改正個人情報保護法について

令和4年4月1日施行の改正個人情報保護法について

個人情報保護法は平成27年の改正で、技術や社会情勢に変化に対応するために「3年ごとに見直す」ことが定められました。この定めに従い、昨年(令和2年)6月に改正個人情報保護法が成立し、周知期間を経て令和4年4月1日に全面施行されます(一部施行済み)。

改正法では、

・個人情報に関連する犯罪・事故の抑止

・本人の権利の拡大

・個人情報の利活用を図る

ことを目指しています。

しかし、この改正法には新しい個人情報に関する概念が登場するなど以前にもまして難解です。

弁護士による解説文書も間違っていることも多いので、ここで簡単に解説します。

主なポイントは以下の通りです。

① 個人の権利の拡大

② 事業者の責務

③ 認定個人情報保護団体について

④ 個人データ利活用について

⑤ 違反時のペナルティの重罰化

⑥ 法の域外適用・越境移転について

以下、事業者にとって重要なポイントを解説します。

① 個人の権利の拡大

従来、自分の個人情報の利用(例.DM送付)を止めて欲しいと思っても、事業者が違法取得や目的外利用など不法行為がなければ「利用停止請求権」自体がありませんでしたが、原則として利用停止請求ができるようになりました。

このような利用停止請求権の拡大など、いくつかの本人の権利の拡大に伴い、事業者も以下のような対応が必要になります。

・保有個人データ(開示等の請求に対応すべきもの)に短期消去予定のものも含む

・保有個人データの利用停止請求への対応

保有個人データの開示について、電子的な方法も含める(CD,メール、ダウンロードなど)

 =>事業者は対応が必要です

・名簿事業者は、本人から自分の個人情報をいつだれに売ったかの開示請求への対応

・名簿事業者は、他の名簿事業者から購入した名簿の転売禁止

(事業者は名簿購入時に転売された名簿ではないことを確認する義務を負う)

② 事業者の責務

・要配慮個人情報やクレジットカード情報の漏えい時には、個人情報保護委員会への報告を義務化(従来は、努力義務)

報告は、速報3日以内、確報を30日以内にする

・個人情報の適正な取得に加えて、不適正な利用や不適正な利用の可能性のある利用法の禁止。

・保有個人データに関する事項の周知に、以下の事項を追加

- 安全管理措置の概要(公表により支障を及ぼすおそれがあるものを除く。)

- プロファイリングする場合にはその旨

=>HPの修正が必要です

認定個人情報保護団体について(省略)

④ 個人データ利活用について(利活用推進とともに、GAFA対策)

・「仮名加工情報」を創設。内部分析やAIに学習させるなど、仮名化し、かつ内部利用に限り利用目的変更の手続きなどを緩和

・「個人関連情報」(クッキーやIPアドレスなど個人情報ではない個人に関する情報)を創設。第三者提供する際、提供先で個人情報と組み合わせて活用する場合には、提供先が本人の同意を得るか、提供元が代理で同意を取得しておく。

⑤ 違反時のペナルティの重罰化

個人情報保護法にも刑罰があり、会社の個人情報を外部に横流ししたりすると「個人情報データベース提供罪」が適用され、罰金刑が課されましたが、今回の改正で法人罰(従業者が違法行為をした場合、違法行為を止めるための十分な措置(教育や誓約書)を十分に取っていなかった場合に連座)が重罰化されました。

・行為者:50万円以下の罰金 または 1年以下の懲役の併科

・法人 :1億円以下の罰金

この罰則の強化は、すでに令和2年12月12日から適用されています。

ちなみに、個人情報に限らない「不正競争防止法」での営業秘密摂取罪は、以下のようになっています。

・行為者:2000万円以下の罰金 および/または 10年以下の懲役の併科

・法人 :5億円以下の罰金(海外重課10億円)

こちらの方が刑罰が重いので、実務ではこちらが使われるでしょう。

⑥ 法の域外適用・越境移転について

・国内の者の個人情報を外国で取り扱う外国事業者にも法を適用する

外国にある第三者に個人データを提供(第三者提供・委託)する場合に本人の同意を得る場合(EU域以外や委託先審査をしていない場合)には、以下の事項も示す。

- 移転先の国 (例:AWS米国西部リージョンを利用しています)

- カントリーリスク(例:当該外国では「米国自由法」と「海外データ合法的使用明確化法(CLOUD法)」の適用を受けます)

- 情報参照先 (例:国立国会図書館海外立法考査局)

また、「保有個人データに関する事項の周知」内で安全管理にする事項として周知することが必要。

=>調査やHPの修正が必要です

以上