2020年6月に公布された「改正個人情報保護法」が2022年4月1日から施行されます。世界的に個人情報保護の強化の動きが加速する中、今回の改正ではどのような点に注目すべきなのでしょうか。主なポイントをおさらいしておきましょう。
POINT① 利用停止・消去、第三者提供停止に関する権利が拡大
今回の改正では、データの利用停止や削除、第三者への提供について、本人が請求できる権利が大きく強化されました
(改正個人情報保護法第30条第1項・第5項、第16条の2)。
本人によるデータ利用停止・削除請求ができるとき
まず、旧法では、本人が個人情報取扱業者に自身のデータの利用停止や削除を請求できるのは、「目的外に利用されたとき」と「不正な手段で取得されたとき」に限定されていましたが、今回の改正により上記に加え、「不正な利用がなされたとき」にも利用・削除の請求ができるようになりました。
<改正前>
- 目的外に利用されたとき
- 不正な手段で取得されたとき
<改正後>
- 目的外に利用された時
- 不正な手段で取得されたとき
- データを利用する必要がなくなったとき(改正により追加)
- 不正な利用がなされたとき(改正により追加)
- 個人データの漏洩が生じたとき(改正により追加)
- 本人の権利や利益が害されるおそれがあるとき(改正により追加)
第三者提供の停止請求
また、第三者提供の停止請求について、旧法では「本人の同意なく第三者提供がなされたとき」のみ請求ができることになっていましたが、改正により、同意に基づいて第三者提供がなされた場合でも、不適正な利用がなされたときには、利用停止・削除の請求ができることになりました
<改正前>
- 本人の同意なく第三者提供がなされたとき
<改正後>
- 本人の同意なく第三者提供がなされたとき
- データを利用する必要がなくなったとき(改正により追加)
- 不正な利用がなされたとき(改正により追加)
- 個人データの漏洩が生じたとき(改正により追加)
- 本人の権利や利益が害されるおそれがあるとき(改正により追加)
加えて、今回の改正では個人データの授受に関する第三者提供の記録を、原則として本人が開示請求できるようになりました(第28条第5項)。
なお、6カ月以内に消去する、いわゆる「短期保存データ」も、今回の改正によって保有個人データに含められることになり、開示や利用停止、削除などの対象とされました。
POINT② 事業者の義務強化
今回の法改正では、個人情報を扱う事業者に対して、次の義務が新たに課されました。
- 個人情報の漏洩などが発生し、個人の権利・利益を害するおそれがある場合には、個人情報保護委員会に報告すると同時に、本人に通知しなくてはならない(法第22条第1項)
- 違法または不当な行為を助長、誘発するなど、不適切な方法で個人情報を利用してはならない(法第16条の2)
POINT③ データ利活用促進のための措置
本人の権利を強化、事業者の義務を明確にした一方、改正法では事業者のデータ利用を促進するための措置も行われました。
- 仮名加工した情報(本人の氏名などを削除するなどして、個人を特定できないように加工した情報)については、内部分析にのみ利用することを条件に、本人からの開示・利用停止請求への対応義務が緩和されることになりました(法第2条第9項、10項、第35条の2ほか)。
- 提供元にとっては個人データに該当しないものの、提携先においては個人データとして利用されることが想定される情報、いわゆる「個人関連情報」(例:クッキーなどの識別子情報や、それに紐づく閲覧・購入利益など個人情報にはあたらない情報)の第三者提供について、本人の同意を得ることが義務付けられました(法第26条の2 第1項)。
たとえば、2019年に注目を集めた「リクナビ問題」では、データの提供元であるリクルートキャリア社は、個人を識別しない方式で内定辞退率を算出し、提供先企業において個人の識別が可能であることを知りながら、学生の同意を得ずに情報提供していたことが問題視されました。今回の改正により、同様のケースでは、学生本人の同意なしに情報提供ができなくなりました。
POINT④ 罰則の強化
また、今回の改正では個人情報保護法に違反した事業者に課されるペナルティが、次の通り強化されました(法第83条、85条、87条)
- 個人情報保護委員会による命令違反、委員会に対する虚偽報告に対する法定刑の引き上げ
なお、旧法では個人と法人とで罰則の内容は同じとされていましたが。改正法では法人への罰則が強化され、委員会の命令違反と、データベース等の不正提供罪を犯した法人については、罰金刑が「1億円以下」に大きく引き上げられました。
POINT⑤ 事業者の取り組みを促進
個人情報保護法では、個人情報を扱う事業者の自発的な取り組みを促進し、法の趣旨を踏まえた個人情報保護を推進することを目的に、「認定個人情報保護団体」(認定団体)の制度を設けています。旧法では、認定団体の業務はすべての業界・分野の事業者を対象としなければならないこととされていましたが、今回の改正で対象とする事業者を特定の業界・分野に限定することができるようになりました。これにより、たとえば「広告」や「通信販売」など、特定分野に的を絞った業務(個人情報保護の指導や苦情処理)が可能になり、専門知識が必要な分野での民間による個人情報保護が推進されることになります(法第47条)。
POINT⑥ 外国事業者の規制強化
改正前の旧法では、外国事業者は個人情報保護委員会の報告徴収や立入検査、命令の適用外だったため、委員会は外国事業者に対して指導や助言・勧告など、強制力を持たない対応しかできず、違反した場合の罰則も適用されませんでした。今回の改正では、日本国内にある者の個人情報を扱う事業者のうち、法に違反しているおそれがある外国事業者に対して、報告徴収・立入検査・命令ができるようになりました(法第75条)。
個人情報保護への関心が高まる中、企業「個人情報保護への取り組みや姿勢は、消費者が利用する店舗やサービス、商品を選ぶ際の、重要な判断基準の1つになっています。今回の法改正では、消費者側の権利が拡大された一方で、事業者側への義務や罰則は強化されました。個人情報を扱う事業者は、情報の取扱いに関するトラブル回避のためだけでなく、消費者との信頼関係を深めるためにも、個人情報が守られる体制・環境の整備に積極的に取り組んでいく必要があります。
