2022年4月1日、改正個人情報保護法が施行されました。
従来の規定よりも個人情報保護を強化する一方で、事業者による情報使用の利便性にも配慮した内容となっています。
個人情報保護法は、会社や社団法人、任意団体などの組織の形態にかかわらずすべての事業者へ適用されるので、法改正の内容を正しく理解しておきましょう。
本稿では個人情報保護法改正の背景やポイントを解説します。
個人情報保護法が改正された背景
まずは今回、個人情報保護法が改正された理由、社会的な背景をご説明します。
従来の方法では個人情報の保護に不十分になった
個人情報保護法は2003年5月に施行された法律です。
ただ現代は当時と比べるとインターネットの発展などにより、個人情報の利用方法が著しい変化を見せています。グローバル企業も増えて高速で情報がやり取りされる中、古い方法では個人の権利を守れなくなってきました。
そこで個人情報保護法は2015年に一度、改正されるに至りました。
「3年ごと見直し規定」の導入
2015年の改正の際「3年ごと見直し規定」が導入されました。
3年ごと見直し規定とは、情報通信技術の発展や国際的な動向などの社会情勢にもとづき個人情報保護法のあるべき姿を3年ごとに見直すものです。
これにもとづいて2020年、法改正が行われ、今回2022年4月1日に施行される運びとなったのです。
今回の改正内容は、情報通信技術の急速な発展とグローバル企業の増加拡大に対応したものとなっています。
事業者の責務を追加してペナルティを厳しくするなど個人情報保護を強化していますが、事業者におけるデータ利活用を推進する内容も含んでおり、権利保護と情報利用の両方のバランスをとったものといえるでしょう。
改正個人情報保護法のポイント
改正個人情報保護法のポイントは主に以下の6点です。
① 本人による請求権を拡大
② 事業者の責務を追加
③ 事業者団体の認定制度を拡大
④ 仮名加工情報の新設
⑤ 違反した場合のペナルティを強化
⑥ グローバル化に対応
それぞれについて、個人情報保護法の基本を解説しながら、みていきましょう。
本人による開示請求権を拡大
改正個人情報保護法では、本人による請求権の内容を拡大しています。
以下、改正前の内容を解説した上で、改正後どのように変わったのかを解説していきます。
改正前の内容
利用停止等が限られていた
従来の個人情報保護法では、本人が事業者に対して、保有個人データの利用停止や削除を請求できるケースが限定されていました。
具体的には、本人の同意なく目的外利用された場合、不正な手段で入手された場合、本人の同意なく要配慮個人情報が取得された場合に限り、保有個人データの利用の停止又は消去の請求ができることになっていました。
その上、保有個人データには、6か月以内に消去される個人データは、「保有個人データ」に含まれないとされていました。
利用目的の特定
個人情報を取得する際には、その個人情報を利用する目的を具体的に特定することを要します。この特定された目的以外で取得した個人情報を利用することはできません。
ただし、本人の同意を得た場合には、目的外利用は認められます。
単に事業活動に用いるため、マーケティング活動に用いるため、という程度では具体的に特定できていません。
利用目的が特定されているといえるためには、最終的にどのような事業のために、どのような目的で利用されるのかが、その本人にとって想定できることを要します。
不正な手段で入手される場合とは
個人の権利利益を守るため、個人情報を不正な手段により入手することは禁じられています。
例えば、幼い子供や障がい者から、関係のない家族の収入状況等の個人情報を取得する場合、虚偽の情報を意図的に伝えて個人情報を取得するような場合、不正な手段により収集した個人情報であることを知りながら、これを取得する場合には、不正な手段で入手されたとされます。
要配慮個人情報とは
要配慮個人情報とは、人種、信条、 社会的身分、病歴、犯罪歴、犯罪により被害を受けた事実など、取扱いに特に配慮を要する個人情報の ことをいいます。
個人情報を取得すること自体には本人の同意を要しませんが、要配慮個人情報の場合には、その取得すること自体に本人の同意が必要とされます。
ただ、法令に基づく場合や人の生命、身体を守るために本人の同意を得られない場合等には、例外的に本人の同意なく取得することはできます。
改正後の内容
利用停止等ができる場合
