個人情報保護法違反とは?概要、罰則と事例をわかりやすく解説
個人情報保護法が適用されたケースには、どのようなものがあるのかも知っておくと役立ちます。そこで今回は、個人情報保護法…[続きを読む]
2020(令和2)年に制定された改正個人情報保護法が、いよいよ2022(令和4)年4月1日に施行されました。
2003(平成15)年に初めて成立した個人情報保護法は、その後、2015(平成27)年に大改正が行われましたが、2020(令和2)年の改正は、さらに現代の情報社会にキャッチアップが期待される内容となっています。
個人情報の改正に伴い、企業としては、これまでの個人情報管理体制を見直す必要があります。
また、情報化社会のスピーディーな進展に遅れぬよう、既に、個人情報保護制度の官民一元化を目指した2021(令和3)年改正個人情報保護法が同年5月に成立し、その一部は2021(令和2)年改正法と同じ、2022(令和4)年4月1日に施行されます。
まさに個人情報保護をめぐる動きは激しく動いており、目を離すことはできません。
法改正のポイント・内容を正しく理解して、企業担当者の方は自社のオペレーションに見直すべき点がないかを見直しましょう。
この記事では、2020年(令和2)改正個人情報保護法の重要ポイントについて、背景の概要、企業対応や第三者提供禁止、cookie(クッキー)、オプトアウト方式などわかりやすく解説します。
目次
2020年(令和2)に個人情報保護法が改正、そして2022年に施行された理由・背景の概要としては、以下のような事情が存在しますので解説します。
2015年(平成27)に個人情報保護法が大きく改正された際、情報技術発展のスピードが非常に速いことを考慮し、個人情報保護法の内容もできる限り適時にそのスピードに対応していくことが課題とされました。
このような観点から、2015(平成27)年改正法の改正附則12条3項において、同改正法の施行後3年ごとに、個人情報保護に関する実情を勘案した上で改善検討を行い、所要の措置を講ずるものとされました。
いわゆる「3年ごと見直し」と呼ばれるものです。
2015年の改正法は2017年(平成29)から施行されたため、2020年(令和2)がちょうど施行から3年にあたりました。
そのため、現在の個人情報保護に関する世間の状況を勘案して、個人情報保護法の内容が見直されたということです。
2020(令和2)年の改正において最も重視された点は、国際的な個人データ流通量の増大と、利用可能性の拡大が進んでいるという事実です。
特にビッグデータの活用が注目される中で、個人データの流通量・利用可能性がともに大きく広がる一方、個人の権利利益の保護と対立する場面も増えてきました。
実際の例では、就職情報サイトが、Cookie(クッキー)を利用して就活生の内定辞退率を予測し、そのデータを無断で販売していたことが問題となったこともあります。
2020(令和2)年の改正では、個人の権利利益の保護と個人データ利用のバランスを取るためのルールを決めることが一つのコンセプトになっています。
2020(令和2)年、そして2022年に施行の改正をわかりやすく言うと、もっとも重要なポイントは、本人の個人情報に関する権利が拡大された点です。その内容について以下わかりやすく解説致します。
現行法では、本人が個人データの利用停止または消去を請求できるのは、個人情報保護法に違反して不正利用又は不正取得されている場合に限られています。
しかし改正法では、これに加えて以下の場合にも、個人データの利用停止・消去・第三者提供禁止を事業者に対して請求することができるようになります(改正法30条5項、6項)。
従来から、本人は事業者に対して、本人が識別される保有個人データの開示を請求することができるとされていました。
しかし、開示の方法については政令で定める方法(原則として書面の交付)によるとされ、本人が開示方法を指定することはできませんでした。
2022年施行の改正法では、事業者に対する保有個人データの開示に関して、本人がデーターでの受取りなども含めた開示方法を指定できるようになりました(改正法28条2項)。
ただし、本人指定の方法による開示に多額の費用を要するなど、その方法による開示が困難な場合には、書面の交付による方法により開示が行われます。
さらに、本人から事業者に対して開示請求が可能な事項として、個人データの第三者提供記録も対象に追加されました(改正法28条5項)。
