個人情報保護法改正施行!労務・法務担当の対策ポイントを弁護士が解説
- 公開日
目次
こんにちは、弁護士法人ALG&Associate大阪法律事務所の長田弘樹です。
2022年4月から改正された個人情報保護法では、企業の責任や義務、罰則が強化されました。個人情報の取り扱いを誤れば、ビジネス継続すら危ぶまれることも考えられます。労務・法務担当者が注意するべきポイントについて解説いたします。
個人情報保護法とは?
個人情報保護法(以下、「法」)とは、企業や団体、行政機関等が個人情報を取り扱う際に順守すべき義務を定め、利用者や消費者の権利利益を保護するとともに、個人情報を有効に活用できるよう共通のルールを定めた法律です(法1条)。
デジタル技術の飛躍的な進展によって、ビッグデータの収集・分析が可能となり、また、経済・社会活動のグローバル化にともなって、越境データの流通が増大するなど、利用される個人情報は質・量ともに変化しています。
このような社会の変化に対応できるよう、平成27年の法改正で3年ごとの見直し規定が盛り込まれ、令和2年に3年ごとの見直し規定にもとづく初めての法改正がありました(令和4年4月1日全面施行)。
改正のポイント
(1)開示請求などの対象拡大
個人情報取扱事業者に対する個人の請求権が拡充されました。
従前、個人情報取扱業者に対し、個人データの利用停止または消去を請求することができるのは、目的外利用、不正取得の場合に限られていました(旧法30条1項)。また、第三者への提供の停止ができるのは、第三者提供義務違反の場合に限定されていました(旧法30条3項)。
令和2年改正により、現行の場合に加えて、下記の3点において、利用停止や第三者提供停止の請求が可能となります(法35条5項)。
- 利用する必要がなくなった場合
- 重大な漏えいなどが発生した場合
- 本人の権利または正当な利益が害されるおそれがある場合
開示請求権については、事業者に対し、保有個人データの開示方法は、原則、書面の交付であったところ、改正によって、電磁的記録の提供を含め、本人が請求した方法による開示が認められるようになりました(法33条1項)。
また、第三者提供の記録(法30条)についても、本人の開示請求を認める規定が新設されています(法33条5項)。そして、開示、利用停止などの対象となる情報として、6か月以内に消去するデータ(短期保存データ)も含められ、本人の請求権が対象情報においても拡充されました(旧法2条7項、旧法施行令(平成15年政令第507号)5条、法16条4項参照)。
(2)情報漏えい時の報告の義務化
個人情報取扱業者に対して、個人データの漏えいなど、個人の権利利益を害するおそれが大きい事態が生じたときは、個人情報保護委員会への報告および本人への通知が義務づけられました(法26条)。
漏えいなどの報告が義務化されたのは、下記になります(法施行規則7条)。
- 要配慮個人情報(法2条3項)の漏えいなど
- 財産的被害が生じるおそれがある個人データの漏えいなど
- 不正目的による個人データの漏えいなど
- 1,000を超える漏えいなどが発生、または発生したおそれがある事態が生じたとき
たとえば、従業員の健康診断などの結果を含む個人データが漏えいした場合や、決済機能のあるウェブサービスのログインIDとパスワードの組み合わせを含む、個人データやクレジットカード番号が漏えいした場合、不正アクセスにより個人データが漏えいした場合などが挙げられます。
報告は速報と確報の2段階で行う必要があり、速報は、報告対象の事態を知ってから「速やかに」(おおむね3~5日以内)、確報は、報告対象の事態を知ってから30日以内に報告しなければなりません(法施行規則8条1項、2項)。
報告の内容は、下記の9つの事項となっています(法施行規則8条1項)。
- 事態の概要
- 漏えいなどがあった個人データの項目
- 漏えいなどがあった個人データに係る本人の数
- 原因
- 二次被害またはそのおそれの有無および内容
- 本人への対応の実施状況
- 公表の実施状況
- 再発防止措置
- その他参考となる事項
(3)個人情報保護団体の認定対象拡大
個人情報の性質、利用方法、取り扱いの実態など、業界や事業分野の特性に応じた個人情報の適切な取り扱いが確保されるためには、民間において自主的な取り扱いが求められています。そのような取り組みを支援する制度として、認定個人情報保護団体制度が設けられています。
