個人情報保護法が改正され、2022年4月1日に施行されました。この記事では改正個人情報保護法をできるだけわかりやすく解説します。
個人情報保護法には、「いわゆる3年ごと見直し」に関する規定があり、今般、自身の個人情報に対する意識の高まり、技術革新を踏まえた保護と利活用のバランス、越境データの流通増大に伴う新たなリスクへの対応等の観点から個人情報保護法が改正されました。
個人情報保護法改正 6つのポイント
1.本人の権利保護の強化
6か月以内に消去する個人データは開示請求の対象外とされていましたが、保存期間に関わらず、開示請求の対象となりました。
2)保有個人データの開示請求のデジタル化
保有個人データの開示方法について、以前は原則として書面によるものとされていましたが、電磁的記録の提供を含め、本人が指定する方法での開示を請求できるようになりました。
なお、電磁的記録とは、CD-ROMやUSBメモリ等の電子媒体での提供、オンラインやメール送信での提供などです。
3)利用停止、消去請求権、第三者提供禁止請求権の要件緩和
以前は利用停止や消去等の請求ができるのは、一部の個人情報保護法違反の場合に限定されていたが、①利用する必要がなくなった場合、②重大な漏えい等が発生した場合、③本人の権利または正当な利益が害される恐れがある場合にも、利用停止や消去等の請求ができるようになった。
4)個人データの授受について第三者提供の記録の開示請求権
本人が事業者間での個人データの流通を把握し、事業者に対する権利行使を容易にすべく、第三者提供記録の開示の請求ができることとなりました。
2.事業者が守るべき責務の追加
1)漏えい時の報告義務
個人データの漏えい等が発生し、個人の権利利益を害するおそれがあるときは、個人情報保護委員会への報告および本人への通知が義務化されました。
個人の権利利益を害するおそれがあるときに該当する事態
- 要配慮個人情報が含まれる事態
- 財産的被害が生じるおそれがある事態
- 不正の目的をもって行われた漏えい等が発生した事態
- 1,000人を超える漏えい等が発生した事態
2)不適正な利用の禁止
違法または不当な行為を助長するなどの不適正な方法による個人情報の利用を禁止することが明文化されました。
3.事業者による自主的な取組を促す制度の新設
民間による個人情報の保護の推進を図るために、自主的な取組を行うことを目的として、個人情報保護委員会の認定を受けた法人のことを認定個人情報保護団体といいますが、これまで事業者の全ての分野における個人情報等の取扱いを対象とする団体の認定を行っていましたが、事業者の特定の事業における個人情報の取扱いを対象とする団体を認定することが可能となりました。
4.データの利活用の促進
1)「仮名加工情報」の新設
匿名加工情報よりもデータの有用性を保ち、詳細な分析を可能にするために「仮名加工情報」が新設されました。仮名加工情報は、氏名等を削除し、他の情報と照合しない限り、特定の個人情報を識別できないように加工して得られる個人に関する情報です。
仮名加工情報は、内部分析に限定(第三者提供は禁止)することなどを条件に、本人の同意を得ずに利用目的を変更できたり、漏えい等の報告や本人への通知が対象外になったり、開示請求への対応の義務などが緩和されます。
2)提供先で個人データとなることが想定される場合の確認義務を新設
提供元では個人データではないものの、提供先で個人データとなることが想定される場合、第三者提供について本人の同意が得られていること等の確認が義務づけられました。
5.法令違反に対するペナルティの強化
今回の改正に伴い、2022年12月12日から個人情報の保護に関する法律(個人情報保護法)の法定刑が引上げられました。
主な変更点
- 委員会による命令違反・委員会に対する虚偽報告等の法定刑が引き上げられました。
- 命令違反等の罰金について、法人に対しては行為者よりも罰金刑の最高額が引き上げられました。
出典:個人情報保護委員会ウェブサイト
https://www.ppc.go.jp/personalinfo/legal/kaiseihogohou/
6.外国事業者に対する報告徴収・立入検査などの罰則強化
日本国内にある者に係る個人情報等を取り扱う外国事業者を、罰則によって担保された報告徴収・命令の対象となりました。つまり、国内の事業者と同様に報告徴収や立入検査、命令に関する規定も適用されることになりました。