総務のお仕事

2023年08月29日

2022年4月施行の改正個人情報保護法と改正のポイントとは？

Contents

1 改正個人情報保護法とは？
2 個人情報保護法改正の背景
3 2022年4月施行の改正個人情報保護法の概要
4 主な改正のポイントの詳細
5 改正に向けて企業が取るべき対応
6 まとめ

改正個人情報保護法とは？

個人情報保護法とは、個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とした個人情報の保護に関する法律です。2020年に改正し、2022年4月1日に施行されました。

2022年4月の改正では、個人の権利保護の強化や取扱事業者の責務内容の追加、データ利活用の促進事項などが盛り込まれています。

また、行政機関である個人情報保護委員会が示す改正目的が下記5つとなります。

・個人の権利利益保護
2022年の改正では情報を提供する個人自らの情報の取扱いに対する関心や、関与への期待が高まっていることから、個人情報保護法第1条の目的となっている「個人の権利利益を保護」するために十分な措置を整備することに配意しながら改正を進める必要がある

・保護と利用のバランスの調整
2015年改正法で特に重要された保護と利用のバランスをとることの必要性は、引き続き重要なポイントであることと、個人情報に関する有用性高まっている昨今、経済成長等と個人の権利利益の保護との両面のバランスを考慮した改正をすすめることが重要である。

・国際的潮流との調和
デジタル化された個人情報の多様な活用法がグローバルに展開されており、国際的な制度調和や連携に配意しながら制度改正を進める必要がある。

・外国事業者によるリスク変化への対応
海外事業者によるサービス利用の活性化や、国境を越えて個人情報を扱うビジネスの増大により、個人が直面するリスクも変化しており、これのリスクに対応する必要がある。

・AI・ビッグデータ時代への対応
AI・ビッグデータ時代を迎え、個人情報の活用が一層多岐にわたる中、本人が個人情報を網羅的に把握することが困難になりつつある。このような状況で、個人情報を取り扱う事業者は、できる限り本人の権利利益の関係で説明責任を果たしつつ、本人が個人状況を把握できるよう環境を整備していくことが重要である。

今回の改正は、このような目的を達成するために行われたものとなります。

個人情報保護法改正の背景

・高度情報通信社会の進展に伴って個人情報保護の必要性の高まり、1980年～
1980年頃から民間事業者による個人情報の利用が活発化していくなか、個人はその利得を受ける一方でプライバシー侵害などのリスクが増加しました。1980年にはOECDから個人情報保護の8原則が打ち出され、国際的にも個人情報保護の必要性が高まり、2003年には日本でも個人情報保護に関する基本理念を定め、個人情報を取り扱う事業者が順守すべき義務、事項等を定めた個人情報保護法が制定されました。

・IT技術促進による個人情報保護重要性の高まり、2005年～
先に説明した個人情報保護法が制定された背景としてはIT技術の進歩によりプライバシー侵害のリスクが生じたことから、1980年頃個人情報保護の議論が活発になりました、国際的にも個人情報保護の必要性が高まり、日本では2003年に個人情報保護法が制定されており、2005年より全面施行されています。

・個人情報の活用範囲拡大、2015年改正
2005年より個人情報保護法が全面施行されてから、IT技術促進が目立つようになり、PCやiPhone、スマートウォッチなどのデバイス、SNS、AI等により、個人の生活利便性が高くなってきた一方で、個人情報保護法制定当時では想定していなかった個人情報を利用した行動ターゲティング広告など想定外の範囲で個人情報を利用するケースが多々見受けられるようになった。
そのため個人情報の流出リスクに十分な配意を示し、個人情報取り扱い事業者の個人情報を適正に取り扱うことが強く求められます。そうした背景から、2015年に個人情報保護法が改正されております。

・3年ごとの見直し規定による改正
2015年の個人情報保護法で3年ごと見直し規定が追加することとなりました。これは、個人情報保護に関する世界の動向、IT技術の促進、それらに伴い個人情報を活用した新規の産業の創出、発展等を想定したことから、3年ごとに個人情報保護法の見直しをしていくという内容です。2022年4月1日施行の個人情報保護法改正は、このような背景によって改正されております。

