個人情報保護法改正のポイントを解説したガイドブックが公開
2022/2/2
株式会社バルテックは、2022年4月に改正される「個人情報保護法」のポイントを分かりやすく解説したガイドブックを公開したと発表した。事業者の義務や罰則など、理解しておくべき事項を詳しく説明している。
■ガイドブック目次
・個人情報保護法の改正をさらに詳しく解説
・改正により違法、制限される行為を具体的な事例を用いて紹介
・情報漏洩に関する脅威(サイバー攻撃など)
・セキュリティ対策のヒントを紹介
2022年4月改正の6つのポイントを解説する。
・改正ポイント①
【改正ポイント① 個人の権利を強化 要点まとめ】
保有個人データの利用停止・消去に関する権利が拡大
保有個人データの開示方法が選べるように、デジタル化も
短期保存データも保有個人データの対象に
第三者に提供できる情報の範囲を制限
個人データ授受についての記録を開示できるように
新法:保有個人データの利用停止・消去・第三者への提供停止を請求できる場面が追加。旧法の場面に加えて、下記の場面でも請求できるようになった。
・個人情報取扱事業者が、保有個人データを利用する必要がなくなったとき
・保有個人データの漏えい等が生じたとき
・保有個人データの取扱いにより、本人の権利又は正当な利益が害されるおそれがあるとき
保有個人データの開示方法が選べるように、デジタル化も
旧法:保有個人データの開示方法は書面に限定されていた。
新法:本人の指定する方法での開示が義務付けられるように。電磁的記録での提供も可能になった。
短期保存データも保有個人データの対象に
旧法:6ヶ月以内に消去する短期保存データは保有個人データに含まれず、事業者は本人による開示・訂正・利用停止に応じる義務がなかった。
新法:短期保存データも保有個人データに含まれるように。開示・訂正・利用停止義務の対象となった。
第三者に提供できる情報の範囲を制限
オプトアウト規定により第三者に提供できる個人データの範囲が制限されることになった。
旧法:提供が制限される情報
・要配慮個人情報
新法:提供が制限される情報
・不正取得された個人データ
・オプトアウト規定により提供された個人データ
個人データ授受についての記録を開示できるように
旧法:事業者の情報提供について本人が追跡する手段がなく、不正な情報取得が見逃されていた。
新法:第三者提供記録を本人が開示請求できるように。
事業者には「第三者提供記録」の作成が義務付けられている。情報を提供する側/される側双方に作成義務があり、今回の改正ではその記録を本人が開示できるようになった。
・改正ポイント②
事業者の義務を強化
漏えい等発生時、個人情報保護委員会と本人への報告が義務化
個人情報の不適正な利用を禁止
漏えい等発生時の報告義務化
漏えい等が発生し、個人の権利・利益を害するおそれがある場合に、個人情報保護委員会と本人へ通知することが義務付けられた。報告が必要な場面は以下の通り。
<報告義務がある場面>(下記が発生または発生したおそれがある場合)
・要配慮個人情報が含まれる個人データの漏えい・滅失・毀損
・不正利用により財産的被害が生じるおそれがある個人データの漏えい・滅失・毀損
・不正な目的で行われたおそれがある個人データの漏えい・滅失・毀損
・個人データに係る本人の数が1,000人を超える漏えい・滅失・毀損
個人情報の不適正な利用を禁止
個人情報を不適正に利用してはならない旨が明文化された。
具体的な事例として、「違法行為を営む第三者への個人情報提供」「裁判所による公告等により散在的に公開されている個人情報について、差別が誘発されるおそれがあることが十分に予見できるにもかかわらず、集約してデータベース化しインターネット上で公開する」などが該当する。
・改正ポイント③ 罰則を強化
罰則を強化
法人の罰金刑について最高額を引き上げ罰則が強化される
大きな変更点としては、命令違反・データベース等不正提供があった場合に法人に科される罰金が「1億円以下」まで大幅に引き上げられたことが挙げられる。旧法では行為者個人と同額(命令違反:30万円以下、不正提供:50万円以下)だったが、事業者による組織的な犯罪の抑止・個人との資力の差が考慮され引き上げられた。
改正ポイント④ 認定団体制度の見直し
認定団体制度において、特定分野・部門を対象とする団体を認定