改正前の内容では、個人の権利保護に不十分でした。
そこで、改正法では、個人の権利利益をより一層守るため、本人による請求権が強化されています。
まず、保有個人データが違法または不当な行為を助長し、または、誘発するおそれがある方法により利用されている場合(個人情報の不適正利用)には、利用停止等を請求できるとされました。
また以下のような場合にも利用停止や第三者提供の停止を要求できるようになりました。
・事業者が保有個人データを利用する必要性が失われた場合
・個人情報保護委員会に対する報告等が必要な保有個人データが漏えいしてしまった場合
・その他保有個人データの取扱いによって本人の権利や正当な利益が害されるおそれがある場合
利用停止の請求や第三者提供の停止請求を受けた場合、その請求に理由があれば、遅滞なく利用停止または第三者提供の停止を行う義務を負います。
ただし、事業者が利用停止や第三者提供の停止を実施するのが困難で、かつ権利利益の保護に向けた代替措置がとられている場合はこの限りではないとして事業者の利便性も図られています。
なお、事業者は、上記請求を受けた場合、実際に訂正・利用停止・第三者提供の停止を行なったか否かに関わらず、遅滞なく請求に対する対応内容を本人に通知しなければなりません。
本人の権利を拡大しながら事業者側の都合にも配慮しているのは今回の改正法の特徴といえます。
個人情報の不適正利用の禁止
個人情報保護法の改正により、事業者は、違法または不当な行為を助長し、または誘発するおそれがある方法により個人情報を利用することができなくなりました。
これまでは、不適正な方法による個人情報の取得を禁じていましたが、不適正な方法による個人情報の利用については、規制されていませんでした。
しかし、破産者マップの事案に代表されるように、個人情報の取得それ自体に何ら問題はないものの、違法または不当な利用方法によって、個人の権利利益が害される事案が生じました。
そこで、個人の権利利益を守るため、不適正な個人情報の利用を禁じ、これに抵触する場合には保有個人データの利用停止等を求めることができるようになりました。
保有個人データを利用する必要性が失われた場合とは
事業者が個人データを保有する意味は、事業者の事業目的のために活用し、その目的を達成させることにあります。
そうであれば、その事業を達成したり、中止するに至った場合には、個人データを持ち続ける理由がなくなります。
そのため、「個人データを取り扱う際に、特定した利用目的を達成し、その目的との関係では 当該個人データを保有する合理的な理由がなくなった場合」や 「特定した利用目的が達成されなかったものの、 事業自体が中止となった場合』には、保有個人データを保有する必要性がなくなったといえます。
例えば、
ダイレクトメールを送付するために個人データを保有していたところ、ダイレクトメールの送付を中止させたために、その個人データを保有しておく必要がなくなった場合、
商品の発送を利用目的 とする事案において当該発送作業が終了した場合、
商品の修理, サポー ト, メンテナンスを利用目的とする事案において、そのサポート期間が 終了した場合
などが考えられます。
短期保有データも含まれる
かつては6か月以内に消去される個人データは保有個人データに含まれていませんでした。
そのため、短期間で消去される個人データについて、事業者は本人への開示義務・訂正義務・利用停止に応じる義務を負いませんでした。
しかし、保有期間が短期間といえども、この期間中に個人データが漏えいするリスクはあり、これにより瞬く間に不特定多数に拡散され、取り返しのつかない事態が生じることも想定されます。
そこで、個人情報保護法の改正により、6か月以内に消去される個人データも保有個人データに含まれることになりました。
保有個人データの漏洩をした場合
保有個人データの漏洩した場合には、個人情報保護委員会への報告や本人への通知を要します。
この報告や通知をきっかけに、保有個人データの利用停止等の請求をすることができます。
保有個人データの漏洩時の対応については、後述のとおりです。
本人の権利や正当な利益が害されるおそれがある場合
事業者が保有個人データを保有し続けることで、その本人の権利利益を害するおそれがある場合、そのおそれが現実化する前に適切な対応をする必要があります。
