2022年4月、改正個人情報保護法が施行されました。2022年は事業者向けの改正、2023年は地方公共団体向けの改正であり、本記事では事業者向けの2022年4月改正について解説します。この法律はICTの急速な進歩に対応するため、3年ごとに見直しが行われており、2022年の改正では、個人情報の保護強化と事業者の個人データの活用を促進する内容が強化されました。事業者の負う責務が増え、違反のペナルティも強化されているため、改正前に内容の確認と対応を行いましょう。今回は、改正個人情報保護法の概要と改正内容、そして事業者が注意すべきポイントについて解説します。

個人情報保護法について学ぼう

個人情報保護法の概要

個人情報保護法は、個人の権利や利益の保護、個人情報の有用性とのバランスを図るために、2005年より施行されている法律です。インターネットの普及により、私たちの社会は高度な情報化社会へと変容を遂げました。情報化によって、経済や生活における、あらゆる物理的制約が解消され、人類の文明は大きく発展したといえるでしょう。しかし、情報の置き換え、複写、拡散が容易になったことにより、個人に属する情報が外部に晒される危険性も高まっています。個人情報は、このような個人の権利利益が侵害される事態を防ぐために制定されました。一方、個人情報は適切に活用することで、マーケティング戦略を策定し、顧客サービスを充実させることができます。この法律では、個人情報の有用性にも焦点を当て、「活用」と「保護」の両立を目指しています。

改正される背景

個人情報保護法は、情報通信技術の発展や事業活動のグローバル化などのさまざまな変化の影響を受け、2015年に改正が行われています。2015年に公布された改正法には3年ごとの見直し規定が盛り込まれました。情報を活用したさまざまなサービスや産業が登場する一方で、不正アクセスの巧妙化や個人情報の越境移転など、個人情報を取り巻くリスクも変化しています。また、AIやビッグデータ時代におけるイノベーション促進のためにも、個人情報の適正な活用方法について、新たな定義付けが必要です。時代の発展に併せ、個人情報保護法で定める内容も柔軟に変化させていく必要性が生じた結果、今回の改正が決定されました。

関連記事：
・改正個人情報保護法で企業が留意すべきポイントとは？
・特定個人情報とは？限定的な用途と注意点を解説します
・絶対に気をつけたい、コンプライアンス違反の事例をご紹介

改正個人情報保護法の6つのポイント

個人の権利に対する保護の強化

個人の権利利益の保護に対する措置として、以下の変更が加えられています。

• 利用停止・消去などの個人による請求権の範囲を拡充する。
• 保有個人データの開示方法を本人が指示できるようにする。
• 第三者提供記録を本人が開示請求できるようにする。
• 短期保存データを開示、利用停止などの対象とする。
• オプトアウト規定について、不正取得された個人データやオプトアウト規定で提供された個人データも対象外とする。

企業責務の追加

これまでは、個人情報が漏洩した際の報告などは努力義務とされており、法的な義務ではありませんでしたが、2022年の改正により、個人情報の漏洩によって個人の権利利益が侵害された場合には、個人情報保護委員会への報告、および本人への通知を行わなくてはなりません。例えば、不正アクセス被害により、顧客の個人情報が漏洩してしまった場合などは、委員会への報告が義務になります。また、企業による個人情報の活用が、違法行為や不当行為の助長や誘発につながることがないよう、不適正な方法での個人情報の利用を禁止する内容も明文化されています。

新たな認定団体制度の追加

個人情報保護法では、個人情報保護委員会以外にも、民間団体を活用した情報保護を行っています。これを「認定団体制度」といいます。今回の改正によって、企業の特定分野や部門を対象とする団体も認定団体として登録できるようになり、認定団体制度が拡張されました。これは、個人情報を用いた業務の多様化やITの進展に対応できる情報保護体制の構築を目的に行われました。

データの利活用の促進

現行法では、個人情報を企業活動に利用する際は、「匿名加工情報」に加工しなければならない規定が定められています。匿名加工情報とは、「特定の個人を識別できないように個人情報を加工し、かつ復元できないようにした情報」のことをいいます。匿名加工情報を活用して、これまでもさまざまなサービスが生み出されてきました。今回の改正では、より詳細な情報の利用によってイノベーションを促進するため、「仮名加工情報」制度が新設されました。今回新設された仮名加工情報は、第三者提供が制限されているかわりに、個人情報と同等の有用性があるため、より詳細な分析を行うことが可能になりした。仮名加工情報は、医療、研究開発、AIによる機械学習の分野などへの応用が期待されています。

