【2022年4月施行】個人情報保護法改正、6つのポイントを徹底解説

こちらの記事では、改正個人情報保護法の6つのポイントについて解説しました。新法では個人情報の取り扱いがより一層重要視され、企業が新たに取り組むべき事項が追加された内容になっています。企業の法務担当者は、2022年4月の全面施行までに新法への早急な対応を求められています。今回は、前回解説した改正個人情報保護法における6つのポイントをさらに詳しく解説します。

前回記事でご紹介した6つのポイント>

  • ポイント1. 個人の権利のあり方
  • ポイント2. 事業者の責務が追加
  • ポイント3. 事業者による自主的な取り組みを促す仕組み作り
  • ポイント4. データ利活用の促進
  • ポイント5. ペナルティの強化
  • ポイント6. 外国の事業者に対する、報告徴収・立入検査などの対応

参考ページ:個人情報保護法ガイドライン(個人情報保護委員会)

【資料ダウンロード】>>資料ダウンロード一覧へ

\これだけは抑えておきたい/「改正個人情報保護法対応チェックリスト」

ポイント1.個人の権利のあり方(ガイドライン通則編3-8)

本人が個人情報取扱事業者に対して情報開示を請求できる範囲が拡大し、自分の個人情報がどのように扱われているのかを事業者に問い合わせられるようになりました。

例えば、現行法ではデータの開示は原則として書面における交付となっていますが、新法では本人が請求した方法によって開示する必要があり、電磁的記録の提供などが可能となります。(開示のデジタル化)

範囲が拡大することで、企業は開示請求される可能性や頻度が高まると考えられます。

ポイント2. 事業者の責務が追加

新法では、個人データが漏えいした際、個人情報保護委員会に報告する法的義務が追加されました。現行法になかった内容ですが、海外ではすでに義務化が当然となっていることから、今回日本でも新設に至りました。

また漏えい等が発生した際、個人情報取扱事業者は本人へ通知する義務も課せられます。

漏えい時の報告義務(ガイドライン通則編3-5~3-5-4)

以下の①~④の状況において、報告義務の対象となります。

①要配慮個人情報が含まれる個人データ(高度な暗号化その他の個人の権利利益を保護するために必要な措置を講じたものを除く)の漏えい、滅失若しくは毀損が発生し、又は発生したおそれがある事態

②不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態

③ 不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態

④個人データに係る本人の数が千人を超える漏えい等が発生し、又は発生したおそれがある事態

つまり、個人情報が漏えい・滅失・毀損した場合、もしくはそのおそれがある場合です。

具体的な事例を見てみましょう。

  • 事例 1)従業員の健康診断等の結果を含む個人データが漏えいした
  • 事例 2)送金や決済機能のあるウェブサービスのログインIDとパスワードの組み合わせを含む個人データが漏えいした
  • 事例 3)ランサムウェア等により個人データが暗号化され、復元できなくなった

また、報告義務対象でない事案であっても任意の報告ができます。判断に迷ったら、早めの報告を行っておくことが吉と言えるでしょう。

漏えい時に講ずべき措置

個人情報保護委員会への報告は、速報と確報の二段階に分けて行います。

速報:その時点で把握している全ての事項を速やかに(事態を知った時点から概ね3~5日)に行う

確報:報告が求められる事項について、基本的に次の9項目を全て報告する(原則速報から30日以内)

  1. ・概要
  2. ・漏えい等が発生し、又は発生したおそれがある個人データの項目
  3. ・漏えい等が発生し、又は発生したおそれがある個人データに係る本人の数
  4. ・原因
  5. ・二次被害又はそのおそれの有無及びその内容
  6. ・本人への対応の実施状況
  7. ・公表の実施状況
  8. ・再発防止のための措置
  9. ・その他参考となる事項

さらに、本人に対しても通知を行う必要があります。基本的には速やかに通知を行うべきですが、事案によっては速すぎると本人に不利益を被る可能性があるため、この場合は委員会への報告とは同じスピードで行う必要はないとされています。さらに、本人への通知が困難な場合は、代替措置による対応が認められています。