2022年4月施行の改正個人情報保護法の概要

2022年4月1日施行の改正個人情報保護法では、個人情報に対する意識の高まりや、技術革新を踏まえた個人情報の保護と利活用のバランス、外国へのデータの流通増加に伴う新たなリスクへの対応から、制度の見直しが実施されました。

本人の請求権の強化、個人情報取扱事業者の責務の追加などで、個人情報保護の強化を図る一方、仮名加工情報を新設するなど情報の利活用を容易にすることで技術革新を促進する規定も置いています。

改正のポイントは、大きくわけて下記6点あります。

・ポイント①個人権利保護の強化
・ポイント②事業者の責務追加
・ポイント③事業者の自主的な取り組みの推進
・ポイント④データ利活用の促進
・ポイント⑤法令違反に対する罰則が強化
・ポイント⑥外国の事業者に対する、報告徴収・立入検査などの罰則追加

次から各6つのポイント詳細について説明します。

主な改正のポイントの詳細

ポイント①個人権利保護の強化

主に以下4点に対して個人権利保護の強化がされました。

1.保有個人データの開示請求のデジタル化
2.短期保有データの保有個人データ化
3.利用停止・消去請求権、第三者への提供禁止請求権の要件緩和
4.個人データの授受についての第三者提供記録の開示請求権

1.保有個人データの開示請求のデジタル化について

改正前の個人情報保護法では、本人は個人情報取扱事業者に対して、保有個人データの開示を請求することができ、開示請求を受けた個人情報取扱事業者は、原則として保有個人データを開示しなくてはなりません。

その場合、開示方法は原則書面による交付となってました。

ただ、情報量が膨大である場合、書面による交付が適さない場面があること、また動画や音声データのようにそもそも書面による交付に適さない保有個人データもあることを考慮する必要があります。

したがって、改正後は以下のいずれかの方法のうち「本人が請求した方法」による保有個人データの開示を行うことが原則とされました。

・電磁的記録の提供による方法
・書面の交付による方法
・その他個人情報取扱事業者が定めた方法

一方で事業者の負担軽減の観点から、その方法による開示に多額の費用を要するなど、本人が指定した方法による開示が困難であるような場合は、本人の請求した方法にかかわらず、書面の交付による方法での開示も認められてます。

2.短期保有データの保有個人データ化について

改正前では、6か月以内に消去されるデータは、「保有個人データ」に含まれておりませんでした。

ただ短期間で消去されるものだったとしても、その間に情報漏洩などが発生すれば、瞬時にSNSで拡散し個人にとって大きな損害を与える可能性があります。

そのリスクを考慮して6か月以内に消去される短期保有データについても「保有個人データ」に含まれることになりました。

それにより改正後は「個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって」、「その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの」に該当するものになってます。

3.利用停止・消去請求権、第三者への提供禁止請求権の要件緩和について

改正前は本人が個人情報取扱事業者の保有個人データの利用停止や消去を請求できるのは、目的外利用されたときと不正の手段で取得されたときに限定されており、また第三者提供の停止を請求できるのは、本人の同意なく第三者提供がなされたときに限られていました。

しかし改正後では上記に加え、不適正な利用がなされたときも利用停止等が請求できることとされました（30条1項、16条の2）。

また、保有個人データを利用する必要がなくなったときや、保有個人データの漏えい等が生じたとき、その他保有個人データの取扱いにより本人の権利又は正当な利益が害されるおそれがあるときにも、利用停止等又は第三者提供の停止の請求ができるようになっております（30条5項）。

ただ、利用停止等や第三者提供の停止を行うことが困難な場合であって、本人の権利利益の保護のための代替措置が取られている場合はこの限りではないとして、個人情報取扱事業者の負担を軽減しています（30条6項）。

4.個人データの授受についての第三者提供記録の開示請求権について

改正前ではそもそも第三者提供記録の開示請求権は存在していませんでしたが、改正後は本人の個人情報取扱事業者に対する個人情報の第三者提供の記録（公益等が害されるものとして政令で定めるものを除く）の開示請求権が新設されています（28条5項）。

ポイント②事業者の責務の追加

事業者の責務が追加された事項は、下記2点となります。

1.情報漏洩時の報告義務
2.不適正な利用の禁止

1.情報漏洩時の報告義務について

改正前は個人情報の漏洩等発生時の個人情報保護委員会への報告および、本人への通知は法廷義務ではありませんでしたが、改正後では個人情報取扱事業者に対し、個人データの漏えい等が発生した場合の報告義務及び本人に対する通知義務が新設されました（22条の2、1項）。

