2022年に施行される改正個人情報保護法の内容
2022年に施行される改正個人情報保護法の改正目的とこれまでの同法をめぐる背景を解説します。また、具体的な公布日と施行日についても紹介します。
1.改正の目的と背景
今回の個人情報保護法改正の背景として、個人情報の適切な管理と利活用を監督する政府機関である個人情報保護委員会が3年ごとの見直しに向けた準備を行っていたことがあります。具体的には、個人情報保護をめぐる国内外の政策、技術、産業等の状況について意見の分析やヒアリングを実施し、法律の見直しに反映していました。
個人情報保護法は、2017年の時点で、国際的な動向や技術の進歩を反映して3年ごとに実態に沿った内容に見直しを行うことが規定として盛り込まれていました。2020年の改正はこの規定を踏まえて行われました。
個人情報保護法の成立~これまでの改正の流れ
| 2003年 | 個人情報保護法成立(2005年全面施行) |
| 2015年 | 個人情報保護法改正(2017年全面施行) |
| 2017年 | 現行の個人情報保護法 ・3年ごとの見直し規定が盛り込まれる ・国際的動向、情報通信技術の進展、新産業の創出・発展の状況等を考慮することに |
| 2020年 | 個人情報保護法改正(2022年全面施行予定) ・3年ごとの見直し規定に基づく初めての法改正 |
このほか、3年ごとの見直しとは別に2021年5月にデジタル改革関連法の1つとして、個人情報保護制度の官民一元化を目的とした法改正が行われています。
2022年施行予定の改正では、主に以下の点を法律に反映することを目的としています。
| ☐個人の権利利益の保護と活用の強化 ☐越境データの流通増大に伴う新たなリスクへの対応 ☐AI・ビッグデータ時代への対応 等 |
2.法律の公布日と施行日
3年ごとの見直しにもとづいて行われた改正個人情報保護法の公布、施行に加え、官民一元化を目的とした2021年5月の法改正について、具体的には以下の流れで実施されます。
| ・改正個人情報保護法(3年ごとの見直し) | 2020年6月12日公布 |
| ・改正個人情報保護法(デジタル改革関連法の1つ) | 2021年5月19日公布 |
| ・改正個人情報保護法(デジタル改革関連法の1つ) | 2022年9月1日施行 |
| ・改正個人情報保護法(3年ごとの見直し) | 2022年4月1日全面施行(一部先行施行あり) |
改正個人情報保護法の変更点
2022年4月施行の法改正のポイントは主に以下の6つ変更点としてまとめることができます。
- 個人の権利の拡充など
- 事業者の守るべき責務が追加
- 企業の特定分野(部門)を対象とする認定団体を認定できる
- データ利活用の推進
- ペナルティ(法定刑)の強化
- 外国事業者への罰則追加など
それぞれの変更点について、現行ルールと比較しながら解説します。
1.個人の権利の拡充など
昨今の個人情報に対する意識の高まりを踏まえ、個人の権利利益の保護に対する必要な措置を整備するために以下の変更が加えられました。
①利用停止・消去等の個人の請求権の拡充
| 現行法 | 改正法 |
| 本人による利用停止や消去に関する請求権を、法違反の場面に限定 | 現行法の内容に加えて、法違反が行われていない場合でも「本人の個人情報を取扱事業者が利用しなくなった場合」「重大な漏えいなどが発生した場合」、「本人の権利または正当な利益が害されるおそれがある場合」に個人の請求権を拡充する |
改正によって、法違反が行われていない場合でも、個人の権利や利害が害されている場合の請求権を行使できるようになりました(第30条)。
現行法では、利用停止・消去・第三者提供の停止といった請求権を個人が行使できるのは、一定の法違反がある場合に限られていました、本人が望んでいない形で情報が利用されているのに利用停止請求ができないという状態があったため、改善要求が寄せられていたことが理由です。
②保有個人データの開示方法のデジタル(電磁的記録)化対応
| 現行法 | 改正法 |
| 保有個人データの開示は原則書面による交付 | 保有個人データについて、請求者である本人がデジタルデータでの提供を含めた開示方法を指定することができるよう変更 |
保有個人データについて、請求者である個人がデジタルデータでの提供を含めた開示方法を指定することができるようになりました(第28条)。改正前は原則書面のみに開示方法が限られていましたが、データの量が膨大、または、音声や動画データが保有個人データに含まれているケースも増えているためデジタル化対応の要望が寄せられていました。
保有個人データと個人データの詳細
| 個人データ | 保有個人データ |
