個人情報保護法は、定期的に見直しをされる法律です。情報の利用の形態は日進月歩であり、この状況の変化に十分な個人情報の保護を図る必要があるためです。
定期的、というのはおおむね3年ごとの改正を指していますが、令和2年も改正があり、施行は令和4年の4月とされています。そこで、対応のポイントや、改正のアウトラインについてまとめてお伝えします。
また、個人情報保護法の改正に伴い企業が対応すべきポイントをまとめた資料を用意しましたのでぜひ無料でダウンロードしてくだされば幸いです。
改正法について徹底解説!企業がすべき対応がわかる!
個人情報保護法についておさらい
個人情報保護法は、個人の権利・利益の保護と個人情報の有用性とのバランスを図るための法律とされています。個人の情報をコントロールする権利と、事業者の利用のバランスを法律によって図ることがこの法律の役割です。
法律の下敷きにしているのは、OECD原則とされ、基本理念を定めるほか、民間事業者の個人情報の取扱いについて規定しています。
OECD原則とは、次の通りの8つの原則であり、各国の個人情報法制の中で具体化されています。詳しくは、次のリンクをご覧ください。個人が自身の有する情報をコントロールする権利がこの原則の中に含意されており、特に個人参加の原則といって、個人が同意ないし拒否する・開示を求める・削除や訂正を請求するなどの「参加」を行うことは、各国の個人情報保護法制の根幹とされています。
原則1「収集制限の原則」
原則2「データ内容の原則」
原則3「目的明確化の原則」
原則4「利用制限の原則」
原則5「安全保護の原則」
原則6「公開の原則」
原則7「個人参加の原則」
個人情報の定義とは
個人情報の定義については、個人情報保護法第二条に次のような記載があります。
第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
個人情報の保護に関する法律より
一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ。)で作られる記録をいう。以下同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二 個人識別符号が含まれるもの
この条文から、個人情報とは、文字や記号、あるいは符号により記述され、個人を特定可能にする情報を広くさすものであると考えられます。
個人情報保護法は定期的に改正される
個人情報保護法の主務官庁であり、個人情報取扱事業者の監督を行う個人情報保護委員会では、定期的に個人情報保護法の改正に必要な検討を進めています。
個人情報保護法平成27年改正法附則12条3項においては、政府は「同法の施行後3年を目途として、個人情報の保護に関する国際的動向、情報通信技術の進展、それに伴う個人情報を活用した新たな産業の創出および発展の状況等を勘案し、平成27年改正法による改正後の個人情報保護法の施行の状況について検討を加え、必要があると認めるときは、その結果に基づいて所要の措置を講ずる」こととされています。
実際に、上記平成27年改正法附則第12条の規定を踏まえ、「いわゆる3年ごと見直し」について、平成30年12月から、個人情報保護をめぐる国内外の政策、技術、産業等の状況等についての実態把握や、様々な分野の方からのヒアリング等を通じて、具体的な検討を進めていました。
個人情報保護委員会は、平成31年4月25日には、検討の中間整理として「個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理」を公表し、令和元年12月13日には、個人情報保護法の3年ごと見直しの内容を取りまとめた「個人情報保護法 いわゆる3年ごと見直し 制度改正大綱」を公表しています。
令和2年の個人情報保護法の改正について
令和2年の個人情報保護法の改正のポイントは以下の通りにまとめられます。本人の権利保護や、事業者の責務・刑事罰などのペナルティ、外国事業者への報告徴収・立ち入り検査などの措置が規定されるなど、個人情報取扱事業者にとっては、対応に注意すべきポイントがあります。
一方で、データの利活用の促進のための規定・認定団体制度といった法律の外で個人情報保護法の趣旨を実現する方法も規定されるなど、事業者の実態にも配慮がされており、規制を厳格にする一方ということでもない面があります。
本人の権利保護が強化される
第三者提供の記録の開示が請求できるようになる、6か月以内に消去されるデータについても、開示・削除の対象とする・不正取得されたデータへの開示請求ができるようになるなど、本人の情報をコントロールする権利の強化が図られています。
