改正個人情報保護法の内容を4つのポイントでわかりやすく解説
2024年04月09日 07:00
この記事に書いてあること
2022年4月に、改正個人情報保護法が施行されました。改正個人情報保護法の項目には、個人の権利の拡充や事業者が守るべき責務の追加、罰金の引き上げなどが盛り込まれていますが、企業にはどのような対応が必要になるのでしょうか。
このコラムでは、改正の背景や改正内容のポイント、用語の違いをわかりやすく解説。さらに、個人情報を取り扱う中小企業に求められる対応についてもお伝えします。
個人情報保護法とは? わかりやすく解説
はじめに、個人情報保護法とはそもそもどういうものなのか、解説します。
個人情報保護法とは
個人情報保護法の正式名称は、「個人情報の保護に関する法律」です。情報化の急速な進展や国際的な法制定の動向、そして、事業者による個人情報の利用が活発化していることを受けて、2003年5月に公布、2005年4月に施行されました。
個人情報保護法の目的は、個人の権利・利益の保護と、ビジネスや社会生活での個人データ利活用のバランスを図ることです。個人情報を取り扱う民間事業者が守るべき「取得・利用」「保管」「提供」「開示請求等への対応」という4つのルールについて定められています。
個人情報保護法改正の背景
2005年の個人情報保護法施行以来、情報通信技術の発展やビジネスのグローバル化などの社会状況の変化によって、個人情報保護法制定時には想定していなかった個人情報の利活用が広がりました。
そこで、定義の明確化や、個人情報の適正な活用・流通の確保、グローバル化への対応などを目的に、2015年9月に改正個人情報保護法が公布。2017年5月30日に、改正法が施行されました。
この改正法には、将来の国際的動向の変化や情報通信技術の進歩、新ビジネスの創出などを見越して、3年ごとに実態に見合った形で法律を見直すことも盛り込まれています。
2022年の法改正は、この3年ごとの見直し規定に従った初めての改正です。これまでも目的とされていた個人情報の保護と利用のバランスのほか、国際的潮流との調和、外国事業者によるリスクの変化、AI・ビッグデータ時代への対応といった課題を解決するために改正が行われました。
個人情報保護法でとくにおさえておきたい用語
個人情報保護法には似た用語があるため、違いを明確にし、理解を深めることが大切です。この章では、個人情報保護法でとくにおさえておきたい用語を解説します。
個人情報とは
そもそも個人情報とは、「生きている人」の情報を意味します。個人情報保護法によると、「個人情報」は下記2点のうちいずれかにあてはまる情報を指します。
●当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録で作られる記録)に記載され、もしくは記録され、または音声、動作その他の方法を用いて表された一切の事項により特定の個人を識別することができるもの
●個人識別符号が含まれるもの
公的機関が個人に割り当てる番号・・・マイナンバー、旅券番号、基礎軟禁番号、免許証番号など
身体の特徴データ・・・指紋、DNA、顔の骨格、静脈など
個人データや保有個人データとの違い
個人情報に似た用語として「個人データ」や「保有個人データ」が挙げられますが、個人データは「個人情報」を検索できるようにまとめたデータベースを指します。
また、「個人データ」のなかでも、個人情報取扱事業者が、「開示」や「内容の訂正」などの権限を持つものを「保有個人データ」といいます。個人情報、個人データ、保有個人データの順で、個人情報保護法で規定されている義務が多くなります。
要配慮個人情報とは
要配慮個人情報とは、「本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報」を指します。
2022年の改正によって、要配慮個人情報に関して以下の規制が適用されることになりました。
- ・取得をする場合に対象者の同意が必要
- ・オプトアウト方式による第三者提供は認められていない
- ・要配慮個人情報が含まれる個人データの漏えい等が発生もしくは発生したおそれがある場合は個人情報保護委員会への報告と本人への通知を行う必要がある
個人関連情報・仮名加工情報・匿名加工情報とは
2022年の法改正で、「個人関連情報」と「仮名加工情報」という情報類型が新設されました。「仮名加工情報」は「匿名加工情報」と名前が似ていますが、意味は異なります。
個人関連情報とは
