2022年4月に改正個人情報保護法が施行されました。個人情報保護法は3年ごとに見直しが行われますので、今回の改正は現代のニーズに合わせた内容となっています。本記事では、改正内容について保護される対象となる個人情報の種類を交えて詳しく解説します。
目次
個人情報の種類
保護の対象となる個人情報は、以下の3種類に分けられます。
それぞれ詳しく解説します。
個人情報データベース
個人情報データベースとは、個人情報をリスト化もしくはデータ化して、パソコンなどで検索できるようにしたものです。例えば、顧客リストなどが該当します。
個人データ
個人情報データベースに収められているそれぞれの個人情報を個人データと呼びます。個人データには、個人の氏名や住所、電話番号、生年月日などの情報が該当します。
保有個人データ
個人データに対して開示請求を行う場合、その要望に応じなければいけません。保有個人データとは開示請求で開示できる情報、もしくは訂正できる個人情報、第三者に対して提示を拒否できる情報を指します。
個人情報保護法の改正内容
個人情報保護法の改正は2020年6月12日に公布され、2022年4月1日に施行されました。改正によって、個人情報保護に関連した以下の6点が変更されました。
- 個人の権利をより強力に保護する
- 個人情報保護における事業者責任の明確化
- 対象事業者の事業のうち、特定の事業に限定して認定することが可能
- 個人情報のデータ管理に関する変更
- 罰則の厳罰化
- 外資系の事業者に対する罰則の追加
それぞれの変更点について詳しく解説します。
個人の権利をより強力に保護する
個人情報保護法の改正によって、短期間でも個人に関する情報(保有個人データ)も個人情報保護法の対象にすることが盛り込まれました。以前のルールでは6ヶ月以内の個人情報に関するデータは保護の対象から外れていましたが、改正によって今後は短期間であっても保護の対象になります。
また開示請求を電子的な方法で行えるようになった点も変更されました。従来では紙ベースでの開示のみでしたが、電子データで開示請求ができるようになったためよりスピーディな対応が可能になりました。
開示の実施方法は、以下のように定められています(個人情報保護法第87条)。
(開示の実施)
第八十七条 保有個人情報の開示は、当該保有個人情報が、文書又は図画に記録されているときは閲覧又は写しの交付により、電磁的記録に記録されているときはその種別、情報化の進展状況等を勘案して行政機関等が定める方法により行う。ただし、閲覧の方法による保有個人情報の開示にあっては、行政機関の長等は、当該保有個人情報が記録されている文書又は図画の保存に支障を生ずるおそれがあると認めるとき、その他正当な理由があるときは、その写しにより、これを行うことができる。
2 行政機関等は、前項の規定に基づく電磁的記録についての開示の方法に関する定めを一般の閲覧に供しなければならない。
3 開示決定に基づき保有個人情報の開示を受ける者は、政令で定めるところにより、当該開示決定をした行政機関の長等に対し、その求める開示の実施の方法その他の政令で定める事項を申し出なければならない。
4 前項の規定による申出は、第八十二条第一項に規定する通知があった日から三十日以内にしなければならない。ただし、当該期間内に当該申出をすることができないことにつき正当な理由があるときは、この限りでない。
引用元:個人情報の保護に関する法律|e-Gov 法令検索
さらに保有されている個人の情報の消去請求や利用停止の申請、第三者への提供を停止できる措置が緩和されました。改正前は目的外での個人情報の利用や不正利用などに限ってそれらの手段を行使できましたが、この条件が撤廃されたため、個人の権利をより尊重する内容になっています。
この緩和措置以外にも、個人のデータが他に漏れてしまった場合や個人が不利益を被った場合における第三者への個人情報の提供を停止するための請求も認められました。利用の停止請求に関しては、以下のように定義されています(個人情報保護法第98条)。
(利用停止請求権)
第九十八条 何人も、自己を本人とする保有個人情報が次の各号のいずれかに該当すると思料するときは、この法律の定めるところにより、当該保有個人情報を保有する行政機関の長等に対し、当該各号に定める措置を請求することができる。ただし、当該保有個人情報の利用の停止、消去又は提供の停止(以下この節において「利用停止」という。)に関して他の法令の規定により特別の手続が定められているときは、この限りでない。