ただ、他の個人情報取扱事業者から個人データの取扱いの委託を受けた場合は、委託元に通知すれば足りることとされました（22条の2、1項ただし書）。

なお、本人への通知が困難な場合であって、本人の権利利益の保護のための代替措置が取られている場合はこの限りではないとして、個人情報取扱事業者の負担が軽減されています。

2.不適正な利用の禁止について

個人情報取扱事業者の個人情報の不適正な利用の禁止義務が明文化されました。不適正な利用とは、違法又は不当な行為を助長し、又は誘発するおそれがある方法による利用を指します（16条の2）。

ポイント③事業者の自主的な取り組みの推進

改正前においても、本人や関係者からの個人情報取扱いに関する苦情の処理や、個人情報等の適正な取扱いに関する情報の提供、その他個人情報等の適正な取扱いの確保に関して必要な業務を自主的に行う民間団体を「認定個人情報保護団体」として認定する制度がありました。

ただ改正前の制度は対象事業者の全ての事業・業務において、適正に個人情報等を取り扱う団体を認定する制度でした。

改正後では特定の分野（事業や業務）だけを対象にできるようになっています（47条1項、2項）。

これにより、認定団体の活用が進み、特定の事業を対象に活動する団体による、専門性を生かした個人情報取り扱い事業者の自主的な個人情報保護への取り組みを推進を期待してます。

ポイント④データ利活用の促進

主に下記2点での改正がありました。

1.仮名加工情報の事業者義務緩和
2.提供先で個人データとなることが想定される場合の確認義務を新設

1.仮名加工情報の事業者義務緩和について

改正前では、個人を特定できないように個人情報を加工した場合でも、加工前の情報と同等の規制対象となっていました。

改正後では、データ利用促進する観点から氏名等を削除して、他の情報と照合しない限り個人を特定できないように個人情報を加工した場合は（仮名加工情報）、仮名加工情報取扱事業者の内部分析目的の利用に限定する等を条件に、開示・利用停止請求への対応等の適応対象外として義務を緩和しております（2条9項、10項、35条の2、35条の3）。

2.提供先で個人データとなることが想定される場合の確認義務を新設について

提供元では個人データに該当しないものの、提供先において他の情報と照合することにより、容易に個人を特定することができる情報があります。

改正後では個人関連情報を第三者提供する場合、提供元が提供先に対して本人の同意を得ていること等を確認する義務を新設してます。

ポイント⑤ペナルティの強化

主に下記2点が強化されました。

1.措置命令・報告義務違反の罰則について
2.法人に対する罰金刑を引き上げ

1.措置命令・報告義務違反の罰則について

改正後において、措置命令違反、報告義務違反、個人情報データベース等の不正流用をした個人及び法人に対する罰則が重くなりました。

措置命令に違反した個人に対しては、「6か月以下の懲役又は30万円以下の罰金」から「1年以下の懲役又は100万円以下の罰金」に、報告義務違反に対しては「30万円以下の罰金」から「50万円以下の罰金」に強化されております。

2.法人に対する罰金刑を引き上げについて

法人に対する罰金刑は改正前では個人と同様でしたが、改正後では措置命令違反と個人情報データベース等の不正流用については「1億円以下」に引き上げられました。

また、個人情報データベース等の不正流用の個人に対する罰則（1年以下の懲役又は50万円以下の罰金）に変更はなく、報告義務違反に対する法人の罰則は個人と同じ「50万円以下の罰金」となっています（83、85、87条）。

これらの罰則については、2020年12月12日に施行実施されています。

ポイント⑥外国の事業者に対する、報告徴収・立入検査などの罰則追加

改正前でも一部の条項が外国の事業者に適用されていましたが、外国の事業者は報告徴収・命令および立入検査などの対象ではありませんでした。

改正後では日本国内にある者に関連する個人情報等を取り扱う外国事業者を報告徴収・命令の対象とし、罰則も適用されることになり、個人情報取扱事業者が外国にある第三者に個人データを提供する場合、移転先事業者における個人情報の取扱いに関する制度等について本人への情報提供義務などが規定されました（24条2項、3項）。