令和2年3月10日国会に提出されました「個人情報の保護に関する法律等の一部を改正する法律案」は、令和2年6月5日の国会において可決、成立し、令和2年6月12日に「個人情報の保護に関する法律等の一部を改正する法律」が公布されました。
一部は先行して適用されていますが、令和4年4月1日に全面施行となります。
改正点について、お話させていただきたいと思います。
1⃣改正の目的
今回の改正については、個人情報保護法に定められている「3年ごとの見直し規定に基づく改定」とデジタル改革関連法の「個人情報保護税度の官民一元化」を目的とした改正が行われています。
◆目的◆
・個人の権利利益の保護と活用の強化
・越境データの流通増大に伴う新たなリスクへの対応
・AI・ビックデータ時代への対応 など
後半の「個人情報保護税度の官民一元化」につきましては、国の行政機関、地方公共団体、独立行政法人、民間企業それぞれ、適用される個人情報保護法が別々に存在し、それを一本化したという改正となります。
※今回は、前半部分をメインとお話したいと思います。
2⃣2022年4月施行の改正のポイントについて
2022年4月施行の法改正のポイントは主に以下の6つ変更点となります。
①個人の権利の拡充
②事業者の守るべき責務の追加
③特定分野を対象とする団体を認定できるように
④データ利活用の促進
⑤法定刑の引上げ強化
⑥外国事業者への罰則追加
◆個人の権利の拡充◆
・利用停止・消去等の個人の請求権について、現行法に加えて、個人の権利又は正当な利益が害されるおそれがある場合にも拡充
⇒現行法では、法違反の場合(目的外利用、不正取得、第三者提供義務違反など)とされています。
| 現行 |
改正後 |
〇利用停止・消去ができるのは、目的外利用不正取得の場合
〇第三者提供の停止ができるのは、第三者提供義務違反の場合 |
現行の場合に加え
〇利用する必要がなくなった場合
〇重大な漏えい等が発生した場合
〇本人の権利又は正当な利益が害されるおそれがある場合 |
・保有個人データの開示方法について、電子的記録の提供を含め、本人が指示できるようにする。
| 現行 |
改正後 |
| 原則、書面による交付 |
電子的記録の提供を含め、本人が指示できるようにする |
・個人データの授受に関する第三者提供記録について、本人が開示請求できるようにする。
⇒現行法では、本人は開示請求対象外
・6か月以内に消去する短期保存データについて、保有個人データに含めることとし、開示、利用停止等の対象とする。
・オプトアプト規定により第三者に提供できる個人データの範囲を限定し、「不正取得された個人データ」「オプトアプト規定により提供された個人データ」についても対象外とする。
◆事業者の守るべき責務の追加◆
・漏えい等が発生し、個人の権利利益を害するおそれが大きい場合に、委員会への報告及び本人への通知を義務化する。
| 現行 |
改正後 |
| 個人情報保護委員会に報告及び本人への通知をするように努める(努力義務) |
漏えい等が発生し、個人の権利利益を害するおそれが大きい場合に、委員会への報告及び本人への通知を義務化する |
【漏えい等報告の義務化の対象事案】
| 〇要配慮個人情報の漏えい |
これらの類型は
件数に関わりなく報告・通知対象
|
| 〇不正アクセス等による漏えい |
| 〇財産的被害のおそれがある漏えい |
| 〇一定数以上の(1,000件超)大規模な漏えい |
・違法又は不当な行為を助長する等の不適正な方法により個人情報を利用してはならない旨を明確化する。
| 現行 |
改正後 |
| 個人情報取扱事業者は個人情報を適正に取得すべきこと |
現行法に加えて、「不適正な利用」を禁止
※違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない |
【違法又は不当な行為とは?】
・個人情報保護法その他法令に反する行為
・個人情報保護法その他法令制度の趣旨や公序良俗に反している等、社会通念上、適正とは言えない行為
◆特定分野を対象とする団体を認定できるように◆
・認定団体制度について、現行制度に加え、企業の特定分野を対象とする団体を認定できるようにする。
◆データ利活用の促進◆
・氏名等を削除した「仮名加工情報」を創設し、内部分析に限定する等を条件に、開示・利用停止請求への対応等の義務を緩和する。
・提供元では個人データに該当しないものの、提供先において個人データとなることが想定される情報の第三者提供について、本人同意が得られていること等の確認を義務付ける。
個人関連情報を個人データとして取得した後の利用目的については、通知又は公表を行う必要がありますが、適用先において同意を取得する際には同時に当該利用目的についても本人へ示すことが望ましいとされています。
◆法定刑の引上げ強化◆
・委員会による命令違反・委員会に対する虚偽報告等の法定刑を引上げる。
・法令違反等の罰金について、法人と個人の資力格差等を勘案し、法人に対しては行為者よりも罰金刑の最高額を引上げる。
◆外国事業者への罰則追加◆
・日本国内にあるものに係る個人情報等を取り扱う外国事業者を罰則によって担保された報告徴収・命令対象とする。
・外国にある第三者への個人データの提供時に、移転先事業者における個人情報の取り扱いに関する本人への情報提供の充実等を求める。
【参考】
個人情報保護委員会|令和2年改正個人情報保護法について
個人情報保護委員会|令和2年改正および令和3年改正案について
総務省|令和2年改正個人情報保護法ガイドライン(案)について
個人情報保護委員会|3年ごと見直し制度改正大綱
この記事を書いた