不適正な利用の禁止(ガイドライン通則編3-2)

今回の改正で、違法な行為を助長する可能性があるまたは誘発する場合は、個人情報の利用をしてはならないと定められています。

具体的な事例を見てみましょう。

事例 1)裁判所による公告等により散在的に公開されている個人情報(例:官報に掲載される破産者情報)を、本人に対する違法な差別が、不特定多数の者によって誘発されるおそれがあることが予見できるにもかかわらず、それを集約してデータベース化し、インターネット上で公開する場合

事例 2)採用選考を通じて個人情報を取得した事業者が、性別、国籍等の特定の属性のみにより、正当な理由なく本人に対する違法な差別的取扱いを行うために、個人情報を利用する場合

事例 3)広告配信を行っている事業者が、第三者から広告配信依頼を受けた商品が違法薬物等の違法な商品であることが予見できるにもかかわらず、当該商品の広告配信のために、自社で取得した個人情報を利用する場合

※違法又は不当な行為とは…その他の法律に違反する行為や今すぐ違法とは言えないが法の趣旨・公序良俗に反する行為、社会通念上適正とは認められない行為のことを指します。

公表等事項の追加(ガイドライン通則編3-8-1)

個人情報取扱事業者は、保有個人データについて下記の情報を本人の知り得る状態にしておく必要があります。

  •  ・事業者の住所及び代表者の氏名
  •  ・利用目的
  •  ・開示請求に関する手数料
  •  ・安全管理のために講じた措置の内容
  •  ・保有個人データの取扱いに関する苦情の申出先

本人の知り得る状態とは、ホームページへの掲載や紙面の配布を行い本人が知ろうとすれば知ることが出きる状態におくことをいい、その方法は様々ですが、常にその時点での正確な内容を本人が知れる状態に置かなければなりません。

ポイント3. 事業者による自主的な取り組みを促す仕組み作り

個人情報保護法では、民間団体の認定団体制度を設けています。新法では、対象事業者の特定分野に限定した団体を認定することが可能となり、今後、専門性を持った個人情報保護活動が期待されています。

ポイント4. データ利活用の促進

仮名加工情報取扱事業者等の義務(ガイドライン通則編3-10)

今回の改正で「仮名加工情報」が創設されました。仮名加工情報とは、他の情報と照合しない限り、特定の個人を識別することができないように個人情報を加工した個人に関する情報です。

例えば、氏名・性別・年齢のデータがあった場合、氏名を記号等に置き換えることで性別・年齢だけでは個人を特定することができません。仮名化することで、安全性を保ったままデータ利活用がしやすくなるといったメリットがあります。個人情報の保護を行いつつ、イノベーション促進を目的に設定された事項です。

個人関連情報の第三者提供の制限等(ガイドライン通則編3-7)

さらに、仮名加工情報は一定のルール規制が緩和されることになりました。

個人情報使用時に適用される「漏えい等の報告義務や、開示請求、利用停止等」の適用対象外となり、個人情報取扱事業者の負担軽減に繋がります。

ポイント5. ペナルティの強化

新法では、措置命令・報告義務違反の罰則について法定刑が引き上げられました。

具体的には、下記のように変更となります。

  • ・措置命令(42条2項、3項)違反の場合、6か月以下の懲役又は30万円以下の罰金が、1年以下の懲役又は100万円以下の罰金に
  • ・報告義務(40条)または56条の規定に違反した場合、罰金30万円以下が50万円以下に