| 個人情報取扱事業者が管理する「個人情報データベース等」を構成する個人情報のこと。個人情報データベースから紙面に出力され、印字された個人情報や、個人情報データベースからUSBメモリや外付けハードディスクなど外部記憶媒体に保存された個人情報などを指す | 個人情報取扱事業者が開示、内容の訂正、追加または削除、利用の停止、 消去および第三者への提供の停止を行うことのできる権限を有している個人データのこと |
③第三者提供記録を本人が開示請求できるよう変更
| 現行法 | 改正法 |
| 第三者提供記録は、本人による開示請求の対象外 | 本人が第三者提供記録を開示請求の対象にできる |
事業者の間でどのように個人データが流通しているのか、本人が第三者提供記録を開示請求の対象にできるよう法改正されました(28条5項)。現行ルールでは第三者提供記録は、本人による開示請求の対象外とされていました。
④短期保存データを保有個人データに含める
| 現行法 | 改正法 |
| 短期保存データは保有個人データに含まない | 6か月以内に消去される短期保存データも保有個人データに含める |
現行ルールでは、「保有個人データ」に含まれなかった6か月以内に消去される短期保存データも保有個人データに含めるように変更されました(第2条7項)。
個人情報取扱事業者は、保有個人データについて、本人への開示義務・訂正義務・利用停止に応じる義務などを負っています。短期間で消去されるデータでも漏えいすれば被害が大きいため、今回の改正で本人が要求すれば、データの開示義務・訂正義務・利用停止も可能になりました。
⑤オプトアウト規定の厳格化
| 現行法 | 改正法 |
| 要配慮個人情報のみ、オプトアウトによる第三者提供の対象外 | 現行法に追加して、第三者に提供できる個人データの範囲を限定する。不正取得された個人データ、オプトアウト規定により提供された個人データをオプトアウトによる第三者提供の対象外とする |
オプトアウト規定とは、提供する個人データの項目を公表した上で、本人の同意なく第三者に個人データを提供できる制度のことです。事後的に本人が申し出ればデータ提供を停止できる、と制度上の決まりがありましたが、法改正によって第三者に提供できる個人データの範囲を限定するよう変更が加えられました(第23条第2項)。
この法改正は、個人情報保護委員会による調査で本人が提供した覚えのない形で名簿が商品として流通していることが判明したため実施されました。
2.事業者の守るべき責務が追加
2つ目のポイントとして、個人情報保護を扱う事業者が守るべき責務が追加されました。具体的には以下の次の2点です。
①個人データ漏えい時の報告義務
| 現行法 | 改正法 |
| 漏えい等が発生した際、 ①個人情報保護委員会への報告は努力義務 ②本人通知は法律上の義務ではない | 漏えいや毀損などが発生した際、 ①個人の権利利益の侵害のおそれが大きい場合、個人情報保護委員会への報告を義務化 ②本人への通知も原則義務化 |
事業者の責務として、個人データの漏えい発生時における、個人情報保護委員会に対する報告義務が新たに追加されました(第22条の2)。これまでは漏えい時の企業の個別対応に委ねる状況でしたが、諸外国の標準的な対応とも照らし合わせ、現行法の改正にいたりました。
ただし、他の個人情報取り扱い事業者から個人データの取り扱いの委託を受けた場合は、漏えいが発生したと委託者である事業者に通知すれば、この報告義務は免除されます。個人情報取り扱い事業者自身については、個人データの漏えいが発生した際に、本人に通知する義務も課されました。本人への通知が困難かつ本人の権利の保護のために必要な代替措置を取っている場合には、通知義務は免除されます。
②不適正な個人情報利用の禁止
| 現行法 | 改正法 |
| 個人情報の不適正な利用の禁止の規定はない | 違法、または不当な行為を助長、誘発するおそれのある不適正な方法により個人情報を利用してはならないと義務化 |
これまで、個人情報の不適正な利用の禁止が法律上明文化されていませんでしたが、今回の法改正で改めて禁止と定められました(第16条の2)。現行ルールでも違法または不当な情報の使い方を助長するおそれのある利用が行われていた実態があり、今回の禁止の明文化に至りました。
3.企業の特定分野(部門)を対象とする認定団体を認定できる
| 現行法 | 改正法 |
| 認定団体制度は、事業者の全ての分野における個人情報等の取り扱いを対象とする団体の認定を行う | 企業の特定分野(部門)を対象とする団体を認定団体として認定できるようになった |