ペナルティ強化

個人情報保護委員会からの命令に違反した場合や虚偽報告が発覚した場合、個人情報データベースなどの不正提供を行った場合の罰則が強化されます。法人・個人に対する罰金刑・懲役刑の引き上げに加え、法人と個人の資力格差や抑止効果を勘案して、法人に対しては個人よりも罰金刑を重く設定しています。特に法人による命令違反やデータベース不正提供に課せられる罰金刑に対しては、現行法の50万円以下から1億円以下に強化されるため、注意が必要です。

外国の事業者への罰則追加

日本在住の人の個人情報を扱う外国の企業も、報告徴収や立入検査など罰則の対象になります。現在、以下のようなケースが想定されています。

• 日本に支店などがある海外企業が外国にある本店で個人情報を取り扱う場合
• 外国のインターネット通信販売企業が、日本の消費者から個人情報を取得して商品の販売や配送を行う場合

今回の改正によって、海外企業において個人情報の扱いに問題が生じた場合にも、具体的な是正措置を行うことが可能になりました。さらに、外国の第三者へ個人情報を提供する際は、移転先事業者における個人情報の取り扱いに関して、本人へのより充実した内容の通知が必要です。

企業が注意すべきポイント

個人情報漏洩時のフロー見直し

今回の改正では、個人情報漏洩時に個人情報保護委員会と本人への報告義務が追加されました。未実施の場合は、自社における業務フローを見直す必要があります。もしもの事態を想定して、スムーズに対応できるようにフローを修正し、周知しておきましょう。ただし、個人データに関する委託を受けた場合や本人への通知が難しく本人の権利保護のために必要な措置を取っている場合の報告義務は免除されます。義務として報告が発生するのは具体的にどういったケースか、専門家にも相談しながらフロー策定や対応マニュアル作成を進めましょう。

Cookie情報の取り扱い

Cookie情報とは、Webサイトを閲覧する際に発行される小さなテキストファイルです。例えば、ECサイトでカートに入れた商品情報の保存や、フォーム入力画面でのメールアドレスなどの入力候補の提示をするなど、さまざまな場面で利用されています。Cookie情報そのものは個人情報ではありませんが、ほかの情報と結びつければ個人を特定することも可能です。もし、自社のWebサイトでCookieを利用していて、Cookie情報と個人情報を紐付けて利用する場合は、プライバシーポリシーに利用目的を明記して本人に同意を得るようにしましょう。

多様な開示方法への対応

これまで、個人情報の開示請求が行われた場合は、書面による回答の交付が原則とされていました。しかし、今回の改正で、請求者本人の選択によって電磁的記録データでも交付ができるようになりました。電磁的記録データとはパソコンなどで記録される電子的なデータ全般を指します。企業は、開示請求を受けた際にスムーズに対応できるように、テキストデータやPDFなどで情報開示を行えるように準備しなくてはなりません。また、第三者への個人情報の提供および受領時についても、記録を開示する義務が生じます。常に情報の受け渡しなどの履歴を記録できる体制を構築しましょう。

関連記事：
・企業がすべき対応は？　EU一般データ保護規則をわかりやすく解説！
・マイナンバー法違反で厳罰？―法人も監督責任を問われます
・今すぐ実施すべき、社内の情報漏洩対策一覧
・プライバシーポリシーを作成し、個人情報を適切に取扱いましょう！

まとめ

現代においては、情報通信技術の発展により、個人情報の幅は大きく広がっています。位置情報や購買記録、公共交通機関の乗降履歴、医療機関の利用履歴などは、別の情報と照合することで個人の特定が可能です。そのため、企業活動をするうえでは個人情報を取り扱わない企業はないといっても過言ではないでしょう。個人情報を活用することで、イノベーションを促進し、さまざまなサービスが生まれてきました。企業においては、法改正の背景や内容をしっかりと理解したうえで、個人情報を事業の発展に役立てましょう。