個人情報保護法によると、個人関連情報は、「生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないもの」と定義されています。
個人関連情報の具体例としては、ウェブサイトの閲覧履歴やサービス利用履歴などが挙げられます。個人関連情報を第三者に提供するときは、提供先において個人データとして取得することが想定される場合は、提供元に、提供に関する本人同意があると確認することが義務付けられています。
仮名加工情報と匿名加工情報の定義と違い
仮名加工情報とは、「他の情報と照合しない限り、特定の個人を識別できないように加工して得られる個人に関する情報」を意味します。
仮名加工情報に変換することで、利用目的の変更の制限、漏えい等の報告・本人への通知、開示・利用停止等の請求対応の義務から除外されます。加工することでデータの有用性を保ちながら、情報を活用できるのが特徴です。
一方で、匿名加工情報は、「特定の個人の識別ができないように加工された情報」を意味します。仮名加工情報と違い、他の情報と合わせても元の情報が復元できないように加工することで、個人が完全に識別できないようにされているのが特徴です。匿名加工情報取扱事業者とは、匿名加工情報を扱う事業者のことをいいます。
改正個人情報保護法の4つのポイント
ここまで、改正個人情報保護法の用語について解説していきました。では、2022年4月施行の改正法では具体的にどんな点が変わったのでしょうか。そのポイントをわかりやすく解説します。
1.個人情報に関する個人の権利の拡大
個人情報の利用停止・消去等の請求権
個人情報の利用停止・消去等の請求権など、個人の権利が拡大されました。改正前は、個人情報保護法に違反する場合に本人による利用停止や消去に関する請求権がありましたが、改正後は、法違反がなくても、個人の権利や正当な利益が害されるおそれがある場合にも、その範囲が拡大されました。
デジタルデータでの提供が可能
また、個人情報取扱事業者が開示・訂正・利用停止などの権限を持つ個人データのうち、一定の除外事由にあてはまらない「保有個人データ」を個人に開示する際、改正前は書面による交付が原則でした。改正後は、請求者である個人が、デジタルデータでの提供を含めた開示方法を指定することができるようになりました。
オプトアウト規定の厳格化
さらに、オプトアウト規定が厳格化されました。オプトアウト規定とは、本人の求めがあれば事後的に停止できることを前提に、個人情報の項目を公表した上で、本人の同意なく第三者に個人情報を提供できる制度です。
改正後は、第三者に提供できる個人データの範囲が限定され、不正取得された個人データ、オプトアウト手続きで取得した個人データが、オプトアウトの対象外となりました。
2.個人情報取扱事業者が守るべき責務の追加
個人情報取扱事業者が守るべき責務として、以下のことを義務付けています。
- ●個人情報を取り扱うに当たっては利用目的をできる限り特定し、原則として利用目的の達成に必要な範囲を超えて個人情報を取り扱ってはならない。
- ●個人情報を取得する場合には、利用目的を通知・公表しなければならない。なお、本人から直接書面で個人情報を取得する場合には、あらかじめ本人に利用目的を明示しなければならない。
- ●個人データを安全に管理し、従業員や委託先も監督しなければならない。
- ●あらかじめ本人の同意を得ずに第三者に個人データを提供してはならない。
- ●事業者の保有する個人データに関し、本人からの求めがあった場合には、その開示を行わなければならない。
- ●事業者が保有する個人データの内容が事実でないという理由で本人から個人データの訂正や削除を求められた場合、訂正や削除に応じなければならない。
- ●個人情報の取扱いに関する苦情を、適切かつ迅速に処理しなければならない。
具体的には、個人情報漏えい発生時の報告義務、不適正利用の禁止など、個人情報取扱事業者の責務が追加されました。漏えいや滅失、毀損が発生した場合、個人の権利や利益を害するおそれが大きい事態については、個人情報保護委員会への報告と本人への報告が義務化されています。
また、これまで法律で言及されていなかった個人情報の不適切利用について、法改正で改めて禁止されました。法令違反や、不当な行為を助長するなどの不適切な方法で個人情報を利用してはならないことが明確化されました。
3.法令違反に対するペナルティの強化