個人情報保護法では、個人情報保護委員会の他に、民間団体を利用した情報保護を図っており、認定団体制度を設けています。法改正によって認定団体制度について、企業の特定分野(部門)を対象とする団体を認定団体として認定できるようになりました(47条2項)。
業務実態の多様化やIT技術の進展に伴い、以下の重要性が増したことが変更の背景にあります。
- 民間団体が特定分野における個人データの扱いに関する自主ルールを策定していくこと
- 民間団体が積極的に対象事業者に対して指導等を行っていくこと
4.データ利活用の推進
データの利用と活用の促進を目的に、2点の規定が新設されました。
①「仮名加工情報」を創設、義務を緩和
| 現行法 | 改正法 |
| 個人情報を単に仮名化した情報は、引き続き「個人情報」であり、事業者は個人情報の取扱いに関する各種の義務を負う | 個人情報を氏名を削除するなどして仮名加工した情報を「仮名加工情報」と新たに定義し、利用に条件を付けたうえで、開示・利用停止請求について個人情報ほど厳密な取り扱いをしなくてもよいとした |
データ利用と活用の促進のため「仮名加工情報」を創設し、取り扱いに関する義務を緩和しました(第2条9項)。現行ルールでは個人情報を加工して個人を特定できない情報に変換した場合でも、以下のような個人情報と同じ対応が必要でした。
- 利用目的を特定
- 目的外利用の禁止
- 取得時の利用目的の公表
- データ内容の正確性の確保など
創設された仮名加工情報とは、「他の情報と照合しない限り、特定の個人を識別することができないように個人情報を加工して得た個人に関する情報」のことを指します。個人情報や匿名加工情報との違い、法改正後の利用イメージンついては以下の図を参考にしてください。
「仮名加工情報」の利用イメージ
②提供先において個人データとなることが想定される情報の確認義務付け
| 現行法 | 改正法 |
| 提供元で個人データに該当しない情報であれば、提供先において個人データとなることが想定された場合でも規制の対象にはなかった | 提供元で個人データに該当しないものの、提供先において個人データとなることが想定される情報(個人関連情報)の第三者提供について、本人の同意が得られていることの確認を義務付ける |
本人が関与していない個人情報の収集方法が広まらないよう事業者に求める確認義務が新たに設けられました(第26条の2第1項1号)。
背景として、ユーザーデータを大量に集積し、照合したうえで個人データとする技術が普及したことがあります。提供先で、集めたデータが個人データとなることを知りながら非個人情報として第三者に提供する方法が横行していたことから、確認義務を設けた法改正に至りました。
5.ペナルティ(法定刑)の強化
今回の改正後は特に法人に対する罰金刑の上限額が大きく引き上げられる以下の変更が加えられました(第83条、第87条など)。
- 委員会による命令違反・委員会に対する虚偽報告等の法定刑を引き上げる
- 命令違反等の罰金について、法人と個人の資力格差等を考慮し、法人に対しては行為者よりも罰金刑の最高額を引き上げる
罰金引き上げの背景として個人情報保護法に違反が増加するなか、事業者の実態を把握するための報告徴収や立入検査の実効性を高める必要性が議論になったことが挙げられます。具体的な懲役刑、罰金刑の引き上げは以下の表のとおりです。
法改正後の法定刑の引き上げ
| 懲役刑 (改正前) | 懲役刑 (改正後) | 罰金刑 (改正前) | 罰金刑 (改正後) | |
| 個人情報保護委員会からの命令への違反 (行為者) | 6か月以下 | 1年以下 | 30万円以下 | 100万円以下 |
| 個人情報保護委員会からの命令への違反 (法人等) | ー | ー | 30万円以下 | 1億円以下 |
| 個人情報データベース等の不正提供等 (行為者) | 1年以下 | 1年以下 | 50万円以下 | 50万円以下 |
| 個人情報データベース等の不正提供等 (法人等) | ー | ー | 50万円以下 | 50万円以下 |
| 個人情報保護委員会への虚偽報告等 (行為者) | ー | ー | 30万円以下 | 50万円以下 |
| 個人情報保護委員会への虚偽報告等 (法人等) | ー | ー | 30万円以下 | 50万円以下 |
6.外国事業者への罰則追加など
日本国内に住んでいる人の個人情報を取り扱う外国の事業者も、報告徴収・立入検査など罰則の対象となりました(第75条)。これまで国内の事業主のみ報告徴収・立入検査の規定が適用されていましたが、改正によって海外の事業者が不適切な個人情報の扱いをした場合には、従来よりも具体的な是正措置が可能になります。
7.法改正の変更点まとめ
上記で説明した個人情報保護法改正に伴う6つの変更点をそれぞれ一覧にまとめました。