本人から事業者に対して開示請求や利用停止請求を行うことができるのは、「保有個人データ」に該当するデータとされています。
従来は、6か月以内消去されることとなる短期保存データ(たとえばCookieなど)については「保有個人データ」の定義に含まれておらず、そのため短期保存データの開示請求や利用停止請求などを行うことはできませんでした。
改正法では、「保有個人データ」の定義が改正され、短期保存データについても開示請求や利用停止請求などの対象となりました(改正法2条7項)。
従来(現行法では)、オプトアウト方式を利用することにより、本人の同意なく個人データの第三者提供を行うことができます。
オプトアウト方式とは、本人が反対しない限り、個人データの第三者提供に同意したものとみなすものです。
具体的には、以下の1・2の要件を満たす場合には、本人の同意なく個人データの第三者提供を行いつつ、本人の請求があって初めて個人データの第三者提供を停止するという取り扱いをすることができます。
改正法では、本人の個人データに関する権利を保護するため、従来から対象外であった要配慮個人情報に加えて、以下の個人データについても、オプトアウト方式による第三者提供の対象外とされました(改正法23条2項)。
さらに、本人へ通知等を行い、個人情報保護委員会に対する届け出を行うべき事項として、以下の事項が追加されました。
個人情報を取り扱う事業者の責務に関する規定も、より厳格な内容へと変更されています。企業がしっかり対応すべきポイントについてわかりやすい解説を下記行います。
現行法下では、個人情報の漏洩、滅失、毀損などが発生した場合、個人情報保護委員会に対する漏洩報告を行うかどうかの判断は事業者に委ねられています。
しかし改正法では、個人情報の漏洩等が発生した場合、漏洩報告が一部義務化されることになりました(改正法22条の2第1項)。
漏洩報告が義務化される対象となる漏洩等は、「個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるもの」とされています。
これを受け、「個人情報の保護に関する法律施行規則」が改正され、報告義務の対象は、次のように定められました(令和3年3月24日公布)。
漏洩報告義務の対象(同規則6条の2)
①要配慮個人情報
②不正利用による財産的被害が発生するおそれがある場合
③漏洩等が不正の目的で行われたおそれのある場合
④1000人を超える個人データの漏えい等
また同規則では、報告の方法も新たに定められました。まず事態を知った後、速やかに、その時点で把握している事項を「速報」し、さらに調査判明した事実を30日以内(不正目的の漏洩などのケースは60日以内)に「確報」することが義務となりました(同規則6条の3)。
なお、事業者が個人情報保護委員会に対する漏洩報告を行う義務を負うケースでは、原則として漏洩等について本人にも通知しなければならないものとされています(改正法22条の2第2項)。
事業者は、違法または不当な行為を助長し、または誘発するおそれがある不適正な方法で個人情報を利用してはならない旨が明確化されました(改正法16条の2)。
現在、民間における自主的な個人情報保護の取り組みを支援するため、個人情報保護委員会による「個人情報保護団体」の認定制度が運用されています。
個人情報保護団体とは、個人情報を取り扱う事業者に対する顧客などからの苦情を処理し、同事業者に個人情報の適正な取扱いに資する情報を提供するなどの活動を行う団体です。
例えば、ある分野の業界で、事業者が協力して、このような団体を設立して認定を受け、個人情報に関する苦情を適正に処理できれば、顧客からの信頼も増すなどのメリットがあります。
さて、現行法では、対象事業者が展開しているすべての事業分野(事業部門)を対象とした個人情報保護団体でなければ認定できないことになっています。
しかし、個人情報保護団体の実質は業界団体ですから、当然、分野毎に得手不得手があります。他方、対象事業者が様々な種類の事業を展開している場合には、事業の種類毎に、その分野の個人情報保護問題の取扱いを得意とする団体を利用したいと考えます。
そこで、改正法では、対象事業者の特定分野(部門)を対象とする個人情報保護団の認定も可能としました。事業者側にとって個人情報保護団体を利用しやすくなったわけです(改正法47条2項)。
