2005年に施行された個人情報保護法は、その後も適宜見直しや改正が行われています。
なぜなら、社会情勢の変化に伴い、必要なルールは変わってくるからです。
また、2022年4月には、新たな改正個人情報保護法が施行されます。
今回はこちらのポイントについて、詳しく解説したいと思います。
改正個人情報保護法における6つのポイント
個人情報を取り扱う企業関係者の方は、改正個人情報保護法における以下のポイントを押さえておきましょう。
・権利保護の強化について
・責務の追加について
・新たな認定団体制度について
・データの利活用促進について
・ペナルティ強化について
・外国事業者への罰則追加について
権利保護の強化について
改正個人情報保護法では、個人の権利利益を保護するための措置がより強化されます。
具体的には、以下のような措置が追加されています。
・利用停止や消去などの個人による請求権の範囲を拡充する
・保有個人データの開示方法について、本人の指示が可能になる
・第三者提供記録について、本人の開示請求が可能になる
・短期保存データを開示、利用停止などの対象とする
・オプトアウト規定について、不正取得された個人データやオプトアウト規定で提供されたデータも対象外とする
責務の追加について
これまでの個人情報保護法では、情報漏えいが発生した場合の報告を“努力義務”としていたましたが、改正後はこちらが“義務”に変更されます。
つまり、必ず個人情報保護委員会に報告しなければいけないということです。
具体的には、以下のような事例が発生した場合に、報告義務が生じします。
・要配慮個人情報が漏えいした場合
・財産的被害が発生するおそれがある場合(クレジットカード番号の漏えいなど)
・故意による漏えいが発生した場合(不正アクセス、従業員による持ち出しなど)
・大規模な情報漏えいが発生した場合(内容が個人情報でなくても、1,000人を基準とする一定数以上の大規模な漏えいが発生した場合)
・漏えいのおそれがある場合(漏えいの可能性はほぼないに等しいものの、確定していない段階)
新たな認定団体制度について
認定団体制度とは、個人情報の適正な取り扱いの確保を目的として、個人情報保護団体の認定を受けた団体が、消費者と対象事業者の間に立ち、苦情処理の仲立ちや、事故発生時に対象事業者に代わり、個人情報保護委員会に報告する制度をいいます。
改正個人情報保護法では、企業の特定分野、部門を対象とする団体も認定団体として登録することが可能になります。
こちらの改正により、企業は個人情報を用いて業務を多様化させたり、ITの進展に対応できる個人情報保護体制が構築できたりするようになります。
データの利活用促進について
改正個人情報保護法では、データの利活用を目的に、“仮名加工情報制度”が新設され、対象のデータについては企業の義務も緩和されます。
従来の個人情報保護法では、個人情報を加工することで個人を特定できないようにしたり(匿名加工情報)、その利用に関連した数多くの制約があったりしましたが、これらはデータの利活用鈍化の原因となっていました。
一方で、仮名加工情報は、他の情報と照合しない限り、特定の個人を識別できないように加工したものであり、利用目的の変更もある程度認められています。
わかりやすく言うと、匿名加工情報は、本人かどうか一切わからない程度にまで加工するものであるのに対し、仮名加工情報は対照表と照合すれば、本人が分かる程度にまで加工するというものです。
ペナルティ強化について
改正個人情報保護法では、企業におけるペナルティの在り方が大きく変わります。
具体的には、個人情報保護委員会による命令違反、委員会に対する虚偽報告等の法定刑を引き上げ、命令違反等の罰金について、法人と個人の資力格差等を勘案し、法人に対しては行為者よりも罰金刑の最高額を引き上げる(法人重科)というものです。
現行法では30万円以下となっている、法人における個人情報保護委員会からの命令違反に対する罰金刑が1億円以下に変更されるなど、大幅なペナルティ強化が実施されます。
外国事業者への罰則追加について
改正個人情報保護法では、日本国内にある者に対する物品、または役務の提供に関連して、個人情報等を取り扱う外国事業者を、罰則によって担保された報告徴収、命令の対象とすることが規定されています。
つまり、外国事業者への罰則が追加されるということです。
例えば、以下のようなケースで、報告徴収や立入検査といった罰則の対象になることが考えられます。
・日本国内に支店などがある外国企業が、外国にある本店で個人情報を取り扱う場合
・外国のインターネット通信販売企業が、日本の消費者から個人情報を取得し、商品の販売や配送を行う場合 など
まとめ
ここまで、2022年4月に施行される改正個人情報保護法のポイントを見てきましたが、いかがでしたでしょうか?
企業はこれらの内容をすべて把握するとともに、“JAPHICマーク”の取得を目指しましょう。
JAPHICマークは、個人情報について適切な保護体制を整備し、運用している企業であることを証明する制度であり、取得することで自社にとっての大きな強みとなります。
