個人情報をただ単に仮名化した情報については、個人情報に該当し、個人情報取扱事業者は個人情報の取扱いにかかわる義務が発生する。
改正法 個人情報の氏名などを仮名加工した情報を新たに「仮名加工情報」と定義する。なお、利用に条件を設定した上で、開示・利用停止請求について個人情報のような厳密な取り扱いが緩和される。

2.提供先で個人データとなりうる情報の確認義務

事業者がデータを取得した際に、個人データには該当しないものの、そのデータを第三者へ提供した場合において、ほかの情報と照合することにより、容易に個人を特定することが可能な情報というものがあります。たとえば、Cookieなどの識別子情報とそれに付随する閲覧・購入履歴といった個人関連情報などがこれに該当します。

改正個人情報保護法では、提供元の事業者が個人関連情報を提供先である第三者へ提供する場合においては、提供先に対して本人の同意を得ていること等を確認する義務が新設されました。

旧法 データの取得時に個人データに該当しない情報であれば、提供先で個人データとなることが想定される場合の規制はなし。
改正法 データの取得時に個人データに該当しないものの、提供先で個人データとなることが想定される情報の第三者提供に関しては、本人の同意が得られていることの確認が義務化される。

ペナルティ(法定刑)の強化

改正個人情報保護法では、以下の2点のペナルティ(法定刑)が強化されています(第83条、第87条など)。

1.措置命令、報告義務違反の罰則における法定刑の引き上げ

改正個人情報保護法では、個人情報保護委員会の措置命令・報告義務違反の罰則に対して、法定刑の引き上げが行われました。
旧法下では、個人情報保護委員会の措置命令に違反した場合、6ヵ月以下の懲役又は30万円以下の罰金に処することとなっていました。

しかし改正法では、個人情報保護委員会の措置命令に違反した場合、1年以下の懲役または100万円以下の罰金が科せられます。すなわち今回の改正により、重罰化が行われることになります。これにより、制裁の実効性が高まることで違反等の抑止が期待できると言えます。

旧法 ペナルティ(法定刑)については、以下のとおりである。

  • 個人情報保護委員会の措置命令(42条2項、3項)の違反の罰則︓6 ヵ月以下の懲役または30 万円以下の罰金
  • 個人情報データベースの不正な流用:1年以下の懲役または50万円以下の罰金
  • 報告義務(40条)違反の罰則︓30 万円以下の罰金
改正法 ペナルティ(法定刑)に関して、旧法よりも強化されている。

  • 措置命令(42条2項、3項)違反の罰則︓1 年以下の懲役又は100 万円以下の罰金
  • 個人情報データベース等の不正流用:1年以下の懲役又は50万円以下の罰金
  • 報告義務(40条)違反の罰則︓50 万円以下の罰金

 

2.法人における罰金刑の引き上げ

改正個人情報保護法では、法人に対する罰金刑を引き上げることで、重罰化による抑止効果が期待されています。

旧法では、法人に対する罰金の金額においては、行為者も法人も変わらず同じ懲役刑、罰金刑となっていました。しかし、命令違反等の罰金について、法人と個人の資力格差などを鑑みて、法人に対して1億円以下の罰金が定められ、罰金刑の最高額が引き上げられることになりました。

旧法 法人への罰則は、それぞれ以下のとおりであった。

  • 措置命令(42条2項、3項)の違反の罰則:30万円以下の罰金
  • 個人情報データベースの不正な流用:50万円以下の罰金
  • 報告義務(40条)違反の罰則:30万円以下の罰則
改正法 法人への罰則は、以下のとおり強化された。

  • 措置命令(42条2項、3項)違反の罰則:1億円以下の罰金
  • 個人情報データベースの不正な流用:1億円以下の罰金
  • 報告義務(40条)における違反の罰則:50万円の罰則

外国事業者への罰則追加など

改正個人情報保護法では、外国事業者を対象に報告徴収・立入検査など罰則が追加されることになります。(第75条)

旧法においては、日本国内にある者にかかわる個人情報等を取り扱う場合、国内の事業主のみ報告徴収・立入検査の規定が設けられていました。しかし法改正により、外国の事業者が日本国内にある者にかかわる不適切な個人情報の取り扱いをした場合に対して、従来よりも実効的な措置を実施することが可能となります。

旧法 日本国内ににある者の個人情報を取り扱う外国事業者は、報告徴収・立入検査などにおいて対象外であった。
改正法 日本国内にある者の個人情報を取り扱う外国事業者も、報告徴収・立入検査などの対象になる。

まとめ

今回は、改正個人情報保護法の概要と6つの改正ポイントをわかりやすく解説してきました。とくに今回の法改正では、個人の権利がより保護されることに加え、法人への罰則なども強化されることになります。
また、新たに創設された「仮名加工情報の活用」により、情報の取り扱いは緩和されるものの、企業が取り組むセキュリティ要件は、より厳しくなっていきます。企業の担当者は、今回の法改正を踏まえて社内規定やプライバシーポリシーを見直し、正しい個人情報の取扱いを行えるよう準備しておくようにしましょう。