ニュース News

2022.03.30

【2022年4月施行】個人情報保護法改正 何が変わるの?ポイントまとめ

2022年4月より、改正個人情報保護法が施行されます。

2020年6月に成立・公布されたこの改正では、個人・企業の現状を踏まえて、複数ポイントでバージョンアップされた内容になっています。

本記事では、改正された個人情報保護法について、ポイントを整理してみていきます。

個人情報保護法とは

「個人情報の保護に関する法律」(通称「個人情報保護法」)とは、平成15年5月に公布され、平成17年4月に全面施行された、個人情報を用いた、個人の権利利益の侵害を防ぐための法律です。なお、現在運用されているものは、社会情勢の変化に対応して平成27年に改正された「改正個人情報保護法」がベースになっています。

個人情報とは

「個人情報」とは、「生存する個人に関する情報であって、その情報に含まれる氏名、生年月日その他の記述等により当該情報が誰の情報であるかを識別することができるもの」とされており、個人が特定できるような情報であれば、様々なものがあてはまります。例えば氏名や電話番号、住所、連絡先といった情報であったり、顧客リストのような物理的・電子的帳票であったり、顔写真や録音された音声データのようなものも、個人情報に含まれます。その「個人情報」が整理され、簡単に検索できるようになっている状態の場合は「個人データ」と呼ばれています。

この「個人情報」を会社などの業務として取り扱っていると「個人情報取扱業者」とよばれ、個人情報保護法に基づいた厳格な個人情報の取り扱いが求められます。例えば、「個人情報取扱業者」は取り扱っている個人情報が指す本人から請求があった場合は、「本人への開示義務・訂正義務・利用停止に応じる義務」などがあります。

改正のポイント

① データの活用促進のための改正

データの利活用を促進するため、個人の権利侵害のおそれが低いと思われる情報について、情報保護のための措置の実施義務を減らす制度が追加されました。それが、「仮名加工情報」制度です。

「仮名加工情報」とは、「個人データ」から氏名などの特定の個人を識別できる情報を削除する・置き換えるなどの加工を行って、直接その資料からは個人が特定できないようにした情報のことです。この改正で「仮名加工情報」を利用する場合は、利用目的の制限の対象外となるほか、漏えい等の報告義務や、本人からの開示請求、利用停止等の請求権の適用対象外となり、よりデータを活用しやすくなります。

【具体例】
 病院で治療用に撮影した、患者さんの名前とレントゲン写真のデータがあるとします。

 この名前とレントゲン写真をリスト化したものは「個人データ」なので、個人情報の取得・利用の際は、本来の目的(病気の治療)以外に用いることは禁じられていますし、本人から利用停止の請求があれば、病院はこれを使用することができません。一方、病院はこのレントゲン写真を活用することで、例えば医療用ロボットのAIを強化し、性能向上を図ることができるとします。

 改正前であれば、このレントゲン写真データは「治療用」に取得されたものであり、「ロボットAI開発用」に取得されたものではないため、一人一人本人に「ロボットAI開発用」として利用する許可を取る必要がありました。しかし、今回の改正により、このレントゲン写真の個人データから氏名を削除する等、「仮名加工情報」に加工することで、一人一人の患者さん全てから許可を取らなくても、「ロボットAI開発用」に利用することができるようになります。

 ただし、「仮名加工情報」は第三者への提供は禁止されているため、例えば病院がこのレントゲン写真をロボット作成企業に渡してAIを作ってもらうことはできません。

② 権利保護の強化のための改正

世情の変化に伴い、個人情報保護法成立時点では想定していなかった権利侵害に対応するため、「個人データの定義の拡大」「個人情報取扱事業者へ個人が行える請求の拡張」の2点から、個人の権利保護が強化されています。具体的には、次の4点があげられます。

 ・6か月以内に消去するような短期保存データが、開示請求などの対象となる「個人データ」に含まれるようになりました。

 ・個人が個人情報取扱事業者に情報開示を行う際に、開示方法を指定できるようになりました。 これまでは、原則的に書面での交付となっていましたが、紙ベースのデータを活用することが難しいこと、そもそも元の個人情報が音声や動画等だった場合紙面で交付することそのものがそぐわないなどといった開示請求で得た保有個人データの利用等の観点から、電磁的記録の提供による方法など、「本人の指定する方法による開示」を請求することができるようになり、本人にとっての利便性が向上しました。

