2022年4月施行の改正個人情報保護法とは？6つの改正点と対応のポイントを解説

個人情報への関心は年々高まっています。個人情報保護法が2022年4月に改正され、個人情報を取り扱う企業の担当者のなかには、どのような対応をすればよいのか悩む人もいるのではないでしょうか。

この記事では、企業の経営層や法務担当者に向けて、改正された内容や、改正に対応するために実施すべきポイントを解説します。ぜひお役立てください。

※この記事は2022年10月時点の情報を基にしています。最新情報・詳細については公式の情報をご確認ください。

改正個人情報保護法とは

個人情報保護法は、個人情報が悪用されたり外部へ流出したりすることを防ぐ目的で制定された法律です。社会情勢や個人情報の活用方法の変化などに合わせて、制定後も定期的に改正が行われています。

公布日・施行日

2020年6月12日に改正が公布され、2022年4月1日から施行されました。ただし、後述する6つの改正点のうち「法令違反に対するペナルティの強化」のみ、他の項目に先駆けて法改正が公布された年の2020年12月12日からすでに施行されています。

個人情報保護法の制定と改正の歴史

個人情報保護法はどのような流れで制定され、どのような基準で改正されるのでしょうか。制定と改正の歴史を確認してみましょう。

国際的に個人情報保護の機運が高まり制定

個人情報保護法の元となるのが、1980年にOECD（経済協力開発機構）が打ち出したガイドライン「規範となる8つの原則」です。収集制限や目的明確化、利用制限など8つの原則が盛り込まれており、このガイドラインは世界各国のプライバシーに関する法律の基本となっています。

1980年以降は日本でも個人情報を利用するケースが増え、プライバシーを侵害されるリスクが高まりました。そこでOECDのガイドラインを取り込む形で、2003年に個人情報保護法が公布、2005年に施行されました。

2015年に最初の改正

2005年の法律制定後、クラウドサービスなどの情報通信技術は年々拡大を続け、個人情報に関するデータを活用する範囲が広がりました。時代と共に制定当時は想定していなかったデータの活用法や、社会情勢は変化しています。最初の法律が制定されて10年が経過した2015年に改正個人情報保護法が公布、2017年に施行されました。

「3年ごと見直し規定」が定められる

変化する個人情報活用の強化やAI・ビッグデータなどの情報通信技術の進歩、越境データの流通拡大などの動向などに対応するため、2015年の法改正では、3年ごとに内容を見直す「3年ごと見直し規定」も定められました。2022年に実施されたのは、この規定に沿って行われた最初の改正です。

個人情報保護委員会が示す5つの視点

個人情報保護委員会とは、2015年の法改正によって2016年1月に設置された、委員長および8人の委員で構成されている委員会です。改正について同委員会は5つの視点を示しています。

個人の権利利益の保護

個人情報を提供する個人が自分のデータがどのように取り扱われるのか気になったり、関与したりするようになり、個人情報に対する関心は高まってきています。そこで、個人の権利や利益を守るための措置を十分に整備しなければならないとしています。

技術?新の成果による保護と活?の強化

技術革新を守りつつ活用することの重要性は、改正前の内容でも盛り込まれていました。技術革新を守ることと有益な活用は改正後も重要として、引き続き技術革新の成果を守りつつ、経済成長のために利用できるような制度を整備する必要があるとしています。

国際的な制度調和・連携　国際的潮流との調和

先述した通り、個人に関するデータが国外へ流通するケースが増えたことや、個人情報に関連する制度の立法や改正が世界的に行われていることを踏まえて、社会のグローバル化に対応するべく「外国との調和・連携する制度にしなければならない」としています。

越境データの流通増大に伴う新たなリスクへの対応

国境を越えたクラウドサービスなどでの利用、海外事業者のサービスの利用、製品の原材料や部品の調達から販売までの一連の流れを意味するサプライチェーンの複雑化が進んでいます。そのため「越境データの流通拡大に伴い個人が直面するリスクも変化しており、そのリスクにも対応しなければならない」としています。

AI・ビッグデータ時代への対応

AI・ビッグデータ時代を迎え、個人情報に関するデータの活用方法が多様になりました。それに伴いデータを提供した人が、自分のデータを活用する目的やどのように取り扱われているのかなどを把握するのが難しくなってきています。

そこで事業者は本人への説明責任を果たすだけでなく、本人の予測可能な範囲内で適切に利用できる環境を整備しなければならないとしています。

個人情報保護法の6つの改正点

ここからは、2022年の改正で新たに設けられた改正点6つを解説します。

本人の権利保護を強化し請求権が拡大

改正前は何らかの方法で不正に取得されたデータのみが利用停止・消去を求められる対象でした。改正後はこれに加えて、個人の権利または正当な利益が害されるおそれがある場合も利用停止・削除を請求できます。

また、本人がデータを開示する方法を指示したり、第三者へデータを提供したりした場合はその提供記録の開示請求も可能です。

事業者の責務が追加

改正前はデータの漏えい事故が発生した場合でも、報告や通知は義務ではありませんでした。

今回の改正では、データが流出し、個人の権利利益を害するおそれが大きい際は、個人情報保護委員会への報告と本人への通知が義務化されました。

報告の対象は、配慮する必要がある個人情報や不正アクセスなどによる漏えい、大規模な漏えいはもちろん、財産的被害のおそれがある漏えいも報告が必要です。

また、違法行為をする第三者に個人情報を提供する、差別を誘発するような個人情報を集約してデータベース化・インターネット上で公開するといった不適正な方法で個人情報を利用してはならないことも明確化されました。

