お知らせNEWS

HOME お知らせ 令和4年4月1日施行の改正個人情報保護法

令和4年4月1日施行の改正個人情報保護法

2022年3月24日 / 法律コラム

令和4年4月1日より、改正個人情報保護法が施行されます。

改正の経緯と概要は、個人情報保護委員会作成令和3年5月7日付「個人情報保護法令和2年改正及び令和3年改正案について」がわかりやすいです。

https://www.meti.go.jp/shingikai/sankoshin/shomu_ryutsu/bio/kojin_iden/life_science/pdf/001_03_02.pdf

第1 改正経過

個人情報保護法の成立とその後の改正の経過を整理すると、以下のとおりになります。

今般施行されるのは、令和2(2020)年と令和3(2021)年に改正されたものです(下記青字部分)。

平成15(2003)年 個人情報保護法成立

↓ 情報通信技術の発展によりパーソナルデータの利活用が可能に

平成27(2015)年 個人情報保護法改正

↓ 3年ごとに見直しを図ることに

平成29(2017)年 改正個人情報保護法全面施行

↓ 3年ごとの見直しに基づく改正

令和2(2020)年 個人情報保護法改正

令和3(2021)年 個人情報保護制度の官民一元化

第2 改正内容の概要

1 令和2(2020)年

令和2(2020)年の改正は、個人情報に対する意識の高まり、技術革新を踏まえた保護と利用のバランス、個人情報が多様に利活用される時代における事業者責任の在り方、越境移転データの流通増大に伴う新たなリスクへの対応等の観点から改正が行われました。

2 令和3(2021)年

令和3(2021)年の改正は、民間部門、行政機関、独立行政法人等に係る個人情報の保護に関する規定を集約し、一本化するためのものです。具体的には、個人情報保護法、行政機関個人情報保護法、独立行政法人等個人情報保護法の3法を統合して1本の法律にし(改正個人情報保護法)、個人情報の全国的な共通ルールを設定し、個人情報保護委員会が我が国全体における個人情報の取扱いを一元的に監視監督する体制を構築するものです。

第3 チェックポイント

このうち、個人情報保護委員会より、中小企業向けにすぐに取り組むべき6つのチェックポイントが示されています。

https://www.ppc.go.jp/files/pdf/privacy_protection_check_point.pdf

以下では、便宜上これを7つに整理し直して解説します。

1 安全管理措置の公表義務化

保有個人データ(個人情報取扱事業者が、開示、訂正、追加又は削除、利用の停止、消去及び第三者への提供停止を行うことのできる権限を有する個人データ)に関し、安全管理措置、苦情の申出先等を本人の知り得る状態に置かなければならないことになりました(改正法32条1項4号)。

これは、既に措置すべきことが義務化されている安全管理措置(改正法23条)について、措置した安全管理措置の内容を、本人が知り得る状態に置かなければならないと規定されたものです。

安全管理措置の具体例については、「個人情報の保護に関する法律についてのガイドライン(通則編)」(https://www.ppc.go.jp/personalinfo/legal/2009_guidelines_tsusoku/#a8)を参照してください。

2 漏えい時の報告義務化

個人データ(個人情報データベース等を構成する個人情報)の漏えい、滅失、毀損等が生じ、個人の権利利益を害するおそれが大きい場合には、個人情報保護委員会に報告することと、本人に対して通知することが義務付けられました(改正法26条)。

これは、改正前は報告が義務付けられていなかったところ、積極的に対応しない事業者が一部存在しており、個人情報保護委員会が事案を適切に把握できないという事態に対処するため、報告及び本人への通知が義務付けられたものです。