認定団体(認定個人情報保護団体)とは、民間による個人情報保護の推進を目的に、個人情報保護委員会が認定する団体を指す。
<認定団体の業務例>
・個人情報保護指針の作成
・対象事業者の指導・監督
・対象事業者への苦情を公正な立場から処理
・対象事業者における漏えい等発生時の対応
旧法では対象事業者のすべての分野・部門における業務を行っていたが、新法では特定分野・部門の業務を行う団体も認定されることになった。
「通信販売」「証券」「保険」など企業の特定分野における業務(個人情報保護の指導や苦情処理)が可能になり、専門知識が必要な分野における民間による個人情報保護を推進する。
改正ポイント⑤ データ利活用の促進
「仮名加工情報」を創設、条件付きで事業者の義務を緩和
提供先で個人を識別される可能性がある情報提供には本人の同意が必要に
「仮名加工情報」を創設、条件付きで事業者の義務を緩和
「仮名加工情報」とは、氏名を削除するなど個人を識別できないよう加工した情報を指す。
今回の改正で、内部分析に限定すること等を条件に、事業者の義務が緩和されることになった。仮名加工情報であれば、漏えい等の報告義務や、開示請求・利用停止等の適用対象外となる。
改正の背景には、2019年に大きな問題となった「リクナビ問題」があるという。提供元であるリクルートキャリア社が、個人を識別しない方式で内定辞退率を算出。提供先企業では個人の識別が可能であることを知りながら、同意を得ずに情報提供していたことから問題になった。改正により、同様のケースでは情報提供の際に学生本人の同意が必要になる。
改正ポイント⑥ 外国事業者の規制強化
外国事業者も報告徴収・立入検査・命令が適用されるように
旧法では、外国事業者は個人情報保護委員会の報告徴収や立入検査、命令の適用外であり、委員会は指導や助言・勧告など強制力を持たない対応しかできなかった。もちろん罰則も適用されない。
しかし、今回の改正により、国内にある者の個人情報を扱う事業者のうち、法に違反している恐れがある外国事業者に対して報告徴収・立入検査・命令が可能になる。
改正の背景には、インターネットの発展により、国境を超えた個人情報の取り扱いが増加したことが挙げられる。外国事業者が運営するECサイトで商品を購入することは当たり前の行為であることから、「日本の消費者の個人情報を取り扱う事業者」として規制が強化されることになった。
・改正により違法、制限される行為を具体的な事例を用いて紹介
・情報漏洩に関する脅威(サイバー攻撃など)
・セキュリティ対策のヒントを紹介
2022年4月改正の6つのポイントを解説する。
・改正ポイント①
【改正ポイント① 個人の権利を強化 要点まとめ】
保有個人データの利用停止・消去に関する権利が拡大
保有個人データの開示方法が選べるように、デジタル化も
短期保存データも保有個人データの対象に
第三者に提供できる情報の範囲を制限
個人データ授受についての記録を開示できるように
新法:保有個人データの利用停止・消去・第三者への提供停止を請求できる場面が追加。旧法の場面に加えて、下記の場面でも請求できるようになった。
・個人情報取扱事業者が、保有個人データを利用する必要がなくなったとき
・保有個人データの漏えい等が生じたとき
・保有個人データの取扱いにより、本人の権利又は正当な利益が害されるおそれがあるとき
保有個人データの開示方法が選べるように、デジタル化も
旧法:保有個人データの開示方法は書面に限定されていた。
新法:本人の指定する方法での開示が義務付けられるように。電磁的記録での提供も可能になった。
短期保存データも保有個人データの対象に
旧法:6ヶ月以内に消去する短期保存データは保有個人データに含まれず、事業者は本人による開示・訂正・利用停止に応じる義務がなかった。
新法:短期保存データも保有個人データに含まれるように。開示・訂正・利用停止義務の対象となった。
第三者に提供できる情報の範囲を制限
オプトアウト規定により第三者に提供できる個人データの範囲が制限されることになった。
旧法:提供が制限される情報
・要配慮個人情報
新法:提供が制限される情報
・不正取得された個人データ
・オプトアウト規定により提供された個人データ
個人データ授受についての記録を開示できるように
旧法:事業者の情報提供について本人が追跡する手段がなく、不正な情報取得が見逃されていた。