そこで、本人の権利や正当な利益が害されるおそれがある場合には、事業者に対して保有個人データの利用停止や第三者提供の停止等を求めることが認められています。
具体的には、ダイレクトメールの送付停止を求めたにもかかわらず、ダイレクトメールの送付が止まないために、保有個人データの利用停止を求める場合、これに当たります。
事業者の責務を追加
改正法では従来の規定に比べて個人情報を取り扱う事業者の責務が追加されています。
改正前は努力義務だった
個人情報保護法の改正前においては、事業者は、個人データの漏えい、滅失、毀損またはこれらのおそれが発覚した場合、被害の拡大防止や事実関係の調査といった各事項について必要な措置を講ずることが望ましいとされていました。
事業者は、 漏えい事故等が発覚した場合は、 その事実関係及び再発防止策等について、個人情報保護委員会に対して、速やかに報告するよう努めることとされていました。
このように、漏えい等の事案が生じたとしても、事業者が講じる措置については、いずれも望ましい対応とされ、個人情報保護委員会への報告についても法的義務ではなく、努力義務とされていました。
改正後は責任が加重
本人への通知と委員会への報告
2020 (令和2)年の法改正により、事業者の責任が重たくなりました。
まず、個人情報取扱事業者は、個人データが漏えい、滅失、毀損があった場合、本人に対して、個人データの漏えい等が生じたことを通知しなければなりません。
改正前は努力義務であったのが、改正後は法的義務となりました。
ただし本人への通知が困難で、かつ本人の権利利益を保護する代替措置がとられていれば、本人への通知義務は発生しません。
また事業者が別の個人情報取扱事業者から委託を受けて個人データを取り扱っている場合には、委託元に通知をすれば足ります(22条の2、1項ただし書)。
また、個人情報保護委員会に対する報告についても、改正前は努力義務でしたが、改正により法的義務とされました。
漏えい等における措置について
改正前では、漏えい等における各措置は、望ましい対応とするのみでした。
しかし、これでは個人の権利保護に欠けるため、個人情報保護法の改正に伴い、この各措置のうち、以下の措置については、必要に応じて講じなければならないとされ、改正前よりも責任が加重されました。
• 事業者内部における報告及び被害の拡大防止
• 事実関係の調査及び原因の究明
• 影響範囲の特定
• 再発防止策の検討及び実施
事業者団体の認定制度を拡大
個人情報保護法に関連して、「認定個人情報保護団体」という事業者団体の認定制度があります。改正法では、その認定制度が拡大されています。
「認定個人情報保護団体」とは、本人や関係者からの苦情処理、個人情報についての情報の提供などの業務を行う民間団体で、認定を受けたものです。
改正前「認定個人情報保護団体」となるにはすべての分野(部門)で対応しなければならず、特定の分野のみでは認定を受けられませんでした。
改正法のもとでは特定の分野(部門)のみ対象にしても認定を受けられるようにして、事業者がより自主的・積極的に個人情報保護へ取り組めるようにはかっています。
仮名加工情報の新設と個人関連情報に関する規制
仮名加工情報とは⁉️
改正法では「仮名加工情報」とい概念が新設されました。
仮名加工情報とは、個人情報に加工処理をして、他の情報と照合しない限り、本人を特定できないようにされた個人情報です。
改正前の個人情報保護法では、個人情報を本人特定が不可能な程度に加工しても、加工前と同程度の規制が行われたので事業者が自由に情報を使いにくくなっていました。
それではイノベーションの促進に関する社会の養成に対応しにくいので、今回「仮名加工情報」として規制を緩和するに至りました。
仮名加工情報となるには「他の情報と照合しない限り個人を特定できない」程度に個人情報が加工されている必要があります。
例えば、氏名を削ったり、住所を黒塗りすることで、当該個人情報のみでは個人の特定できなくなれば、仮名加工情報となります。
匿名加工情報と統計情報
仮名加工情報に似た概念として、匿名加工情報と統計情報があります。
匿名加工情報は、復元ができないように処理したもので、復元が可能な仮名加工情報とは異なります。
統計情報は、複数の個人情報から共通する項目を抽出して同じ分類ごとに集計した情報のことです。例えば、顧客データベースを基に、20代・15%、30代・30%、40代・10%といった年齢分布に関する情報がこれに当たります。