特定分野を対象とする団体の認定団体制度を新設

苦情処理や対象事業者への情報提供を行う「認定個人情報保護団体」として、民間団体を認定する認定制度があります。従来は該当する企業のすべての分野が対象となっていたものの、改正により特定分野のみ対象にすることも可能になりました。専門性を活かした取り組みや、事業者の自主的なデータ保護への取り組みが促進されることなどが期待されます。

データの利活用の促進

これまで事業者がデータを利用する場合は、仮に個人が特定できないような加工をしたときでも、利用目的を明確にして、本人に公表するよう求められていました。

しかし改正により、その人が誰なのか、他の情報と照合しない限り特定できないような何らかの加工をして活用・保管すれば、開示・利用停止請求への対応などの義務が緩和されました。具体的には、氏名を削除または置換、クレジットカード番号などの財産的被害が生じるおそれがある番号を削除するなどの措置が求められています。

ただし、医療分野での研究や機械学習モデルの学習といった内部分析などに使うことが条件になるので取り扱いには十分注意しましょう。

法令違反に対するペナルティの強化

今回の改正で、個人情報保護委員会からの措置命令の違反、個人情報データベースなどの不正提供、個人情報保護委員会への虚偽報告などをした際の罰則が重くなっています。

特に重くなったのは、法人などが個人情報保護委員会からの措置命令に違反した場合と、個人情報データベースなどを不正提供した場合です。いずれも法令違反をした際の罰金が1億円以下と大幅にアップしました。なお、こちらは他の改正点に先駆けて2020年12月12日に施行された改正点です。

外国事業者に対する報告徴収・立入検査などの罰則が追加

外国事業者が国籍を問わず日本在住の人のデータを扱うケースが増えています。改正前は海外の事業者が日本国内にある支店などで個人情報を扱う場合の立ち入り検査や報告徴収といった罰則はなかったのですが、改正後は外国事業者も報告徴収・命令などの権限行使の対象となりました。

改正個人情報保護法の対応チェックポイント

個人情報の改正により、事業者が確認しておくべき対応チェックポイントを解説します。

個人情報保護委員会のガイドラインを確認しておく

まずは個人情報保護委員会のガイドラインを確認します。Webサイトには同委員会が作成・公開している中小企業向けの「改正個人情報保護法対応チェックポイント」があります。どのような点に注意するべきなのか、基本的な部分を確認しておくとよいでしょう。チェックポイントには、すぐに取り組むべき重要なポイントがわかりやすくまとめられています。

※参考: 改正個人情報保護法対応チェックポイント｜個人情報保護委員会

個人情報の漏えいが発生したら速やかに報告する

「事業者の責務が追加」の段落でも解説した通り、法改正により情報漏えいが発生した場合はもちろん、個人の権利利益を害するおそれのある場合も個人情報保護委員会への報告と本人への通知をしなければなりません。

報告は「速報」と「確報」の2段階で行います。まずは速報として、漏えいが発生してからおおむね3～5日以内に個人情報保護委員会に報告します。続いて確報として、漏えいが発生してから30日以内（不正アクセス等故意によるものは60日以内）に、より詳細な報告が求められます。

外国にある第三者に個人情報を提供するときは本人の同意を得る

現行では、外国にある第三者にデータを提供するときは「本人の同意」「基準に適合する体制を整備した事業者」「我が国と同等の水準の個人情報保護制度を有している外国」の3つの条件があります。

改正後は、本人からの同意取得時に移転先の所在国の名称、外国における個人情報に関する制度、データ移転先が講ずる個人情報の保護のための措置を提供することになりました。

事業者には移転元に対して、移転元で個人情報が適切に取り扱われているかの定期的な確認、問題が起きた場合の対応、本人からの求めに応じて情報提供するといった措置が求められます。

安全管理のための6つの措置を公表する

6つの措置とは「基本方針及び取扱規程等の策定」「組織的安全管理措置」「人的安全管理措置」「物理的安全管理措置」「技術的安全管理措置」「個人データの取扱状況を確認する手段の整備」を指します。

情報を提供した人が安全管理に関する措置を知っておくために、原則公表することが義務化されました。データを安全に管理できなくなるケースを除き公表しなければなりません。

自社が扱う個人情報の利用状況をチェックする

自社の利用状況をチェックすることも大切です。例えば、データはどのように取得したのか、データを取得する際は利用目的を適切に示しているのか、今後利用する必要のないデータがいつまでも残されていないかなどを確認します。データを適切に利用するために「一般情報」「個人情報」「機密情報」といったラベリングを行うこともおすすめです。

従業員に個人情報の取り扱いについて周知・教育する

法改正に対する取り組みは、企業全体で行わなければ意味がありません。データの取り扱いについて従業員に周知・徹底するには、経営層や管理職が自ら情報セキュリティに対する姿勢をみせることが大切です。

また、社内マニュアルの見直しも必要になります。マニュアルは個人情報の取得・利用・提供・管理・削除・廃棄など段階ごとに設定するとよいでしょう。

開示請求に応じられるよう準備しておく

改正前は開示請求に対する開示は原則書面でしたが、改正後には電磁的記録でも開示請求ができるようになっています。また、以前は開示請求できなかった6カ月以内に消去する短期保存データも開示・利用停止等の対象になりました。開示請求に速やかに応じられるよう、開示請求の方法を自社のWebサイトに明記するなど準備をしておかなければなりません。

まとめ

改正個人情報保護法は2022年4月から施行されています。データの活用方法や社会情勢の変化に合わせて、主に6つの点で改正が実施されました。事業者の責務の追加、法令違反をした場合のペナルティが重くなるなど、新たに設定された項目も多いため、まずはガイドラインを確認しておきましょう。

「働き方改革ラボ」は、働き方改革に役立つ情報を、業界を横断して幅広く発信しています。まずは自社に必要な取り組みは何か、診断チャートで確認してみませんか？まずは資料の無料ダウンロードをお試しください。