一 第六十一条第二項の規定に違反して保有されているとき、第六十三条の規定に違反して取り扱われているとき、第六十四条の規定に違反して取得されたものであるとき、又は第六十九条第一項及び第二項の規定に違反して利用されているとき当該保有個人情報の利用の停止又は消去
二 第六十九条第一項及び第二項又は第七十一条第一項の規定に違反して提供されているとき当該保有個人情報の提供の停止
2 代理人は、本人に代わって前項の規定による利用停止の請求(以下この節及び第百二十七条において「利用停止請求」という。)をすることができる。
3 利用停止請求は、保有個人情報の開示を受けた日から九十日以内にしなければならない。
引用元:個人情報の保護に関する法律|e-Gov 法令検索
注目できる点として、第三者提供記録に関する開示請求ができるようになった点も注目されています。第三者提供記録とは。個人情報を第三者に提供する場合、その記録を都度作成して保存することです。個人情報がどこまで伝わったかが確認できるだけでなく、個人情報の利用先を特定し、利用の停止を請求できるようになっています。
そのため本人が請求しても知らされなかった個人情報の足取りを確認できるようになり、利用停止すれば個人情報の漏洩を防げるようになりました。第三者提供記録については、以下のように定められています(個人情報保護法第37条)。
(開示等の請求等に応じる手続)
第三十七条 個人情報取扱事業者は、第三十二条第二項の規定による求め又は第三十三条第一項(同条第五項において準用する場合を含む。次条第一項及び第三十九条において同じ。)、第三十四条第一項若しくは第三十五条第一項、第三項若しくは第五項の規定による請求(以下この条及び第五十四条第一項において「開示等の請求等」という。)に関し、政令で定めるところにより、その求め又は請求を受け付ける方法を定めることができる。この場合において、本人は、当該方法に従って、開示等の請求等を行わなければならない。
2 個人情報取扱事業者は、本人に対し、開示等の請求等に関し、その対象となる保有個人データ又は第三者提供記録を特定するに足りる事項の提示を求めることができる。この場合において、個人情報取扱事業者は、本人が容易かつ的確に開示等の請求等をすることができるよう、当該保有個人データ又は当該第三者提供記録の特定に資する情報の提供その他本人の利便を考慮した適切な措置をとらなければならない。
3 開示等の請求等は、政令で定めるところにより、代理人によってすることができる。
4 個人情報取扱事業者は、前三項の規定に基づき開示等の請求等に応じる手続を定めるに当たっては、本人に過重な負担を課するものとならないよう配慮しなければならない。
引用元:個人情報の保護に関する法律|e-Gov 法令検索
個人情報を保有する事業者の責任の明確化
改正個人情報保護法では、個人情報の漏洩に対処するため、個人情報を保有する事業者への責任をより明確化しています。万一個人情報が漏洩した場合、報告義務が課されますので、企業がより大きな責任を負うことになります。また漏洩した個人情報についても、対象になる個人への報告も義務化されました。
このように事業者は個人情報が漏洩した場合、社会的な責任を負うことになるだけでなく、個人の信頼関係を大きく損なうことにもつながりかねないことの警告にもなっていますので。
漏洩した場合の報告義務については、以下のように定められています。
(漏えい等の報告等)
第二十六条 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を個人情報保護委員会に報告しなければならない。ただし、当該個人情報取扱事業者が、他の個人情報取扱事業者又は行政機関等から当該個人データの取扱いの全部又は一部の委託を受けた場合であって、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を当該他の個人情報取扱事業者又は行政機関等に通知したときは、この限りでない。
2 前項に規定する場合には、個人情報取扱事業者(同項ただし書の規定による通知をした者を除く。)は、本人に対し、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を通知しなければならない。ただし、本人への通知が困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
引用元:個人情報の保護に関する法律|e-Gov 法令検索
