トップページ  >  連載  >  個人情報保護法6

個人情報保護法

令和4年3月10日

6.個人情報保護法について(令和4年4月施行にかかる改正内容)

これまで個人情報取扱事業者に課される義務の内容について各段階に応じた解説をしてきましたが、今回は、通常の連載は一休みし、令和4年4月から施行される改正内容をまとめてご紹介したいと思います。一部、これまでの連載でご紹介した内容もありますが改めてご確認ください。

 

今回ご紹介する改正内容は、2017年に施行された個人情報保護法の改正の際に盛り込まれた3年ごとの見直し規定に基づき、2020年(令和2年)に行われた最初の法改正になります。

その主な改正事項は以下のとおりです。

個人の権利保護の見直し
漏えい等発生時の個人情報保護委員会への報告及び本人への通知の義務化
不適正な方法による個人情報の利用禁止
認定個人情報保護団体の認定要件の一部緩和
仮名加工情報の新設
提供先で個人データとなる個人情報提供の規制
法の域外適用・越境移転
罰則の強化

上記のうち、⑧罰則の強化すでに令和2年12月12日から施行されていますが、それ以外は、令和4年4月1日から一斉に施行されます。以下、①から⑦の内容についてご紹介します。

 

個人の権利保護の見直し

(1)個人情報の利用停止や消去等を求める個人の請求権について、目的外利用や不正取得などの一部の法違反の場合に加えて、個人情報を利用する必要がなくなった場合や、重大な漏えい等が発生した場合及び個人の権利又は正当な利益が害されるおそれがある場合にも拡充されます。

個人の権利又は正当な利益が害される恐れがある場合とは、例えば、DMの送付先に送付停止依頼をしたにもかかわらず送付がされる場合や、退職したにもかかわらず退職先の会社のHPに自分がまだ従業員であるかのような記載がされている場合などが挙げられます。

(2)保有個人データの開示方法について、現行は原則書面交付だけですが、電磁的記録の提供を含め本人が開示請求できるようになります。個人情報取扱事業者は、原則として、本人が指示した方法により開示するよう義務付けられます。

(3)個人データの授受に関する第三者提供記録を本人が開示請求できるようになります。

(4)6か月以上保有することが保有個人データの要件でしたが、かかる要件が撤廃され、6か月以内に消去する短期保存データについても、保有個人データとして、開示や利用停止等の対象となります。

(5)不正手段により取得した個人データや、他の事業者からオプトアウト方式により提供された個人データについては、オプトアウト方式による第三者提供が禁止されます。オプトアウト方式についてはこちらをご参照ください。

 

漏えい等発生時の個人情報保護委員会への報告及び本人への通知の義務化

従前は、個人情報の漏えいが発生しても、個人情報保護委員会への報告や本人への通知は義務ではなかったので対応しない事業者も多くいました。そこで、漏えい等が発生し、個人の権利利益を害するおそれが大きい場合には、個人情報保護委員会への報告及び本人への通知が義務化されるようになります。

対象となる事案は、

・要配慮個人情報の漏えい

・不正アクセス等による漏えい

・財産的被害が生じるおそれのある漏えい等

・1,000件を超える大規模な漏えい

などとされています。上記3つに関しては件数にかかわりなく対象になりますので、1件でも漏えいがあれば、報告や通知が必要となります。    

不適正な方法による個人情報の利用禁止

個人情報取扱事業者が、違法または不当な行為を助長する等の不適正な方法により個人情報を利用してはならない旨が明確化されました。相当程度悪質なケースを想定しており、具体的には、違法行為を営む第三者に個人情報を提供する場合や、性別、国籍等の特定の属性のみにより、正当な理由なく本人に対する違法な差別的取扱いを行うために、採用選考を通じて取得した個人情報を利用する場合、広告配信業者が違法薬物の広告配信に個人情報を利用する場合などが挙げられます。

 

認定個人情報保護団体の認定要件の一部緩和

認定個人情報保護団体制度について、個人情報を用いた業務実態の多様化やIT技術の進展を踏まえ、企業の特定分野(部門)を対象とする団体を認定できるようになります。自主ルールの策定により、対象事業者に対する適切な指導等が期待されます。

 

仮名加工情報の新設

匿名加工情報があまり利用されていない現状に鑑み、新たに「仮名加工情報」が新設されました。詳細はこちらをご覧ください。

 

提供先で個人データとなる個人情報提供の規制

現行は、個人データ(個人情報)の第三者提供に際して、提供元の事業者において個人データ(個人情報)ではない情報は第三者提供の規制を受けませんが、改正により、提供元では個人データに該当しないものの、提供先において個人データとなることが想定される情報の第三者提供については、本人同意が得られていること等の確認が義務付けられるようになります。詳細はこちらをご覧ください。

 

法の域外適用・越境移転

日本国内の者への物の販売やサービスの提供に関連して、国内にある者を本人とする個人情報等を取り扱う外国事業者について、罰則によって担保された報告徴収・命令の対象となります。これにより取り締まりの権限が強化されます。例えば、外国のインターネット通信販売事業者が、日本の消費者に対する商品の販売・配送に関連して、日本の消費者の個人情報を取り扱う場合に、当該外国の事業者に対して、個人情報等の取扱いに関する報告や資料の提出を求めたり、事務所等への立ち入り、個人情報等の取扱いに関する質問や帳簿書類等の検査をすることができます。また、違反行為の中止等必要な措置をとるようにとの個人情報保護委員会の命令に違反した場合には、公表の対象となります。

また、外国にある第三者に個人データを提供する場合、移転先事業者における個人情報の取扱いに関する本人への情報提供の充実等が求められるようになります。具体的には、現行の要件である本人の同意に加えて、同意取得時に、移転先国の名称や移転先国における個人情報の保護に関する制度の有無などを本人に情報提供する必要があります。また、提供先は一定の基準に適合する体制を整備した事業者である必要があるところ、移転元は、移転先事業者の取り扱い状況等を定期的に確認した上で、本人の求めがある場合は関連情報を提供する必要があります。

 

以上が令和4年4月から施行される改正内容です。

会社としては、プライバシーポリシーの見直しや、万が一に備えて漏えい等の報告・本人通知の手順を整備、保有個人データの棚卸を行い本人からの開示請求等に備える、個人関連情報の利用状況や提供先の確認、個人データを外国の第三者に提供しているかの確認、などの対応が必要でしょう。

top