法に違反する事案が増えるなか、法人への抑止効果を高めるため、個人情報保護委員会による命令違反や、委員会に対する虚偽報告等の法定刑が引き上げられました。
また、法人と個人の資力格差を鑑みて、法人に、行為者よりも重い罰金刑を課す内容に変わりました。法人に対するペナルティについて変更された点は、次のとおりです。
- ●個人情報保護委員会からの命令へ違反した法人に対して、30万円以下の罰金が1億円以下に引き上げ
- ●個人情報データベース等の不正提供等について、50万円以下の罰金が1億円以下に引き上げ
- ●個人情報保護委員会への虚偽報告等について、30万円以下の罰金が50万円以下に引き上げ
4.外国事業者に対する規定の変更
外国事業者への個人情報提供に関する要件も変更されました。
これまで、外国にある第三者への個人データ提供に関しては、本人の同意や、事業者や提供先の国に関する要件が定められていました。
改正後は、本人の同意に加えて、移転先の所在国の名称、当該外国における個人情報保護に関する制度、移転先が講ずる個人情報の保護のための措置、この3つの情報を個人に提供することが義務付けられました。また、法改正によって、日本国内の人に関する個人情報を扱う外国事業者も、報告徴収、命令、立入検査などの罰則の対象となりました。
法改正で企業に求められる4つの対応
では、2022年の法改正に対して、企業にはどのような対策が必要になるのでしょうか。行うべき対応についてお伝えします。
1.個人情報利用状況の棚卸し
まず、自社の個人情報活用状況を棚卸しましょう。個人情報を法律上、不適正に利用していないか確認します。また、個人データを外国の第三者へ提供している場合には対応が必要になるため、外国への提供の有無もチェックしましょう。
個人の権利や利益を侵害するおそれがある場合に、個人データの利用停止や消去が求められる可能性があります。改正前と同様のデータ利活用ができなくなる場合もあるため、社内での個人情報の取り扱い方法を確認しましょう。
2.デジタルデータの開示、利用停止対応への準備
法改正によって、保有個人データの開示について、請求者である個人がデジタルデータでの提供を含む開示方法を指定できるようになりました。そのため企業には、個人からのデジタルデータを含む開示請求に対応できる体制作りが求められます。個人情報の電子化を進めるとともに、開示請求への対応ルールを定めておきましょう。また、個人からの個人データの利用停止や消去に対する請求に対処するための準備も必要です。
3.情報漏えい時の報告などの対策
今回の法改正で、個人情報漏えいなどのトラブルが発生した際に、個人情報保護委員会と本人へ報告することが義務化されました。万が一の個人情報漏えいなど、トラブルが起きた場合の社内ルールを定めて、対応手順も明確化しておきましょう。
4.プライバシーポリシーの作成・改訂
改正法に従った個人情報の取り扱いを行うため、プライバシーポリシーや、個人情報に関する社内規定の見直しを行う必要があります。個人情報の利用や公表方法、オプトアウトによる第三者提供などに関して、法律に即す形での項目の新設や改訂を行いましょう。第三者提供に関する法律の改正に伴い、個人データのやりとりが発生する取引先とは、契約内容を見直す必要もあるため注意が必要です。
まとめ
個人情報保護法は、個人の権利や利益を守ることと、企業が個人データ利活用を両立させるための法律です。トラブルや急な利用停止対応での損失などを防ぐためにも、法改正への対策を進めましょう。
働き方改革ラボでは、YES/NO形式の質問に答えるだけで、会社に必要な取り組みがわかるオリジナル資料の無料ダウンロードを実施しています。自社に必要な取り組みは何か、診断チャートで確認してみませんか?まずは資料の無料ダウンロードをお試しください。
参考・出典
記事執筆
働き方改革ラボ 編集部 (リコージャパン株式会社運営)
「働き方改革ラボ」は、”働き方改革”が他人ゴトから自分ゴトになるきっかけ『!』を発信するメディアサイトです。
「働き方改革って、こうだったんだ!」「こんな働き方、いいかも!」
そんなきっかけ『!』になるコンテンツを提供してまいります。新着情報はFacebookにてお知らせいたします。
右のフォームからお申し込みをお願いします。
お役立ち資料ダウンロードのリンクを記載したメールを返信いたします。
記事タイトルとURLをコピーしました!
https://www.ricoh.co.jp/magazines/workstyle/download/kojinjouhou-hogo/