さらに事業者は個人情報を不適正な形で利用することも禁止されました。今回の改正では違法行為を誘発する恐れがある場合についても、罰則の対象になることが明記されることになったため、より踏み込んだ形で事業者の責任を明らかにしています。
(不適正な利用の禁止)
第十九条 個人情報取扱事業者は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない。
引用元:個人情報の保護に関する法律|e-Gov 法令検索
対象事業者の事業のうち、特定の事業に限定して認定することが可能
事業者が個人情報を保有する場合、団体による認定制度も設けられました。当該制度の拡充によって、個人情報保護のための取り組みがより強化されることになり、個人情報漏洩につながりかねないリスクを抑えることが期待されています。
団体による認定制度については、以下のように定められています。
第五節 民間団体による個人情報の保護の推進
(認定)
第四十七条 個人情報取扱事業者、仮名加工情報取扱事業者又は匿名加工情報取扱事業者(以下この章において「個人情報取扱事業者等」という。)の個人情報、仮名加工情報又は匿名加工情報(以下この章において「個人情報等」という。)の適正な取扱いの確保を目的として次に掲げる業務を行おうとする法人(法人でない団体で代表者又は管理人の定めのあるものを含む。次条第三号ロにおいて同じ。)は、個人情報保護委員会の認定を受けることができる。
一 業務の対象となる個人情報取扱事業者等(以下この節において「対象事業者」という。)の個人情報等の取扱いに関する第五十三条の規定による苦情の処理
二 個人情報等の適正な取扱いの確保に寄与する事項についての対象事業者に対する情報の提供
三 前二号に掲げるもののほか、対象事業者の個人情報等の適正な取扱いの確保に関し必要な業務
2 前項の認定は、対象とする個人情報取扱事業者等の事業の種類その他の業務の範囲を限定して行うことができる。
3 第一項の認定を受けようとする者は、政令で定めるところにより、個人情報保護委員会に申請しなければならない。
4 個人情報保護委員会は、第一項の認定をしたときは、その旨(第二項の規定により業務の範囲を限定する認定にあっては、その認定に係る業務の範囲を含む。)を公示しなければならない。
引用元:個人情報の保護に関する法律|e-Gov 法令検索
個人情報のデータ管理に関する変更
個人情報のデータ化を推進するために、仮名加工情報に関する条項が緩和されました。これまでは個人情報を管理するにあたり、情報を加工するなど何らかの方法で個人を特定できないようにして一定の条件をクリアする必要がありました。
しかし、実態としては加工された個人情報は事業者以外では特定が難しい状況だったにもかかわらず、一般の個人情報と同じように厳重に管理しなければならなかったため、手間がかかるデメリットから浸透しませんでした。
そこで今回の改正では仮名加工情報が追加され、個人情報を加工して保管する場合には個人情報と同等に扱う必要はなくなり、事業者の負担が軽減されました。
仮名加工情報に関しては、以下のように定められています。
(匿名加工情報の作成等)
第四十三条 個人情報取扱事業者は、匿名加工情報(匿名加工情報データベース等を構成するものに限る。以下この章及び第六章において同じ。)を作成するときは、特定の個人を識別すること及びその作成に用いる個人情報を復元することができないようにするために必要なものとして個人情報保護委員会規則で定める基準に従い、当該個人情報を加工しなければならない。
2 個人情報取扱事業者は、匿名加工情報を作成したときは、その作成に用いた個人情報から削除した記述等及び個人識別符号並びに前項の規定により行った加工の方法に関する情報の漏えいを防止するために必要なものとして個人情報保護委員会規則で定める基準に従い、これらの情報の安全管理のための措置を講じなければならない。
3 個人情報取扱事業者は、匿名加工情報を作成したときは、個人情報保護委員会規則で定めるところにより、当該匿名加工情報に含まれる個人に関する情報の項目を公表しなければならない。
4 個人情報取扱事業者は、匿名加工情報を作成して当該匿名加工情報を第三者に提供するときは、個人情報保護委員会規則で定めるところにより、あらかじめ、第三者に提供される匿名加工情報に含まれる個人に関する情報の項目及びその提供の方法について公表するとともに、当該第三者に対して、当該提供に係る情報が匿名加工情報である旨を明示しなければならない。
