はじめに
平成27年改正個⼈情報保護法に設けられた「いわゆる3年ごと⾒直し」に関する規定(附則第12条)に基づき、2020年6月に個人情報保護法の改正が可決、成立しました。
⾃⾝の個⼈情報に対する意識の⾼まり、技術⾰新を踏まえた保護と利活⽤のバランス、越境データの流通増⼤に伴う新たなリスクへの対応等の観点から変更が加えられています。
こちらの記事では、具体的にどういった点が改正されたのか、その内容をご紹介いたします。
改正の時期は?
改正法は、2020年6月に参議院本会議で可決、成立されました。成立後はガイドライン等の整備が行われ、2年以内に施行される予定です。(2020年8月現在、明確な日程は決まっていません)
何が変わる?
1. 個⼈の権利の在り⽅
- 利⽤停⽌・消去等の個⼈の請求権について、これまでの「不正取得等の⼀部の法違反の場合」に加えて、「個⼈の権利⼜は正当な利益が害されるおそれがある場合」にもデータの利用停止や消去が請求可能になります。
- 保有個⼈データの開⽰⽅法について、本人が希望すれば電磁的記録での提供が選べるようになります。
- 個⼈データの授受に関する第三者提供記録について、これまでできなかった本⼈による開⽰請求が可能になります。
- 6ヶ⽉以内に消去する短期保存データについても、保有個⼈データと同様に開⽰、利⽤停⽌等の対象となります。(Pマークでは既に対象でしたが、個人情報保護法では対象ではありませんでした)
- オプトアウト規定により第三者に提供できる個⼈データの範囲を限定し、①不正取得された個⼈データ、②オプトアウト規定により提供された個⼈デー タ、についても対象外となります。
2. 事業者の守るべき責務の在り⽅
- 漏えい等が発⽣し、個⼈の権利利益を害するおそれがある場合に、個人情報保護委員会への報告及び本⼈への通知が義務化されます。
- 違法⼜は不当な⾏為を助⻑する等の不適正な⽅法により個⼈情報を利⽤してはならない旨を明確にします。
3. 事業者による⾃主的な取組を促す仕組みの在り⽅
- 認定団体制度について、現⾏制度(※1)に加え企業の特定分野(部⾨)を対象とする団体を認定できるようにします。
(※1)
現行の認定団体は対象事業者のすべての分野(部門)を対象としています。
4. データ利活⽤に関する施策の在り⽅
- イノベーションを促進する観点から、⽒名等を削除した「仮名加⼯情報」(※2)を創設し、内部分析に限定する等を条件に、開⽰・利⽤停⽌請求への対応等の義務を緩和します。
- 提供元では個⼈データに該当しないものの、提供先において個⼈データとなることが想定される情報の第三者提供について、本⼈の同意が得られていること等の確認が義務付けられます。
(※2)
「仮名加工情報」とは、他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報です。
これとは別に既に「匿名加工情報」という用語がありますが、こちらも特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものです。仮名加工情報の正確な要件や匿名加工情報との違いは今後検討され、改正法案で明らかにされます。
5. ペナルティの在り⽅
- 委員会による命令違反・委員会に対する虚偽報告等の法定刑が引き上げられます。
- (例1)命令違反:6月以下の懲役又は30万円以下の罰金
→1年以下の懲役又は100万円以下の罰金 - (例2)虚偽報告等:30万円以下の罰金
→50万円以下の罰金
- (例1)命令違反:6月以下の懲役又は30万円以下の罰金
- データベース等不正提供罪、委員会による命令違反の罰⾦について、法⼈と個⼈の資⼒格差等を勘案して、法⼈に対しては⾏為者よりも罰⾦刑の最⾼額が引き上げられます(法⼈重科)。
- (例1)個人と同額の罰金(50万円又は30万円以下の罰金)
→1億円以下の罰金
- (例1)個人と同額の罰金(50万円又は30万円以下の罰金)
6. 法の域外適⽤・越境移転の在り⽅
- ⽇本国内にある者に係る個⼈情報等を取り扱う外国事業者を、罰則によって担保された報告徴収・命令の対象とします。
- 外国にある第三者への個⼈データの提供時に、移転先事業者における個⼈情報の取扱いに関する本⼈への情報提供の充実等が求められます。
7. その他
- 本改正に伴い、「⾏政⼿続における特定の個⼈を識別するための番号の利⽤等に関する法律」及び「医療分野の研究開発に資するための匿名加⼯医療情報に関する法律」においても、⼀括法として所要の措置(漏えい等報告、法定刑の引上げ等)が講じられます。
対応・準備すべきこと
本改正により、個人情報保護方針や取扱い・運用についてのマニュアルを改正内容に沿って改訂する必要があります。またそれに伴い、フォーマットの文言も修正しなければなりません。
今回の改正内容には、6ヶ月以内に消去する短期保存データが開示や利用停止の対象となるというような、Pマーク制度では既に必須であった内容も含まれていますが、一方で、Pマーク制度に準じた取扱いよりも厳しくなる、あるいは変化する点もあります。
例えば、利用停止や消去の請求権の対象拡大に伴い、個人から請求がくる機会が増加する可能性が考えられますので、社内マニュアルの開示対象や開示方法についての記載の変更や、Webサイトの掲載文の見直しをするといったことが必要になってきます。
また、個人情報の漏えい発生時に、(今後の規則に定められると思われる)一定の基準に該当した場合は、委員会への報告と本人への通知が義務となります。他にも、仮名加工情報が創設されることにより、社内での当該情報の利用検討や、利用する場合の加工方法について確認しておく必要が出てきます。
個人情報保護法は個人の情報がしっかり保護されるよう企業が遵守すべき内容であり、個人はもちろん、それを守ることは会社を守ることにも繋がります。
この改正を機に、自社が個人情報をしっかり保護できる体制となっているか改めて見直していきましょう。