労務相談、管理者研修、未払い残業代請求対策なら労務管理センター

改正個人情報保護法(2022年4月施行)

   

個人情報が問題となった事件として、米フェイスブック(現メタ)の個人情報が2016年の米大統領選の世論操作に悪用された事件が代表例といわれています。また、日本では、就職情報サイトが閲覧履歴から無断で内定辞退率を予測・販売したリクナビ問題をあげることができます。これらの問題を受け個人データ保護への動きが強まってきています。そこで今回は、改正個人情報保護法を取り上げます。

2005年4月に個人情報を保護するための法律として「個人情報保護法」が施行され、今回の改正は、令和元(2019)年1月の「3年ごと見直しに係る検討の着眼点」に即したものです。
今回の改正点をまとめると6つとなります。端的に言えば、” 個人情報の取り扱いが厳格化され、漏えい時には通知が「完全義務化」され、「厳罰」が科される ”となります。

1.本人の権利保護の強化

2.事業者の責務の追加

3.企業の特定分野を対象とする団体の認定団体制度の新設

4.データ利活用の促進

5.法律違反に対するペナルティの強化(2020年12月12日施行)

6.外国の事業者に対する、報告徴収・立入検査などの罰則の追加

では、改正点の要約をひとつずつ旧法、新法で見ていきたいと思います。

1.本人の権利保護の強化

旧法:6か月以内に消去する短期保存データは、「保有個人データ」に含まれない。
新法:6か月以内に消去する短期保存データも、「保有個人データ」に含まれる。

旧法:個人情報取扱事業者による保有個人データの開示は、原則として書面の交付による方法とされている。
新法:本人は、電磁的記録の提供による方法など個人情報取扱事業者の開示方法を指定でき、個人情報取扱事業者は、原則として本人が請求した方法によって開示する義務を負う。

旧法:利用停止・消去請求ができる場合は、次の場合に限定されていた。
①個人情報を目的外利用した場合 ②不正手段により取得した場合
新法:次の場合も請求できるようになった。
③違法又は不正な行為を助長し又は誘発するおそれがある方法で利用した場合
④保有個人データを、事業者が利用する必要がなくなった場合
⑤保有個人データの漏えい等が生じた場合
⑥その他、保有個人データの取扱いにより、本人の権利利益が害されるおそれがある場合

旧法:第三者提供の停止請求ができる場合は、次の場合に限定されていた。
①本人の同意なく第三者に提供した場合 ②本人の同意なく外国にある第三者に提供した場合
新法:次の場合も請求できるようになった。
③保有個人データを、事業者が利用する必要がなくなった場合
④保有個人データの漏えい等が生じた場合
⑤その他、保有個人データの取扱いにより、本人の権利利益が害されるおそれがある場合

旧法:第三者提供記録は、本人による開示請求の対象ではなかった。
新法:第三者提供記録は、本人による開示請求の対象となった。

2.事業者の責務の追加

旧法:個人情報取扱事業者による、個人情報の漏えい等の発生時の個人情報保護委員会への報告、本人への通知は法定の義務ではなかった。
新法:個人情報取扱事業者は、個人情報の漏えい等の発生時は、個人情報保護委員会に報告し、本人に通知する義務を負う。

旧法:違法・不当な行為を助長・誘発するおそれがある方法による個人情報の利用について明文で禁止されていなかった。
新法:違法・不当な行為を助長・誘発するおそれがある方法による個人情報の利用が明文で禁止された。
→金融商品の約款など一方的な合意取得の商習慣は以前からあったが、デジタル時代になって乱用が激しくなった。それに法律が追いついていない。利用者がきちんと認識していない監視行為は違法とするべきだ。すべてサービスの提供者はどんな監視行為をしているのか具体的に明示したうえで本当の合意を得るよう、義務付ける必要がある。(米ハーバード経営大学院名誉教授 ショシャナ・ズボフ氏)

3.企業の特定分野を対象とする団体の認定団体制度の新設

旧法:認定団体制度は、対事業者の全ての分野における個人情報等の取扱いを対象とする団体に対して認定を行う制度だった。
新法:認定団体制度において、対事業者の特定の「事業の種類その他業務の範囲」に限定した個人情報の取扱いを対象とする団体を認定可能となった。

4.データの利活用の促進

旧法:「仮名加工情報」(他の情報と照合しない限り、特定の個人を識別することができないように個人情報を加工して得た個人に関する情報)でも、個人情報に該当するため、次の対応をしなければならなかった。・利用目的を特定・目的外利用の禁止・取得時の利用目的の公表・データ内容の正確性の確保
新法:「仮名加工情報」について事業者の義務が緩和され、個人を特定できないように変換した情報は、通常の個人情報に比して上記の対応をしなくてもよくなった。
→この改正により、社内の別の部署が同意なしで研究やAI学習などに個人情報を使えるようになる。(東京大学大学院教授 宍戸常寿(じょうじ)氏)

旧法:提供元では個人データではないものの、提供先で個人データとなることが想定される場合の規制はなかった。
新法:提供先で個人データとなることが想定される場合の確認が義務づけられた。

5.法定違反に対するペナルティの強化

旧法:
・措置命令の違反の罰則⇒6か月以下の懲役又は30万円以下の罰金
・個人情報データベース等の不正流用の罰則⇒1年以下の懲役又は50万円以下の罰金
・報告義務違反の罰則⇒30万以下の罰金
新法:
・措置命令の違反の罰則⇒1年以下の懲役又は100万円以下の罰金
・個人情報データベース等の不正流用の罰則⇒変化なし
・報告義務違反の罰則⇒50万以下の罰金

旧法:法人への罰則
・措置命令の違反の罰則⇒30万円以下の罰金
・個人情報データベース等の不正流用の罰則⇒50万円以下の罰金
・報告義務違反の罰則⇒30万以下の罰金
新法:
・措置命令の違反の罰則⇒1億円以下の罰金
・個人情報データベース等の不正流用の罰則⇒1億円以下の罰金
・報告義務違反の罰則⇒30万以下の罰金

6.外国の事業者に対する、報告徴収・立入検査などの罰則の追加

旧法:日本国内にある者の個人情報を取り扱う外国の事業者は、報告徴収・立入検査などの対象ではなかった。
新法:日本国内にある者の個人情報を取り扱う外国の事業者も、報告徴収・立入検査などの対象となった。

2020年春、国が企業に新型コロナウイルス対策に役立つ統計データの提供を要請しました。ヤフーは同意を得た利用者の位置情報や検索ワードなどを組み合わせて分析し、クラスターの発生が疑われる地域を推定した統計データを提供しました。我々は、過剰な個人データの収集・分析への懸念を深める一方で、利便性も求めています。多くの企業でも、” 保護 ” は法務、” 活用 ” は営業と一致していません。データを保護しながらビジネスに活用するためには、「利用者から知らなかったと言われないよう目的や方法を目立つ場所に載せ、丁寧に書くようにする。異なるデータが混ざらないように管理にも目を光らせる」(ヤフー データ保護責任者小柳輝(あきら)氏)ような顧客との向き合い方が会社に問われているのかもしれません。

 

 

 

 

 

 

 -