欧州のGDPRでも海外へのデータ移転の制限が規定されていることですが、外国にある第三者への個人データの提供を認める旨の本人の同意についても改正法では規定され、同意を取得することが必要になりました。自社の現地法人についても、ここでいう「第三者」に含まれることには注意が必要です。
事業者の責務が追加される
情報漏えいなどの事案について、個人情報保護委員会と本人への通知が義務化されます。また、違法または不当な行為を助長するなどの不適正な個人情報利用に対して、制限を明確化しています。
企業の特定分野を対象とする団体の認定団体制度が新設される
これは事業者の自主規制などの取り組みを促進するためのもので、法律だけでなく、各産業界の自主規制に法律の内容を任せる効果があります。今まで認定団体は、全業界を対象としていましたが、業界ごとのに団体を認めることが改正法の特徴です。
こうした自主規制のことを「ソフトロー」と呼びます。法律の強制ではなく、産業界の「自覚と責任」を促し、規制と同様の効果を自主的に達成させる効果があります。例えば、証券業界における日証協規則などの発想と同様です。
データの利活用が促進される
「仮名加工情報」を創設、内部分析などの利用では、開示・利用停止請求への対応義務を緩和するなど、イノベーションを促進する観点からの規制の緩和を行っています。
その一方、今まで法令で明確になっていなかった「提供元では個人データに該当しないものの、提供先において個人データとなることが想定される情報の第三者提供」について、本人同意が得られていること等の確認を義務付けます。規制が厳しくなるように見えますが、この同意の確認手続きの必要性について明確にしないと利用しにくいとも考えられ、利用を促進する側面があります。
法令違反に対するペナルティが強化される
個人情報保護委員会による命令違反・個人情報保護委員会に対する虚偽報告等の法定刑を引き上げています。
- 命令違反
6か月以下の懲役または30万円以下の罰金→1年以下の懲役または100万円以下の罰金 - 虚偽報告等
30万円以下の罰金→50万円以下の罰金
データベース等不正提供罪、個人情報保護委員会による命令違反の罰金については、特に法人に対し、1億円以下の罰金を科すなど、資力に見合った法定刑の引き上げがあります。
外国の事業者に対する、報告徴収・立入検査などの罰則が追加される
法令を日本以外に適用することを域外適用といいますが、今回の改正法では、域外適用が規定されたことが特徴です。情報は国境を超えることが普通かつ容易であり、海外の事業者が強力に個人情報の利用を行っていること、海外のアウトソーサーを利用することも多いことなどから、域外適用を罰則付きで規定しています。
平成27年の個人情報保護法の改正について
なお、平成27年の個人情報の改正を最後に少しだけおさらいしておきますと次の通りです。
- 個人情報保護委員会の新設
- マイナンバー制度に合わせ、個人情報保護委員会が創設され、監督権を行使することとなりました。
- 個人情報の定義の明確化
- 「個人識別符号」という概念が新しく登場しています。個人識別符号は、指紋や生体認証情報などが含まれており、個人を特定することができます。特にスマホの進化に対応し、個人情報の定義に定められたものと言われています。
- 個人情報の有用性を確保(利活用)するための整備
- 個人情報の利用目的について、「変更前の利用目的と相当の関連性を有すると合理的に認められる範囲」で変更可能とされ、また、本人の同意が必要とされていた変更が、通知・公表で足りることとなりました。
- いわゆる名簿屋対策
- 第三者提供のオプトアウトが可能になり、いわゆる名簿屋への提供を本人が拒否できるようになりました。
まとめ
令和4年施行予定の、令和2年個人情報保護法の改正は、海外への第三者提供に関する本人の同意の取得・子会社などを含む海外事業者に対する監督・短期で削除するデータについても開示等に応じる必要がある場合に備えて窓口案内や書式を準備するなど、企業側でも同意書・社内規定などで対応しておくべき点があります。こうした対応のポイントを押さえて、すみやかに準備をしておきましょう。
また、個人情報保護法の改正に伴い企業は自社のプライバシーポリシーや規定を変更するなどの対応が必要となります。
どう対応すればいいのか悩んでいる方向けに、対応すべきポイントをまとめた資料を作成しておりますのでぜひ無料でダウンロードして参考にしてくだされば幸いです。