| 1.個人の権利の拡充など | ・利用停止・消去等の個人の請求権の拡充 ・保有個人データの開示方法のデジタル(電磁的記録)化対応 ・第三者提供記録を本人が開示請求できるよう変更 ・短期保存データを保有個人データに含める ・オプトアウト規定の厳格化 |
| 2.事業者の守るべき責務が追加 | ・個人データの漏えい発生時における、個人情報保護委員会に対する報告義務が新たに追加 ・不適正な個人情報利用の禁止の明文化 |
| 3.企業の特定分野(部門)を対象とする認定団体を認定できる | ・企業の特定分野(部門)を対象とする団体を認定団体として認定できるよう変更 ・民間団体が特定分野における個人データの扱いに関する自主ルールを策定することを期待 |
| 4.データ利活用の推進 | ・「仮名加工情報」を創設、義務を緩和 ・本人が関与していない個人情報の収集方法が広まらないよう、事業者に求める確認義務が新たに設けられる |
| 5.ペナルティ(法定刑)の強化 | ・命令違反や虚偽申告をした場合の法人に対する罰金刑の上限額が大きく引き上げられる ・法人に対しては懲役刑の引き上げも行われる |
| 6.外国事業者への罰則追加など | ・外国の事業者も、報告徴収・立入検査など罰則の対象に |
個人情報保護法改正で生じる影響への対応
2022年施行の改正個人情報保護法の6つの変更ポイントが施行された場合、個人情報を取り扱う企業にはどのような影響が生じるのでしょうか。考えられる影響と、企業が取るべき対応の例を解説します。
1.電磁的記録(デジタルデータ)による開示請求への対応準備
法改正により保有個人データをデジタルで開示するための対応への準備が必要となります。個人情報を取り扱う企業は、電磁的記録(デジタルデータ)による開示請求への具体的な対応を行う体制を早期に築くことが求められ、その検討や準備には、自社のプライバシーポリシーの改訂が必須の場合もあります。
2.権利利益の侵害のおそれがないか社内確認
改正個人情報保護法では、第三者提供記録を本人が開示請求できるよう変更がなされました。条文では「本人の権利利益の侵害のおそれがある場合、本人による利用停止・消去・第三者提供停止等の請求を認める」と明記されています。利用停止・消去・第三者提供停止がされた場合、事業に甚大な影響が出る場合も予想されます。第三者提供記録について、権利の侵害がないか、社内でこれまでの取り扱い方法を確認する必要があります。
3.情報漏えい発生時の対応見直し
法改正により、個人情報漏えい発生時の個人情報保護委員会と本人への報告義務が事業主の義務に追加されています。この事態を想定した業務フローを法律施行前に確立しておく必要があります。
ただし、他の個人情報取り扱い事業者から個人データの取り扱いの委託を受けた場合や、本人への通知が困難、または本人の権利の保護のために必要な措置を別途取っている場合、通知義務は免除されるため、事業主の義務として具体的にどのような場合に報告を行うか、具体的なケースを識者に相談しながらフロー策定や、対応マニュアルの作成を行います。
4.仮名加工情報の活用
法改正により新設された「仮名加工情報の活用」の在り方を各企業で検討する必要があります。個人情報保護委員会は、想定される活用例として以下のような方法を示しています。
想定される活用例
- 医療・製薬分野等における研究
- 不正検知・売上予測等の機械学習モデルの学習
- 利用目的を達成した個人情報を、仮名加工情報として加工した上で保管し将来的に統計分析に利用する
まとめ
個人情報保護法は「個人の権利・利益の保護」と「個人情報の有用性」のバランスを図るための法律です。成立以降、社会情勢や技術の進歩に合わせて何度も改正されています。
2022年に施行される個人情報保護法の改正では、おもに6つの改正ポイントにそって法改正がなされ、個人の権利の拡充や法人への罰則強化などが実施されます。新設された「仮名加工情報の活用」など情報の取り扱い義務の緩和もあるものの、企業が守るべきセキュリティ要件がさらに厳しくなります。特に、企業の人事労務担当者にとって取り扱いに留意すべきなのが従業員の個人情報です。従業員のマイナンバー情報や退職した従業員の個人情報の漏えい防止のため、人事データの安全管理を徹底させる必要があります。
バックオフィス業務においては、ウイルスソフトの導入や個人情報を扱う部署への入退室管理などに加え、閲覧権限の設定ができ、アクセスログを確認できる人事システムの導入が求められます。
就業・給与・人事・セキュリティシステムを一つのシステムに集約!
-
HR News 2017.07.18
-
HR News 2020.04.15
-
HR News 2016.10.20