従前、認定団体は、対象となる企業のすべての分野・部門につき、苦情対応などの業務に従事していました。しかし改正後は、現行制度に加えて、企業の特定分野・部門を対象とする団体を認定できるようになったため(法47条2項)、分野ごとの特性に応じた、より高い水準の個人情報保護が期待できます(法52~56条参照)。
企業にとっても、認定団体の専門性が高まることで、苦情処理において迅速・円滑な解決や、認定団体による適切な情報提供によって、今まで以上に個人情報保護の取り組み促進が期待できます。
(4)仮名加工情報の緩和と努力義務
デジタル技術の革新を促進するため、氏名などを削除した「仮名加工情報」(法2条5項)が新設され、個人情報の利用にかかる義務が緩和されました(法41条)。
改正前には、個人情報に該当するものは一律に規律の対象となっていましたが、令和2年改正によって、個人情報に該当しても、「仮名加工情報」として加工すれば、下記の規定は適用除外とされています(法41条9項)。
- 利用目的の変更制限(法17条2項)
- 漏えい等の報告(法26条)
- 開示・利用停止等請求への対応(法32~39条)
もっとも、仮名加工情報である個人データおよび削除情報などを利用する必要がなくなったときは、その情報の遅滞ない消去が努力義務として維持されているので注意が必要です(法41条5項)。
(5)懲役刑・罰金刑の強化
個人情報保護法違反の法定刑が引き上げられるなど、罰則が強化されています。
個人情報保護委員会の命令に違反した場合、改正前には6か月以下の懲役または30万円の罰金でしたが(旧法84条)、改正後は、1年以下の懲役または100万円以下の罰金が科されます(法178条)。
また、委員会へ虚偽の報告・資料提出をした場合、30万円以下の罰金から50万円以下の罰金へと引き上げられています(法182条)。さらに、従前、法人に対する罰金の上限額は行為者と同じであったところ、改正により1億円以下の罰金刑と改められ(法184条1項)、厳罰化しました。
懲役刑 | 罰金刑 | ||||
改正前 | 改正後 | 改正前 | 改正後 | ||
個人情報保護委員会からの命令への違反 | 行為者 | 6か月以下 | 1年以下 | 30万円以下 | 100万円以下 |
法人等 | – | – | 30万円以下 | 1億円以下 | |
個人情報データベース等の不正提供等 | 行為者 | 1年以下 | 1年以下 | 50万円以下 | 50万円以下 |
法人等 | – | – | 50万円以下 | 1億円以下 | |
個人情報保護委員会への虚偽報告等 | 行為者 | – | – | 30万円以下 | 50万円以下 |
法人等 | – | – | 30万円以下 | 50万円以下 |
(6)外国企業への法適用
越境移転に係る情報提供について、事業者に本人への情報提供等の義務を課すことで、その要件を緩和しました。(法28条)。事業者への義務内容は次のとおりです。
外国にある第三者に個人データを提供するに際して本人の同意を取得するとき、あらかじめ本人に対し、下記の情報を提供しなければいけません(法28条2項、法施行規則17条2項)。
- 当該外国の名称
- 当該外国における個人情報の保護に関する制度
- 当該第三者が講ずる個人情報の保護のための措置
事業者は、当該第三者による相当措置の実施状況などを定期的に確認し、当該第三者による相当措置の実施に支障が生じたときは、適切な対応をすることが求められます。また、本人の求めに応じて必要な措置に関する情報提供が義務づけられました(法28条3項、法施行規則18条1項)。
また、外国事業者への行政権限が強化されています。
日本国内にあるものに係る個人情報などを取り扱う外国事業者に対しても、指導・勧告に加えて、報告徴収・命令違反の場合には罰則が適用されます。命令に従わない場合には、委員会によりその旨の公表がされることとなりました(法171条)。
企業が対応するべきこと
上記のとおり、令和2年改正で、本人の請求権、事業者の責務、データの越境移転などに関して運用が大幅に変更されました。企業の労務・法務担当者は、改正に伴うプライバシーポリシーや社内規程の見直しを進める必要があるでしょう。
個人情報保護委員会のホームページに、取り組むべき重点ポイントが記載されているので、確認しましょう。
おわりに
今回の改正では、本人への情報提供義務の強化に加えて、個人情報の第三者提供に関する規制が新設されています。プライバシーポリシーや社内規程、運用フローの改定はもちろんのこと、情報提供先の企業との間で交わす契約書なども見直しが必要となることにご注意ください。