2021年に「個人情報の保護に関する法律」が改正され、2022年4月に施行されます。2003年に個人情報保護法が制定されてから、小さな改正はこれまでもありましたが、今回は抜本的な改正となります。どこが大きく変わるのか、それに対して企業は何に気をつけなくてはならないのか、改正前に確認しておきましょう。
「個人情報の保護に関する法律」改正の背景
「令和3年 改正個人情報保護法」がまもなく施行されます。個人情報保護法が施行された2003年とはIT技術も個人情報に関する意識も大きく変わり、越境データ(国境を越えて移動するデータ)の流通も増えていることを鑑みた改正となっています。
今回の改正の目的は主に以下のものが挙げられます。
1.個人の権利利益の保護
2.技術革新の成果による保護と活用の強化
3.越境データの流通増大に伴うリスクへの対応
4.AI・ビッグデータ時代への対応
個人情報保護法の何が変わる?
今回の改正で大きく変わるのは、次の6点です。
1.個人の権利の在り方
2.事業者の守るべき責務の在り方
3. 事業者による自主的な取組を促す仕組みの在り方
4. データ利活用に関する施策の在り方
5. ペナルティの在り方
6. 法の域外適用・越境移転の在り方
各項目についての詳細は後述しますが「5. ペナルティの在り方」というのは、法令違反の際のペナルティが強化されて法人に対する罰金が引き上げられるということです。そのため、個人情報を扱う事業者は改正法をしっかり確認しておくことが大切です。
改正のポイント6点
ここで、前述の6項目を詳しく見てみましょう。
1. 個人の権利の在り方
個人情報を保護する権利が強化されます。
今まで6カ月以内に消去するデータは個人データの扱いになっていませんでしたが、今後は期間にかかわらず保有個人データの扱いとなり、開示・利用停止などの対象になります。
現行では、個人情報を利用停止または消去するための請求は法違反の場合のみとされていましたが、改正後は個人の権利や正当な利益が害される場合も請求権の行使が可能です。
また、企業等が保有する個人データの開示を求める際、原則として書面の交付だったものが、電磁的記録も含まれるようになり、第三者への提供についての記録についての本人による開示請求も可能になります。(現行では、事業者が作成した第三者提供記録を開示請求することは不可とされていました。)
不正取得された個人データや、オプトアウト規定に則り他の個人情報取扱事業者から提供された個人データも、第三者提供が不可能です。
※オプトアウト規定というのは、個人データのうち提供できる項目を公表すれば本人の同意がなくとも第三者に個人データを提供できる制度です。
2. 事業者の守るべき責務の在り方
企業等が個人情報を漏洩し、個人の権利や利益を害するおそれがある場合は、個人情報保護委員会に報告して個人に通知することが義務化されます。
また、違反や不適切な方法で個人情報を利用してはいけない、ということが明文化されました。これは当然のことではあるのですが、現行では明確な記載がなかったのです。
3. 事業者による自主的な取組を促す仕組みの在り方
現行では、個人情報を扱う対象事業者の全ての分野(部門)が対象となっていましたが、改正後は企業内の特定の分野(部門)のみの認定ができるようになります。
4. データ利活用に関する施策の在り方
個人情報は、個人が特定されないためにデータを加工することが求められていて、それに関連した制約・ルールがありました。
今回、「仮名加工情報」制度が新設され、これに該当するデータは開示・利用停止請求の対応等の義務が緩和されます。
仮名加工情報とは、名前を仮のIDにするなどして、個人を特定できないように加工することです。
例:加工前)氏名/年齢/年月日/時刻/金額/店舗
加工後)仮ID/年齢/年月日/時刻/金額/店舗
5. ペナルティの在り方
個人情報に関する虚偽報告などがあった場合の法定刑が引き上げられます。特に、法人に対しては行為者よりも罰金が大きくなります。
| 懲役刑 | 罰金刑 | ||||
|---|---|---|---|---|---|
| 現行 | 改正後 | 現行 | 改正後 | ||
| 個人情報保護委員会からの命令への違反 | 行為者 | 6月以下 | 1年以下 | 30万円以下 | 100万円以下 |
| 法人等 | – | – | 30万円以下 | 1億円以下 | |
| 個人情報データベース等の不正提供等 | 行為者 | 1年以下 | 1年以下 | 50万円以下 | 50万円以下 |
| 法人等 | – | – | 50万円以下 | 1億円以下 | |
| 個人情報保護委員会への虚偽報告等 | 行為者 | – | – | 30万円以下 | 50万円以下 |
| 法人等 | – | – | 30万円以下 | 50万円以下 | |
出典:個人情報保護委員会「個人情報保護法令和2年改正及び令和3年改正案について」
6. 法の域外適用・越境移転の在り方
日本の個人情報等を海外で取扱う場合、現行では指導及び助言など、強制力のない権限になっていましたが、今回の改正で海外の事業者も罰則によって担保された報告徴収・命令の対象となりました。
つまり、海外事業者に対しても、個人情報の取扱いについて厳格に対応が求められるようになったのです。
まとめ
・改正個人情報保護法が2022年4月に全面施行
・罰則が厳格化されるため企業は早めに確認・対応を
・「仮名加工情報」によりイノベーション促進にも
【2022年1月27日開催!】アフターコロナのハイブリッドワークと改正個人情報保護法対策セミナー
お客様のビジネスを「Boost」するために、ハイパーの「声」をお届けします。