ポイント6. 外国の事業者に対する、報告徴収・立入検査などの対応

外国の個人情報取扱事業者に対する内容が、下記のとおり変更となりました。

  • ・日本国内にある者に関する個人情報を扱う外国の事業者も報告徴収・命令および立入検査などの対象に
  • ・越境移転に係る情報提供の条件が強化

改正法を受けて、企業が取り組むべきこと

以上の改正法の内容を理解し、企業はどう対応していくべきか検討していかねばなりません。

①個人情報取り扱いについての社内周知徹底

今回の改正で、仮名加工情報という新しい情報の種別が登場しました。知識として社員一人ひとりが理解しなければならないのはもちろん、企業として個人情報の保有・利用方法についても明確な状態にする必要があります。

②社外への開示体制を作る

様々な規制が複雑化している中で、これまで以上に個人情報提供者への対応に慎重にならなければなりません。開示請求があった場合の対応体制を作る、プライバシーポリシーを更新するなど、社外に対してクリアな状態にしておくことで、企業のホワイト化を進めましょう。専門部署がない場合は、早急に立ち上げることをおすすめします。

③仮名加工情報の利活用

改正法の大きなメリットとして、仮名加工情報の新設が挙げられます。変化が著しい社会情勢の中で、ビッグデータを活用した細密な情報解析を行える企業が今後生き残っていけると言っても過言ではありません。こうした情報を積極的に利活用していきたいところです。

個人情報保護対策は、自社内で完結することが難しいため、専門部署を設立し、外部からコンサルタントを雇用している企業もります。法律に関することなので、中途半端な対策では問題になりかねません。必要な場合は、情報セキュリティ分野のプロが提供する教育サービスを活用することも考えておくべきでしょう。ここでは、日本パープルの情報セキュリティコンサルティングサービスをご紹介します。

おすすめの情報セキュリティコンサルティングサービス

日本パープルの情報セキュリティコンサルティング<Coach MAMORU(コーチマモル)

専門講師が、企業の抱える情報セキュリティ課題に対して柔軟にカスタマイズした形で教育・コンサルティングを提供するサービスです。今回の改正個人情報保護法やプライバシーポリシーについてなど、様々なお悩みに対応しています。是非一度、相談してみてはいかがでしょうか。

改正個人情報保護法に対応できる体制構築は早急に

2022年4月の改正個人情報保護法の全面施行まで、刻一刻と迫ってきています。担当者の方は早急に方針と体制の構築を行い、安心安全な経営に向けて取り組んでいきましょう。

Pマーク取得企業も新たな「構築・運用指針」に対応した運用を

今回の改正個人情報保護法に合わせて、Pマーク取得企業も新たな「構築・運用指針」に対応していかなければなりません。次の審査まで時間に余裕があったとしても、2022年4月以降は新たな基準での運用が求められています。Pマーク取得企業は今回の対応を「個人情報に対する意識向上」の好機だととらえ、積極的に進めていきましょう。

個人情報保護法改正(2022年4月施行)関連記事

第1回【2022年4月施行】個人情報保護法改正、6つのポイントとは?
第2回【2022年4月施行】個人情報保護法改正、6つのポイントを徹底解説
第3回【2022年4月施行】個人情報保護法改正、プライバシーポリシー改訂のポイント
第4回【2022年4月施行】個人情報保護法改正、開示請求のポイント
第5回【2022年4月施行】個人情報保護法改正、個人関連情報・オプトアウト規制・不適正利用に関する対応ポイント
第6回【2022年4月施行】個人情報保護法改正、従業員教育で取り上げるべきポイント教育
第7回【2022年4月施行】個人情報保護法改正、個人データ漏洩等の報告・対応について
第8回【2022年4月施行】個人情報保護法改正、個人データの取り扱いに関する安全管理措置について
第9回【2022年4月施行】個人情報保護法改正Q&A、海外のクラウドサーバーやソーシャルプラグインに関する考え方
第10回【2022年4月施行】改正個人情報保護法対応に向けた主なTo Doを解説!(全企業対象)
第11回【2022年4月施行】改正個人情報保護法対応に向けた主なTo Doを解説!(Pマーク取得企業対象)

【資料ダウンロード】>>資料ダウンロード一覧へ

\これだけは抑えておきたい/「改正個人情報保護法対応チェックリスト」