新法:第三者提供記録を本人が開示請求できるように。
事業者には「第三者提供記録」の作成が義務付けられている。情報を提供する側/される側双方に作成義務があり、今回の改正ではその記録を本人が開示できるようになった。
・改正ポイント②
事業者の義務を強化
漏えい等発生時、個人情報保護委員会と本人への報告が義務化
個人情報の不適正な利用を禁止
漏えい等発生時の報告義務化
漏えい等が発生し、個人の権利・利益を害するおそれがある場合に、個人情報保護委員会と本人へ通知することが義務付けられた。報告が必要な場面は以下の通り。
<報告義務がある場面>(下記が発生または発生したおそれがある場合)
・要配慮個人情報が含まれる個人データの漏えい・滅失・毀損
・不正利用により財産的被害が生じるおそれがある個人データの漏えい・滅失・毀損
・不正な目的で行われたおそれがある個人データの漏えい・滅失・毀損
・個人データに係る本人の数が1,000人を超える漏えい・滅失・毀損
個人情報の不適正な利用を禁止
個人情報を不適正に利用してはならない旨が明文化された。
具体的な事例として、「違法行為を営む第三者への個人情報提供」「裁判所による公告等により散在的に公開されている個人情報について、差別が誘発されるおそれがあることが十分に予見できるにもかかわらず、集約してデータベース化しインターネット上で公開する」などが該当する。
・改正ポイント③ 罰則を強化
罰則を強化
法人の罰金刑について最高額を引き上げ罰則が強化される
大きな変更点としては、命令違反・データベース等不正提供があった場合に法人に科される罰金が「1億円以下」まで大幅に引き上げられたことが挙げられる。旧法では行為者個人と同額(命令違反:30万円以下、不正提供:50万円以下)だったが、事業者による組織的な犯罪の抑止・個人との資力の差が考慮され引き上げられた。
改正ポイント④ 認定団体制度の見直し
認定団体制度において、特定分野・部門を対象とする団体を認定
認定団体(認定個人情報保護団体)とは、民間による個人情報保護の推進を目的に、個人情報保護委員会が認定する団体を指す。
<認定団体の業務例>
・個人情報保護指針の作成
・対象事業者の指導・監督
・対象事業者への苦情を公正な立場から処理
・対象事業者における漏えい等発生時の対応
旧法では対象事業者のすべての分野・部門における業務を行っていたが、新法では特定分野・部門の業務を行う団体も認定されることになった。
「通信販売」「証券」「保険」など企業の特定分野における業務(個人情報保護の指導や苦情処理)が可能になり、専門知識が必要な分野における民間による個人情報保護を推進する。
改正ポイント⑤ データ利活用の促進
「仮名加工情報」を創設、条件付きで事業者の義務を緩和
提供先で個人を識別される可能性がある情報提供には本人の同意が必要に
「仮名加工情報」を創設、条件付きで事業者の義務を緩和
「仮名加工情報」とは、氏名を削除するなど個人を識別できないよう加工した情報を指す。
今回の改正で、内部分析に限定すること等を条件に、事業者の義務が緩和されることになった。仮名加工情報であれば、漏えい等の報告義務や、開示請求・利用停止等の適用対象外となる。
改正の背景には、2019年に大きな問題となった「リクナビ問題」があるという。提供元であるリクルートキャリア社が、個人を識別しない方式で内定辞退率を算出。提供先企業では個人の識別が可能であることを知りながら、同意を得ずに情報提供していたことから問題になった。改正により、同様のケースでは情報提供の際に学生本人の同意が必要になる。
改正ポイント⑥ 外国事業者の規制強化
外国事業者も報告徴収・立入検査・命令が適用されるように
旧法では、外国事業者は個人情報保護委員会の報告徴収や立入検査、命令の適用外であり、委員会は指導や助言・勧告など強制力を持たない対応しかできなかった。もちろん罰則も適用されない。
しかし、今回の改正により、国内にある者の個人情報を扱う事業者のうち、法に違反している恐れがある外国事業者に対して報告徴収・立入検査・命令が可能になる。
改正の背景には、インターネットの発展により、国境を超えた個人情報の取り扱いが増加したことが挙げられる。外国事業者が運営するECサイトで商品を購入することは当たり前の行為であることから、「日本の消費者の個人情報を取り扱う事業者」として規制が強化されることになった。
