ニュース

2022年(令和4年)施行される個人情報保護法改正の注意点・ポイントを解説

ニュース

令和4年6月23日、兵庫県尼崎市より個人情報が記録されたUSBメモリーの紛失事故が発表されました。翌日24日に発見に至ったものの、個人情報の取扱について、今一度考えさせられる事案となったのではないでしょうか。

2020年に公布された改正個人情報保護法は、2022年4月より全面施行となりました。また、デジタル改革関連法の「個人情報保護制度の官民一元化」を目的とした改正も、2021年5月19日に公布され、2022年9月1日施行となります。

そこで今回は改正個人情報保護法について、主な変更点を改めて振り返っていきたいと思います。

2022年の改正では個人の権利が拡充されます

2022年の改正前は、本人による個人情報の利用停止・消去の請求は、目的外利用や不正の手段で取得された場合に限られていました。第三者提供の停止についても、第三者提供義務違反の場合のみに限られており、本人が望んでいない形で個人情報が利用されていたとしても、法違反でなければ、利用停止等の請求ができませんでした。

改正後は、取扱事業者が個人情報を利用しなくなった場合や、重大な漏洩等が発生した場合、本人の権利または正当な利益が害されるおそれがある場合などについても、利用停止等の請求が行えるようになりました。

また、個人情報取扱事業者に対する個人情報の第三者提供記録の開示請求権の新設や、6ヶ月以内に消去される個人情報(短期保存データ)についても、開示、利用停止等の対象となるなど、個人の権利利益の保護に対する必要な措置が整備されました。

事業者の守るべき責務の追加

事業者が守るべき責務として、「個人情報漏洩時の報告義務」「不適正な方法による利用の禁止」が追加されました。

「個人情報漏洩時の報告義務」について、改正前は個人情報保護委員会への報告は努力義務とされており、本人への通知についても法律上の義務ではありませんでした。それゆえ、積極的に対応しない事業者も一部存在しており、委員会が事案を把握できないまま、適切な対応が行えないおそれがありました。改正後は、個人の権利や利益を害するおそれが大きい漏洩について、個人情報保護委員会への報告及び本人への通知を義務化しています。

義務化の対象事案は以下の4つです。

  • 要配慮個人情報の漏洩等
  • 不正アクセス等による漏洩等
  • 財産的被害のおそれがある漏洩等
  • 一定数以上の(1,000件超)大規模な漏えい等

※要配慮の個人情報の漏洩等、不正アクセス等による漏洩等、財産的被害のおそれがある漏洩等については、件数に関わりなく報告が必要です。

「不適正な方法による利用の禁止」については、これまで法律上明文化はされていませんでしたが、改正に伴い明文化されました。「不適正な方法」とは、違法行為を営む第三者への個人情報提供や、裁判所による公告等により散在的に公開されている個人情報を集約して、インターネット上で公開することで差別を誘発する等、違法又は不当な行為を助長するおそれのある利用方法を指しています。

事業者による自主的な取組を促す仕組み

個人情報保護法では、個人情報保護委員会の他に、本人や関係者からの個人情報取扱いに関する苦情処理や、個人情報等の適正な取扱いに関する情報提供、その他個人情報等の適正な取扱いの確保に関して必要な業務を自主的に行う民間団体を「認定個人情報保護団体」として認定する、認定団体制度を設けています。

2022年施行の改正前、認定個人情報保護団体の業務は個人情報取扱事業者のすべての分野(部門)を対象とする必要がありましたが、改正法では特定分野(部門)だけを対象にできるようになりました。

これにより、事業者の自主的な個人情報保護への取り組みを推進しています。

第1回 生命科学・医学系研究等における個人情報の取扱い等に関する合同会議(METI/経済産業省)

データ利活用の促進

2022年の改正前は、個人情報を加工して個人を特定できないようにした場合であっても、加工前の情報と同等に厳格な規制の対象となっていました。

改正後は、仮名加工した個人情報を「仮名加工情報」と新たに定義し、仮名加工情報取扱事業者の内部分析に限定する等を条件に、開示・利用停止請求についての対応等の義務が緩和されました。

また、提供元では個人データに該当しないものの、提供先において個人データとなることが想定される情報の第三者提供について、本人の同意が得られていること等の確認義務が新たに設けられました。

2022年の改正後はペナルティ(法定刑)の引き上げが強化されます

今回の改正では、措置命令違反、報告義務違反、個人情報データベース等の不正流用をした個人及び法人に対する罰則が重くなりましたが、中でも法人に対する罰則は、法人と個人の資力格差等を勘案して、大幅に引き上げられています(法人重科)。

回生個人情報保護法には外国事業者への罰則が追加されます

外国事業者は報告徴収・命令および立入検査などの対象ではありませんでしたが、改正法では日本国内にある者に係る個人情報等を取り扱う外国事業者についても、報告徴収・命令の対象となり、罰則も適用されることになりました。

また個人情報取扱事業者が、外国にある第三者へ個人データを提供する場合、移転先事業者における個人情報の取扱いに関する本人への情報提供義務などが規定されました。

まとめ

以上が主な改正ポイントです。

事業者として特に留意すべきは「事業者の守るべき責務」と「ペナルティ(法定刑)の引き上げ強化」でしょう。こうした法改正情報を正しく把握し、安全かつ適正な取り扱いを行っていきたいものです。

PAGE TOP