 ・利用の停止や消去などを求める場合、これまでは事業者が法律に違反して個人情報を不正取得するなど、一部の法違反がある場合に限られていました。今回の改正により、権利の範囲が拡充され、下記のように自己の権利や利益が害されるおそれがある場合にも利用停止や消去を請求することが可能になりました。
  保有個人データを、事業者が利用する必要がなくなった場合 
  違法又は不当な行為を助長し又は誘発するおそれがある方法で利用した場合
  保有個人データの漏えい等が生じた場合(個人情報保護法22条1項)
  その他、保有個人データの取扱いにより、本人の権利利益が害されるおそれがある場合

 ・「個人情報取扱業者」が第三者に個人情報を提供している場合に、その個人情報をどこに提供したか、という記録についても、本人によって開示請求ができるようになりました。

③ 事業者の責務の追加を行う改正

「個人情報取扱事業者」に対し、「漏えい時の報告義務」「不適正な利用の禁止」の2つが新たに義務づけられました。

「漏えい時の報告義務」とは、「個人情報取扱事業者」が取り扱っている個人情報の漏えい、滅失、き損など、個人の権利利益を害するおそれが大きい問題が生じた時に、個人情報保護委員会、及び個人情報の当人に対して事実の報告が義務付けられたということです。なお、当人に対して通知する際は、直接連絡する以外にも、漏えい等の発生を公表して本人から問い合わせがあればそれに応じる体制を作ることでも「漏えい時の報告義務」を満たしたと判断されます。

また、違法・不当な行為を助長・誘発するおそれがある方法によって個人情報を利用することが改正前の条文では明文化されていませんでしたが、今回の改正に伴い禁止が明文化されました。

④ 企業の特定分野を対象とする認定団体制度を新設する改正

個人情報保護法により設置された「個人情報保護委員会」の他に、個人情報保護のための取り組みを行う機関として、「認定個人情報保護団体」というものがあります。この団体が行う活動は次のようなものです。

 業務の対象となる個人情報取扱事業者(主に企業)の個人情報の取扱いに関する苦情の処理
 対象事業者の個人情報の適正な取扱いの確保に寄与する情報の提供
 そのほか、対象事業者の個人情報の適正な取扱いの確保に関し必要な業務

これまでは、「認定個人情報保護団体」は、個人情報に関わる問題全般を扱っていました。しかし、今回の改正で、問題全般ではなく、特定の事業についての個人情報に関わる問題を扱う「認定個人情報保護団体」を作ることができるようになりました。これにより、より個別・具体的に取り組みを行うことができるようになりました。

⑤ 法令違反に対する罰則を強化する改正(令和2年12月12日適用済)

個人情報保護法違反に対する罰則が、下記の点で強化されました。なお、この項目の改正については、令和4年4月1日の全面施行に先立って、令和2年12月12日より適用されています。

法人に対する罰金刑の引上げ
「個人情報取扱事業者」や「認定個人情報保護団体」について、個人情報保護委員会に対する報告を怠ったり、虚偽の報告を行った場合の罰金額が30万円以下であったところ、50万円以下の罰金に引き上げられました。

措置命令違反に対する法定刑を引き上げ
個人情報保護委員会が行った個人情報保護に関する勧告及び命令に違反する行為があった場合、改正前は6か月以下の懲役又は30万円以下の罰金だったところが、違反者に対しては1年以下の懲役又は100万円以下の罰金に、法人等に対しては1億円以下の罰金に、それぞれ引き上げられました。

特に、措置命令違反に対する法人への罰金額の範囲が大幅な引き上げは、個人情報の保護に著しい影響を及ぼすものとして、同違反の発生を強く警戒したといえるでしょう。

⑥ 個人情報保護義務を外国の事業者に追加する改正

これまでは、日本国内の人についての個人情報が取り扱われる場合であっても、外国の事業者などがそれを取り扱う場合には、報告徴収や立入検査などといった「個人情報取扱事業者」に課される義務を負わない状態でした。今回の改正で、外国の事業者などに対しても報告徴収や立入検査が課せられるようになりました。

おわりに

人事に携わる上で個人情報は必ず触れるものですが、一度取扱いを間違えると、個人情報の元に多大な迷惑をかけてしまったり、所属している組織の信用の毀損など、重大な問題が発生しかねないものです。今回の改正に対して、事業者はたとえば個人情報の利用体制が個人情報保護法と照らし合わせて適正であるかなど、社内規定やプライバシーを確認し、整備しなおす必要があると思われます。また、個人情報の漏えい等の問題が発生した際、報告義務や通知義務の適正に履行できるよう、社内ルールやマニュアル等を作成・改善することも大切になってくるでしょう。契約書やHPなど社外に発信する情報の更新の必要性も考えられます。
2022年4月1日の全面施行に備え、社内でしっかりと準備を行うことをお勧めいたします。

News Top