3 越境移転に係る情報提供の充実

外国にある第三者への個人データ提供時に、移転先事業者における個人情報の取扱いに関する本人への情報提供の充実が求められます(改正法28条)。

改正前は、外国にある第三者に個人データを提供するには、①本人の同意、②基準に適合する体制を整備した事業者であること、③我が国と同等の水準国(EU、英国)であることが要件とされていました。今回の改正法の施行により、これに加えて、(1)本人の同意取得時に、移転先国の名称、移転先国における個人情報の保護に関する制度の有無等について本人に情報提供すること、(2)基準に適合する体制を整備した事業者について、移転先事業者の取扱状況等の定期的な確認を行い、本人の求めに応じて関連情報を提供することが必要となります。

これは、近年、Googleなどの多国籍企業が膨大な個人データを国境を越えて利用するようになり、本人が知らないまま個人データが越境移転する場合が増大していることに鑑み、越境移転の際、越境移転先における個人情報保護法制が不十分であると個人の権利利益が侵害されるおそれがあることから、情報提供を充実化させることが義務付けられたものです。

4 不適正利用の禁止

違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならないことが明記されました(改正法19条)。

これは、官報で公告される破産者情報を収集してデータベースを作成し、Googleマップに関連付けて「破産者マップ」が公開されたという問題が起きたことを代表するように、昨今の急速なデータ分析技術の向上等を背景として、潜在的に個人の権利利益の侵害につながることが懸念される個人情報の利用の形態がみられるようになったことを受けて規定されたものです。

「不当」とは、「違法」とまで言えなくても実質的にみて妥当でないことを意味します。上記の「破産者マップ」のようなものを作成する行為や、いわゆる名簿業者への情報提供行為が禁止されるということになります。

5 開示方法の拡充

保有個人データの開示方法は、電磁的記録の提供を含め、本人が指示できるようになりました(改正法33条1項)。

改正前は書面による交付が原則でしたが、電磁的記録の提供を求めることが可能となったものです。電磁的記録の提供は、例えば、CD-ROM等の媒体の郵送、電子メールの送信、ウェブサイトでのダウンロードなどです。

事業者としては、本人が求める方法で開示しなければなりません。もっとも、開示に多額の費用を要する場合その他の当該方法による開示が困難である場合は書面の交付による方法でも可能とされています(改正法33条2項)。実際上は、事業者側で可能な開示方法を事前に複数提示しておき、開示請求者にはその中から開示方法を選択させるという運用が望ましいと考えます。

6 利用停止・消去の拡充

①利用する必要がなくなった場合、②個人情報保護委員会への報告義務がある重大な漏えい等が発生した場合、③本人の権利又は正当な利益が害されるおそれがある場合に、保有個人データの利用停止又は消去を求めることができることになりました(改正法35条5項)。

これは、改正前は、利用停止又は消去を求めることができるのは、目的外利用や不正取得の場合に限定されていましたが、それに限らず、①から③の各場合にも利用停止又は消去を求めることができるようになったものです。

①利用する必要がなくなった場合とは、例えば、ダイレクトメールを送付するために保有していた情報について、本人からの求めを受けてダイレクトメールの送付を停止した後、本人が消去を請求した場合などです。

②重大漏えい等の場合とは、上記「2」のケースです。

③権利利益の侵害のおそれがある場合とは、退職した従業員の情報を自社のホームページに掲載し続け、本人の不利益となった場合などです。

7 個人関連情報の第三者提供規制

提供元では個人データに該当しないものの、提供先において個人データとなることが想定される情報の第三者提供について、本人の同意が得られていること等の確認が義務付けられました(改正法31条)。

これは、A社では誰の個人データかわからない情報について、これをB社に提供した場合、B社はA社と顧客IDなどを共有していて、B社において、A社から提供された個人データを自社内のIDなどと突合することで、IDなどと紐づいた個人データを取得することになるようなケースで、本人の同意が得られていること等の確認が必要とされたものです。

背景事情として、ユーザーデータを大量に集積し、それを瞬時に突合して個人データとする技術が発展・普及したことにより、提供先において個人データとなることをあらかじめ知りながら非個人情報として第三者に提供するというスキームが横行していることがあり、こうしたケースに本人の関与を必須としたものです。

以上