コラム

2022.01.11

個人情報保護法の改正のポイントは?企業に必要な対応とは?

個人情報保護法の改正のポイントは?企業に必要な対応とは?

令和4年、改正個人情報保護法が施行されます。
個人情報保護法の改正ポイントや万が一個人情報の漏洩が起きてしまった場合のリスク、改正法に備えて企業と取るべき対応などについてわかりやすく解説します。

記事を監修した弁護士
Authense法律事務所
弁護士 
(東京弁護士会)
東北大学法学部卒業。旧司法試験第59期。上場会社のインハウス経験を活かし、企業法務に関するアドバイス、法務部立ち上げや運営のコンサルティング、上場に向けたコンプライアンス体制構築や運営の支援等を行う。IT・情報関連法務、著作権など知的財産権法務、知的財産権を活用した企業運営・管理等のコンサルティングを行う。

2022年施行の個人情報保護法改正の全体像・ポイントをわかりやすく解説

個人情報保護法は、個人情報の有用性に配慮しつつ、個人の権利を守ることを目的とした法律です。
単に個人情報を守ることのみを目的としているのではなく、個人情報が有用であることを認めたうえで、個人情報の利活用も念頭に置いている点がこの法律の大きな特徴です。

個人情報保護法は時代の流れに対応するため、頻繁に改正されています。
令和2年及び令和3年にも改正が行われました。今回は、そのうち民間に大きな影響があると思われる令和2年の改正につき確認していきたいと思います。令和2年の改正は、一部を除き、令和4年4月に施行が予定されています。※1

はじめに、令和2年改正の主なポイントを確認していきましょう。 ※2

個人の権利保護が強化された

従来の個人情報保護法では、個人の権利が十分に保護されない場面が存在しました。
そこで、個人の権利保護の強化として、主に次の4点について改正がなされています。

個人の権利や正当な利益が害されるおそれがある場合に利用停止が可能になる

従来、個人情報の対象となっている本人が、自分の個人情報の利用停止や消去を請求することができる場面は、個人情報が不正取得された場合など、法令違反が生じているケースに限定されていました。

改正後はこれに加えて、本人の権利や正当な利益が害されるおそれがある場合にも、個人情報の利用停止や消去を求めることができるようになります。

電子データでの開示請求が可能になる

個人情報の対象となっている本人は企業等に対して、保有している自己の個人情報の開示を求めることができます。

従来、この開示方法は書面の交付が原則とされていました。
この開示の方法について、改正法の施行後は、書面ではなく電磁的記録(電子データ)の提供を求めることが可能となります。

ただし、電子データでの開示に多額の費用を要する場合などには、引き続き書面で開示することも可能です。

第三者提供記録の開示請求が可能になる

従来、個人データを第三者に提供した記録については、本人からの開示請求の対象外となっていました。
改正後は、第三者提供の記録についても本人からの開示請求が可能となります。

短期保存データも保有個人データに含めることとなる

従来、6ヶ月以内に消去される個人情報は、個人情報保護法の対象となる保有個人データから除外されていました。
改正により、たとえ6ヶ月以内に消去する短期保存データであっても、保有個人データに含めることとなります。

事前承諾のない第三者提供の制限が強化された

個人情報保護法では、個人情報の第三者提供についてオプトアウト規定が適用できる場合があります。
オプトアウト規定とは、本人の求めにより事後的に利用停止することなどを条件に、本人の事前同意なく第三者に個人データを提供できる制度です。

従来、オプトアウトによる第三者提供を禁じるものは、病歴などの要配慮個人情報に限定されていました。
改正後はこれに加えて、次の2つについてもオプトアウトでの第三者提供ができないこととなります。

  • 不正取得された個人データ
  • その企業が他の企業からオプトアウト規定により取得した個人データ

事業者の義務が追加された

改正により、個人情報を取り扱う企業が負うべき義務が追加されています。
主な改正点は、次の2点です。

情報漏洩時の通知が義務化された

改正により、個人情報の漏洩やデータの滅失などが発生して個人の権利利益を害するおそれがある場合に、個人情報保護委員会への報告と本人への通知が義務化されました。

だだし、この報告や通知義務は、一定数以上の個人データ漏洩の場合などに限定されています。

不適正な方法による個人情報利用禁止が明文化された

違法や不当な行為を助長するなど不適正な方法により個人情報を利用することは、従来から禁止すべき行為です。
しかし、従来は明文の規定がありませんでした。

これが、改正により明文化されています。

データ利活用のための規定が整備された

企業にとって、個人データはとても有用なものです。
一方、個人にとってはむやみに情報が利用されてしまっては、利益を害されてしまうおそれがあるでしょう。

そこで、個人の利益を守りつつ企業がデータを利活用しやすくするため、「仮名加工情報」の規定が整備されました。
「仮名加工情報」とは、記述や符号などの特定の個人を識別できる情報を削除することなどにより、そのデータ単体では特定の個人を識別することができないように個人情報を仮名化する加工を施した情報です。

たとえば、「甲山太郎さん」がコンビニAで菓子Bと飲料Cを買ったとの情報は、個人を識別することができるため個人情報に該当し、その利活用などが大きく制限されます。
しかし、「甲山太郎さん」との情報を「20代男性X」に置き換え、「20代男性X」がコンビニAで菓子Bと飲料Cを買ったとのデータに加工した場合の情報が、仮名加工情報です。