個人データを活用したイノベーションを促進する観点や、個人データの加工方法が多様化したことによる新しい問題に対応する観点から、「仮名加工情報」「個人関連情報」という新しい概念を導入したルールの変更が行われています。ポイントをわかりやすく解説致します。
仮名加工情報とは、個人情報に含まれる記述の一部や個人識別符号を削除することにより、他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工した情報をいいます(改正法2条9項)。
仮名加工情報の加工方法としては、既存の「匿名加工情報」(個人情報を識別できず、復元もできないように加工)よりも簡易なものが想定されています。
仮名加工情報の利用用途は事業者の内部分析に限定され、第三者への提供は禁止されますが、その一方で本人からの開示請求・利用停止・消去請求への対応義務はなく、漏洩時の報告義務もないなど、取扱者の責任が、通常の個人情報の場合よりも緩和されています。
仮名加工情報に関する規制の詳細については、個人情報保護委員会のガイドライン(※)が公表されています。
※個人情報の保護に関する法律についてのガイドライン (仮名加工情報・匿名加工情報編)
https://public-comment.e-gov.go.jp/servlet/PcmFileDownload?seqNo=0000223342
個人関連情報とは、個人に関する情報ではあるものの、個人情報・仮名加工情報・匿名加工情報のいずれにも該当しないものをいいます。
例えばわかりやすく具体的に言うと、Cookie、IPアドレス、位置情報、端末のID、閲覧履歴、商品購買歴などです。
個人関連情報は個人情報保護法による規制の対象外となるのが原則です。
しかし、例えば、個人関連情報に過ぎない「B情報」でも、既存の個人情報である「A情報」のデータベースに合体させれば、全体として「個人情報A+B」のデータベースとして利用できる場合があります。
そこで、個人関連情報が第三者に提供される場合で、提供先においては個人データとして利用するために取得されるのだと想定される場合には、提供先の第三者が本人の同意を取得していること等を、個人関連情報を提供する側が確認することが必要となります(改正法26条の2)。
個人情報保護法による規制をより実効化するため、各違反についての法定刑が引き上げられました。ポイントをわかりやすく解説致します。
こちらについては、下記記事に解説を譲ります。
インターネットを利用することによって、個人データを日本国内から海外に対して送信することも容易に行える状況があるなかで、外国事業者に対しても個人情報保護法の規制を広く適用していく方向での改正が行われました。
現行法下では、外国事業者については一律で、個人情報保護委員会による報告徴収や命令の対象外とされていました。
しかし、個人データなどの越境移転が盛んに行われている実態に鑑み、日本国内にある者に係る個人情報等を取り扱う外国事業者が、新たに報告徴収・命令の対象とされました(改正法75条)。
国内の事業者が外国事業者に対して個人データを提供する場合、本人から見て個人データがどのように取り扱われることになるかがわかりにくいという問題があります。
これに対応して、外国事業者に対して個人データを提供する場合には、国外の第三者へ個人情報を提供することについての本人の同意を取得する際に、当該外国における個人情報の保護に関する制度などについての情報を提供しなければならないものとされました(改正法24条2項)。
また、国内の事業者が外国事業者に対して個人データを提供する際には、外国事業者においても日本の個人情報取扱事業者が講ずべきとされている措置に相当する措置が実施されるように、必要な措置を講じなければならないことも併せて規定されています(改正法24条3項)。
今回の2022年施行の個人情報保護法改正のポイント、 またcookieなどについてもわかりやすく解説致しました。今回の改正は、際限のない個人データの利用に一定の歯止めをかけるため、全体的に規制を強化する方向性が見られます。
個人情報を取り扱う事業者は、改正法の内容を踏まえて、個人情報の取り扱い方法について見直す必要があるでしょう。
また、今後改正法の施行に向けて、個人情報保護委員会規則の整備など、実際の運用を見据えたアップデートが行われることになります。
そのため、個人情報保護法の改正に関する最新の動向を注視しなければなりません。
企業が改正法に合わせたオペレーションの見直しを行う際には、弁護士のわかりやすい解説を受けて法的に万全を期すことをおすすめします。