改正個人情報保護法が施行(2022年4月1日)されました。漏洩報告の義務化、法人罰金は1億円以上へ!
大幅に改正された個人情報保護法(以下、改正法)が2022年4月1日に施行されました。改正法では、国民の個人情報に対する意識の高まりや、技術革新を踏まえた個人情報の保護と利活用のバランス、越境データの流通増大に伴う新たなリスクへの対応等の観点から、様々な制度の見直しが行われています。
この改正法は、個人情報の保有数等に関わらず全ての事業者に適用されるため、事業者においては個人情報保護規程やプライバシーポリシーの改訂、社内体制の整備など対応すべき事項は多数に上ります
また、新たに創設された法定義として「仮名加工情報」ならびに「個人関連情報」というものがありますが、少しややこしくなりますので、これらは別記事(改正個人情報保護法で新たに創設された仮名加工情報と個人関連情報について)で説明したいと思います。
改正法の概要
1.個人の権利の在り方
(1)利用停止・消去等の個人の請求権について、一部の法違反の場合に加えて、個人の権利又は正当な利益が害されるおそれがある場合等にも拡充する。
(2)保有個人データの開示方法(現行では、原則、書面の交付)について、電磁的記録の提供を含め、本人が指示できるようにする 。
(3)個人データの授受に関する第三者提供記録について、本人が開示請求できるようにする。
(4)6ヶ月以内に消去する短期保存データについて、保有個人データに含めることとし、開示、利用停止等の対象とする。
(5)オプトアウト規定(注1)により第三者に提供できる個人データの範囲を限定し、
①不正取得された個人データ、
②オプトアウト規定により提供された個人データ
についても対象外とする 。
(注1)本人の求めがあれば事後的に停止することを前提に、提供する個人データの項目等を公表等した上で、本人の同意なく第三者に個人データを提供できる制度。
令和4年4月以降に同規定による提供を行う場合は、令和3年10月1日より届出可能。
2.事業者の守るべき責務の在り方
(1)漏えい等が発生し、個人の権利利益を害するおそれが大きい場合(注2)に、個人情報保護委員会への報告及び本人への通知を義務化する。
(注2)一定の類型(要配慮個人情報、不正アクセス、財産的被害のある漏洩等)については漏洩件数に関わりなく報告義務あり。それ以外は1000件を超える漏洩の場合に報告義務あり。
(2)違法又は不当な行為を助長する等の不適正な方法により個人情報を利用してはならない旨を明確化する。
「違法又は不当な行為」とは、以下を指します。
①個人情報保護法その他の法令に違反する行為
②直ちに違法とは言えないものの、個人情報保護法その他の法令の制度趣旨や公序良俗に反している等、社会通念上、適正とは認められない行為
<違法又は不当な行為の例>
暴力団員により行われる暴力的要求行為、本人に対して正当な理由なく行われる違法な差別的取扱い 等。
3.事業者による自主的な取組を促す仕組みの在り方
(1)認定団体制度について、個人情報を用いた業務実態の多様化やIT技術の進展を踏まえ、現行制度(注3)に加え、企業の特定分野(部門)を対象とする団体を認定できるようにする。
(注3)現行の認定団体は、対象事業者の全ての分野(部門)を対象とする 。
4.データ利活用の在り方
(1)氏名等を削除した「仮名加工情報」を創設し、内部分析に限定する等を条件に、開示・利用停止請求への対応等の義務を緩和する。
(2)提供元では個人データに該当しないものの、提供先において個人データとなることが想定される「個人関連情報」の第三者提供について、本人同意が得られていること等の確認を義務付ける。
5.ペナルティの在り方(令和2年12月12日より施行済み)
(1)委員会による命令違反・委員会に対する虚偽報告等の法定刑を引き上げる。
(2)命令違反等の罰金について、法人と個人の資力格差等を勘案して、法人に対しては行為者よりも罰金刑の最高額を引上げる(法人重科)。
6.改正法の域外適用・越境移転の在り方
(1)日本国内にある者に係る個人情報等を取り扱う外国事業者を、罰則によって担保された報告徴収・命令の対象とする。
(2)外国にある第三者への個人データの提供時に、移転先事業者における個人情報の取扱いに関する本人への情報提供の充実等を求める。
7.改正法施行令について
(1)利用目的の特定、個人データの取扱いの委託及び公表等事項について、個人情報の保護に関する法律施行令等で規定する。