【2023年版】2020年改正個人情報保護法!改正のポイントをわかりやすく解説
2020(令和2)年に制定された改正個人情報保護法が、いよいよ2022(令和4)年4月1日に施行されました。 200…[続きを読む]
平成15年に交付、平成17年4月に施行された個人情報保護法。これによって、企業の従業員や顧客の個人情報に関する対応は大きく変化しました。当時、多くの企業がこれに対応を迫られたことと思います。
そして平成29年5月30日には、個人情報保護法について、大改正が行なわれ、新しい改正個人情報保護法が施行されることになります。
なお、この記事で解説する改正法の規定により、3年ごと見直しとして2020年にさらに改正法が成立しました。
一番の大きな違いは、これまでは適用除外であった「中小企業」などの小規模事業主も適用されることになる点です。
これまで対応する必要がなかった小さな法人・会社もしっかりとした整備を行わなくてはいけません。実際、今対応に追われている人事部・法務部の方も多いはず。そこで今回は、改正法の概要と中小企業の具体的な対応策、5000人要件削除、要配慮個人情報、個人識別符号などを考えていきたいと思います。
目次
今回、改正されるのは小さな変更点には止まりません。大改正といっても過言ではないほど全面的に改正が行われているため、先に、変更点の概観をみておきましょう。
今回の改正で一番の注目ポイントは「5000人要件の削除」です。
詳しくは、下記後述しますが、中小企業などの法人・小規模の事業者も規制対象になるため、早急に対応を迫られることになります。
これ以外にも
など改正範囲は多岐に渡ります。
これまで対応していなかった中小企業にとっては、実際具体的にどう対応すれば良いのかが問題となります。以下、具体的にみていきましょう。
まずは、大きな改正点から内容をチェックしていきましょう。
改正前の個人情報保護法2条3項5号では、「その取り扱う個人情報の量及び利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定める者」については、「除く」つまり「適用除外」としています。
そして、施行令2条では「この個人の権利利益を害するおそれが少ないもの」として、「個人情報によって識別される特定の個人の数」が「五千を超えない者」と規定していました。
本来であれば、プライバシー保護の観点から個人情報は厳格に保管されるべきであり、数に関係なく規制すべきことでしたが、中小企業など管理業務の負担への配慮から設けられた特例でした。
もっとも、今回、個人情報保護法施行から10年以上経っていること、小さな企業でも個人情報保護の必要性が高まっていることからこの5000人という要件が削除されることになりました。
このように、これまで関係なかった小規模の事業者も個人情報保護法に合わせた規則の整備をする必要があります。
個人情報保護法では、まず「個人情報」とは何かについて規定されています。
法2条1項1号では、個人情報とは、「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの」としています。
つまり、住所や氏名、生年月日の単体の情報だけではなく、これに付随して個人を特定できるものでなければいけないということです。
例えば、生年月日だけ保管していても、すぐに誰の誕生日かはわかりません。これは情報単体になるので、個人情報の概念には含まれません。また、死者の情報も含まれない点も注意すべきポイントです。
もっとも、今回の改正では、「個人識別符号」(改正法2条1項2号)という言葉が新たに定義されることになりました。
個人識別符号とは、「特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの」と規定されています。つまり、個人情報を特定できるような番号のことです。例えば、以下なども含まれます。
今回の改正で、個人識別符号が個人情報に含まれると規定されたことで「情報単体」でも保護すべき個人情報にあたるようになりました。
これまで個人情報の概念は緩やかに規定されていたのですが、今回の改正で曖昧だった部分が少しはっきりすることになりました。
情報単体でも、個人が識別できる番号はセキュリティ管理が必要であることを忘れないでおきましょう。
ここでは、これから対策を導入する中小企業・法人向けに個人情報保護法の基本的ルールをご説明します。そして、基本ルールを理解した上で、改正点があれば、その都度詳しく解説していきたいと思います。
まず、個人情報を取得・利用する際のルールを理解していきましょう。
個人情報を取得した場合は、その目的を本人に通知、または公表することが必要となります(法15条1項)。
取得目的については、具体的に特定して通知してください。また、特定した目的は公表し、あらかじめ公表していない場合には、本人に通知または、公表してください。
取得した情報に関しては、利用目的の範囲内でのみ利用可能です(法16条1項)。
簡単にいうと、配送するために住所を提供してもらった場合、ダイレクトメールを送る際に利用してはいけません。利用する場合は、あらかじめ利用目的に組み込んでおく必要があります。また、取得後に個人情報を他の目的に利用する場合は、本人の同意が必要です。
今回の改正で、個人情報取得の際に気をつけるべき内容として、要配慮個人情報の規定が挙げられます。
改正法2条3項では、要配慮個人情報を「本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報」と規定しています。
上述した情報は、勝手に他人には知られなくない情報であるため、差別などの不当な扱いを防止するという目的があります。
保管する際のルールをみていきましょう。
個人情報は法令を遵守し適切に取得しても、管理がおろそかであってはいけません。安全に管理するための措置を決めておきましょう。
また何より、しっかりと従業員を監督することが必要です。社員教育で、個人情報を私的に使ったり、口外したりしないように研修などを設けると安全対策としては万全といえるでしょう。
そして、個人情報の管理の委託を依頼する場合、依頼先をしっかりと監督するようにしてください。任せっぱなしではなく、個人情報が適切に管理されているのか報告を受けるようにするのが大切です。
では、次に第三者に提供する際のルールをチェックしていきましょう。
現行法23条1項は、「あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない」と規定しています。
最後に、開示に関するルールについても理解しておきましょう。
まず、以下の項目について、ホームページに公表するなど、本人の知りうる状態におきましょう。これによって、本人の求めに応じて遅滞なく対応することができます。
実際に、本人から請求があった場合は、個人情報を開示・訂正・利用停止などの措置をとりましょう(改正法25条など)。
もっとも、開示提供が義務付けられるのは、「保有個人データ」です。
「保有個人データ」とは、事業主に開示権限のあるデータで6ヶ月以内に消去するもの以外を指します。他の事業者から編集作業のみを委託されデータを渡された場合などは保有個人データにはあたりません。
個人情報の取り扱いに関し、苦情を受けたときは迅速に対応し、個人情報保護法にのっとり、適切な開示提供を行うようにしましょう。
これまで適用の対象となっていなかった中小企業などの小規模事業主・法人は、現在対応に迫られていることと思います。これまで全く対策をされていなかった会社では、基本方針の策定から、細かい規則まで作成するのは大変です。法務部や人事部などで個人情報保護法に対応するマニュアルを策定しても本当に対策として万全であるのか懸念されるケースも多くあります。
実際に作成された場合は、最後に専門家にチェックしてもらった法が安全といえるでしょう。また、これからという企業では、一から専門家に任せてしまう方法もあります。個人情報保護法改正で気になる点がある方は、ぜひ法律の専門家である弁護士に相談ください。