仮名加工情報が個人情報に該当しない場合、内部分析に限定することなどを条件に、開示や利用停止請求に対する企業の義務が緩和されることとなりました。

なお、個人情報保護法には「匿名加工情報」との概念も存在します。
他の情報と照合したとしても特定の個人を識別できない点で、匿名加工情報は仮名加工情報と異なります。

個人情報保護法に違反した場合の法定刑が引き上げられました。※3

表1 改正前後の法定刑の比較

懲役刑 罰金刑
改正前 改正後 改正前 改正後
個人情報保護委員会からの命令への違反 行為者 6月以下 1年以下 30万円以下 100万円以下
法人等 30万円以下 1億円以下
個人情報データベース等の不正提供等 行為者 1年以下 1年以下 50万円以下 50万円以下
法人等 50万円以下 1億円以下
個人情報保護委員会への虚偽報告等 行為者 30万円以下 50万円以下
法人等 30万円以下 50万円以下

損害賠償請求がされる

企業の管理が甘く個人情報が漏洩してしまった場合などには、損害賠償請求がなされる可能性があります。
漏洩した情報が病歴など重要な情報を含んでいる場合やクレジットカード番号が漏洩して不正利用につながった場合などには、損害賠償の金額も高額となる可能性があるため、特に注意が必要です。

信頼が失墜する

個人情報の漏洩が起きると、企業の信頼が失墜してしまう可能性があります。
漏洩した情報がセンシティブなものである場合や、漏洩後の対応に問題があった場合などには顧客が離れ、長期的に業績が悪化してしまうおそれもあるでしょう。

復旧や再発防止にコストがかかる

個人情報の漏洩により情報が毀損した場合には、その復旧にコストを要する可能性があります。
また、再発防止のためシステム改修や個人情報を取り扱う部屋の区画など物理的な配置の見直しが必要となる場合もあり、これにもコストを要するでしょう。

改正に向けて企業が取るべき対策

個人情報保護法の令和2年改正は、一部を除き令和4年の4月に施行される予定です。
ここでは、施行までに企業が行うべき対策を紹介します。

現在の自社での個人情報の取り扱い状況を再確認する

はじめに、自社内での現在の個人情報の取り扱い状況を確認しましょう。
確認する際は、次の事項に分けて確認をするとスムーズです。

  • 個人情報を取得する流れ
  • 個人情報の保管方法
  • 個人情報の利活用状況/li>
  • 個人情報の対象となっている者から情報の開示や削除要請があった場合の対応方法
  • 個人情報の削除に関するルール
  • 漏洩時の対応方法

改正法と照らし合わせて問題点を洗い出す

次に、自社の個人情報の取り扱い状況を改正法と照らし合わせて、問題点を洗い出します。
自社のみでの対応が難しい場合には、弁護士に相談をしてサポートしてもらうと良いでしょう。

電磁的記録による開示請求への対応を検討する

先ほど解説したとおり、改正法では保有している自己の個人情報などを電磁的記録で開示するよう請求がなされる可能性があります。
この請求がされた際の対応方法や対応の流れを具体的に検討し、請求に備えておきましょう。

プライバシーポリシーの改訂を検討する

現行のプライバシーポリシーのままでは、改正法に対応できない可能性があります。
中でも、開示請求の範囲や方法については改訂が必要となる場合が多いでしょう。

プライバシーポリシーの全体を見直し、改正法に対応できる内容への改訂を進めておいてください。

漏洩時の対応方法の流れを確認し検討する

改正法では、漏洩したデータの規模や内容次第では個人情報保護委員会への報告と本人への通知が義務化されます。
改正法が施行される前に、万が一個人情報が漏洩した場合の対応方法をいま一度確認し、漏洩時のルールを検討しておきましょう。

適切な取り扱いを社内に周知する

個人情報の取り扱いについて適切なルールの整備ができたら、そのルールを社内に周知します。
いくら社内規定のみが作りこまれていても、現場でルールが遵守されていなければ意味がないためです。

適切なルールや漏洩時のリスクをすべての従業者に理解してもらえるよう、研修などを企画すると良いでしょう。

まとめ

個人情報保護法を理解せず、万が一漏洩が起きてしまえば、罰則が適用されたり損害賠償請求の対象になったりするのみでなく、企業の信頼が失墜してしまうリスクも存在します。
自社のみで改正法への対応をするのが難しい場合には、弁護士への相談も検討すると良いでしょう。

Authenseでは、法改正への対応でお困りの企業の方をサポートすべく、それぞれのお悩みや実情、ご要望に合わせて、オーダーメイドプランを作成させていただきます。
初回の法律相談を60分無料で承っておりますので、まずはお話を聞いてみたい、法改正への対応として何から手をつけたら良いか分からない、などお困りの方は、ぜひ一度無料相談をご活用ください!

無料相談のご予約はこちら

無料相談のご予約

顧問契約、企業法務のご検討・ご相談はこちら

企業法務に関する資料、様々なプランを
ご用意しています。

顧問契約・企業法務に関する
お問い合わせはこちら

お問い合わせ

CONTACT

法律相談ご予約のお客様

早朝相談受付中(6:30~10:00)