なお、加工前情報等の他の情報との照合により特定個人の識別が可能となるため、個人情報には該当します。
仮名加工情報の利活用
仮名加工情報については個人データと区別され、情報開示や利用停止請求などへの対応義務が緩和されます。
まず、仮名加工情報には、利用目的の変更の制限がありません。
そのため、利活用する目的を公表する必要はありますが、本人に対して通知公表している利用目的以外の目的による利用が認められています。
また、仮名加工情報は、それ単体では特定個人の識別はできないことから、保有個人データの開示請求の対象にはなりません。
加えて、漏えい等が生じた場合にも、本人への通知義務や個人情報保護委員会への報告義務は対象から外れています。
第三者提供は認められていない
仮名加工情報は、事業者内部における分析のために利用されるものであって、外部に提供されることを予定していません。
そのため、仮名加工情報は、委託先や共同利用先ではない限り、第三者に対する提供は認められていません。
個人関連情報とは
個人関連情報とは、生存する個人に関する情報であって、個人情報、匿名加工情報、仮名加工情報のいずれにも該当しないものを言います。
Cookie(クッキー)などにより収集された、個人のウェブサイトの閲覧履歴があたります。
このような閲覧履歴だけでは、特定個人を識別することはできないため、個人情報には当たりません。
個人関連情報の第三者提供に関する規制
個人関連情報を第三者に提供する場合に、提供先のデータベースと紐づけることで、個人の識別ができるのであれば、個人データとして取得することになります。
そのため、第三者への提供に際して、個人データとして取得することが想定される場合には、提供を受ける側において本人の同意を取得することが必要となります。
違反した場合のペナルティを強化
改正法では、従来の規定よりも違反事業者に対するペナルティが強化されています。
個人情報保護法に違反すると、行政から指導勧告を受けたり措置命令を下されたりする可能性があります。
個人が措置命令に従わなかった場合、従来の規定では「6か月以下の懲役又は30万円以下の罰金刑」が適用されていたところ、改正法では「1年以下の懲役又は100万円以下の罰金」となって厳罰化されました。
監督官庁からの報告要請に従わなかった場合の罰則も「30万円以下の罰金」から「50万円以下の罰金」に引き上げられました。
また、法人に対する罰則はこれまで個人と同等(措置命令違反の場合に30万円、第三者への不正提供の場合に50万円)でしたが、改正法では「1億円以下」まで大幅に引き上げられています。
さらには、個人情報保護委員会による命令に違反した場合には、個人情報保護委員会はその命令違反の事実を公表することができるようになりました。
グローバル化に対応
改正個人情報保護法ではグローバル化に対応し、法の「域外適用」についても拡充されています。
域外適用の拡充とは、日本の個人情報保護法が外国事業者にも適用されやすくなったという意味です。
従来、外国事業者が個人情報保護法に違反しているおそれがあっても報告や命令、立入検査が行われる根拠がありませんでした。それでは個人の利益が守られないので、改正法では日本国内の個人情報等を扱う外国事業者も報告徴収や措置命令の対象としました。
今後は罰則についても外国事業者へ適用されます。
また個人情報取扱事業者が国外の第三者に個人データを提供する際には、情報の移転先事業者よる個人情報取扱い方法などの必要な情報を本人へ提供しなければなりません。
改正個人情報保護法の施行日
3年ごと見直し規定にもとづく改正内容は、2022年4月1日、すでに施行されています。
企業が改正個人情報保護法に対応するには、利用規約や社内の情報取り扱いシステムなどを変更しなければなりません。
自社のみで対応すると不備が生じる可能性があるので、お気軽に弁護士までご相談ください
最後に
情報通信技術の発展やグローバル化により。さまざまな個人情報の利活用方法が生み出されています。
これに伴って個人情報保護法令も改正されていき、事業者には、改正などに対応した適切な措置を講じることが求められます。
個人情報保護法の理解には高度な法的知識を要します。
当事務所では初回相談30分を無料で実施しています。
お気軽にご相談ください。
対応地域は、大阪市、大阪府全域、奈良県、和歌山県、その他関西エリアとなっています。