5 個人情報取扱事業者は、匿名加工情報を作成して自ら当該匿名加工情報を取り扱うに当たっては、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該匿名加工情報を他の情報と照合してはならない。
6 個人情報取扱事業者は、匿名加工情報を作成したときは、当該匿名加工情報の安全管理のために必要かつ適切な措置、当該匿名加工情報の作成その他の取扱いに関する苦情の処理その他の当該匿名加工情報の適正な取扱いを確保するために必要な措置を自ら講じ、かつ、当該措置の内容を公表するよう努めなければならない。
引用元:個人情報の保護に関する法律|e-Gov 法令検索
罰則の厳罰化
個人情報保護法に違反した場合の罰則がより厳罰化されました。事業者はより重い責任を負うことになるため、個人情報保護のための措置をより厳重に行う必要が求められます。改正後の個人情報保護法では、2年以下の懲役もしくは100万円以下の罰金と定められています。
また個人情報を漏洩させてしまった場合の法人に対する罰金が最大1億円まで引き上げられ、担当者や責任者が懲役刑になる場合もあります。
罰則については以下のように定められています。
第百七十六条 行政機関等の職員若しくは職員であった者、第六十六条第二項各号に定める業務若しくは第七十三条第五項若しくは第百二十一条第三項の委託を受けた業務に従事している者若しくは従事していた者又は行政機関等において個人情報、仮名加工情報若しくは匿名加工情報の取扱いに従事している派遣労働者若しくは従事していた派遣労働者が、正当な理由がないのに、個人の秘密に属する事項が記録された第六十条第二項第一号に係る個人情報ファイル(その全部又は一部を複製し、又は加工したものを含む。)を提供したときは、二年以下の懲役又は百万円以下の罰金に処する。
第百七十七条 第百四十三条の規定に違反して秘密を漏らし、又は盗用した者は、二年以下の懲役又は百万円以下の罰金に処する。
引用元:個人情報の保護に関する法律|e-Gov 法令検索
第百八十四条 法人の代表者又は法人若しくは人の代理人、使用人その他の従業者が、その法人又は人の業務に関して、次の各号に掲げる違反行為をしたときは、行為者を罰するほか、その法人に対して当該各号に定める罰金刑を、その人に対して各本条の罰金刑を科する。
一 第百七十八条及び第百七十九条 一億円以下の罰金刑
二 第百八十二条 同条の罰金刑
2 法人でない団体について前項の規定の適用がある場合には、その代表者又は管理人が、その訴訟行為につき法人でない団体を代表するほか、法人を被告人又は被疑者とする場合の刑事訴訟に関する法律の規定を準用する。
引用元:個人情報の保護に関する法律|e-Gov 法令検索
外資系の事業者に対する罰則の追加
個人情報の漏洩は、外資系の企業でも起こっています。そこで昨今の情報漏洩事件を踏まえて、外資系企業などへの立入検査など監査体制が強化されました。法令に違反した場合には立ち入り調査の対象になり、企業責任が問われることになります。
個人情報を扱う際に覚えておきたい基本ルール
個人情報を扱う場合、プライバシーポリシーなどで利用する目的を明確にする必要があります。なぜなら目的なく個人情報を利用したり閲覧したりすることは、法令に抵触するからです。そのため個人情報を収集する場合には、その目的を知らせておく必要があります。
管理体制の充実も必要です。個人情報が漏洩した場合には、企業に大きな責任が科されるになるため、ファイヤーウォールの強化などの措置を行いましょう。
第三者への提供は許可を得た場合を除いて、決して渡してはいけません。また許可を得た場合でも、第三者に提供した記録を残しておく必要があります。
万一個人情報が漏洩してしまった場合には、個人情報を保護するための第三者委員会に報告を行い、漏洩した可能性のある個人にその情報を速やかに知らせなければいけません。初動が遅れた場合、損害賠償などが必要になる可能性もあるので、事業者は責任を持って対処する必要があります。
求められている個人情報保護の管理体制
改正個人情報保護法の施行によって、個人情報を厳格に管理する必要性が高くなっています。万一個人情報が漏洩した場合の罰則も強化されていることから企業の責任はますます大きくなっていますので、個人情報漏洩を起こさないための対策が必要です。
個人情報は不正利用されると甚大な被害を及ぼしかねませんので、厳格な管理体制を整えて漏洩防止に努めましょう。