個人情報保護法改正で企業が取り組むべきポイント

更新日：2022.11.08ビジネス豆知識

2022年4月から、個人情報保護法が改正されました。改正後の変更点や企業が取り組むべきポイントを早めに把握しておけば、スムーズに対応できるでしょう。ただ、日々の業務に追われていると、改正法の詳細まで目を通す余裕はないかもしれません。そこで今回は、改正個人情報保護法の主な変更点を解説したうえで、企業が求められる対応時のポイントなどを簡単にご紹介します。

1 改正個人情報保護法の主な変更点
2 企業に求められる対応時のポイント
- 2.1 開示請求に対する受付体制の整備
- 2.2 情報漏洩時の対応方法の見直し
3 この記事を読まれている方へのオススメ

改正個人情報保護法の主な変更点

2022年4月から施行される改正個人情報保護法の大まかな変更点は、以下の6項目です。

1.個人の権利保護を強化
2.事業者の責務を追加
3.認定団体制度の認定範囲が拡大
4.データの利活用を促進
5.法令違反に対する罰則強化
6.外国事業者に対する罰則強化

1.個人の権利保護を強化

今回の法改正で挙げられている変更点のひとつが、個人の権利保護の強化です。法律が適用される個人データの範囲や本人の請求権が拡大され、個人の権利を守る体制が強化されます。これまで企業などが保有する個人情報のうち6カ月以内に消去されるデータは、個人情報保護法の適用対象外でした。ただ、短期間に情報が漏れる可能性はゼロとはいえません。今後は6カ月以内に消去予定のデータも法律の適用対処に含まれます。

また、本人が個人データの利用停止や消去を請求できる権利は、改正前までは目的外での利用時、不正な手段による取得時、また本人の同意なく第三者へ提供された時に限られました。改正後は、不適正に利用された時も利用停止などの請求が可能です。これらの法改正により、2022年4月からは個人の権利を守る体制が以前よりも強まると見込まれています。

2.事業者の責務を追加

2022年4月に施行が始まる改正法では、個人情報取扱事業者に対する責務が追加されます。追加事項の内訳は、大きく分けると情報が漏れた時の報告義務と不適正な利用の禁止の2つです。今回の法改正以降は、個人データが漏洩した時などに個人情報保護員会へ報告する法的義務が事業者に課されます。同時に、委託を受けた場合など一部のケースを除いて本人へ通知する義務も新たに規定されました。

個人データの不適正な利用の禁止は、今回の改正で事業者の責務が明文化された項目です。ここでの不適正な利用には、「違法又は不当な行為を助長し、又は誘発するおそれがある方法による利用」が該当します。これら2つの事項が追加されることで、個人情報取扱事業者が個人データを取得あるいは利用する時に背負う責務は重くなるといえるでしょう。

3.認定団体制度の認定範囲が拡大

2022年4月から個人情報保護法が改正されるのに伴い、認定団体制度の認定範囲は拡大されます。認定団体制度は、個人情報の取扱に関する苦情の処理などを自主的に実施する民間団体を認定個人情報保護団体として法的に認定する仕組みです。これまで認定を受けるには、個人情報取扱事業者の全部門を業務対象にする必要がありました。

今後は、自主的に活動する民間団体が法的に認定される範囲は拡大されます。以前と違い、業務対象が特定の分野だけに限られている場合も認定個人情報保護団体として認定を受けられます。認定団体制度の認定範囲を拡大した場合、これまで以上に自主的な個人情報保護の活動は推進されると見込まれています。

4.データの利活用を促進

将来的な個人データの利活用を促進する観点から改正された今回の変更点は、次の2項目です。

1.仮名加工情報に関する事業者の義務を緩和
2.個人データになると想定される情報の確認義務を新設

それぞれについて詳しく見ていきましょう。

1.仮名加工情報に関する事業者の義務を緩和

仮名加工情報は、個人を特定できない形に加工された情報です。改正前の規定によれば、個人を特定されないため一定の加工が施された情報も、加工前の個人情報と同様に厳格な法的規制の対象に含まれていました。

今回の改正後からは、必要な条件を満たした仮名加工情報について事業者の義務が緩和されます。条件の一例としては、個人名などを削除したうえで他の情報と照合しなければ個人を特定できない状態に加工した場合が挙げられます。

2.個人データになると想定される情報の確認義務を新設

個人データになると想定される情報は、もともと情報を取得した時点では個人情報に該当せず、第三者に提供することで個人を特定される可能性が生じる情報です。提供先で個人を特定できる情報は、個人関連情報とも呼ばれています。

個人関連情報は、提供先で他の情報と照合すれば個人の特定が容易になるケースもあります。そんな事態に備えるため、改正法では提供元が提供先に本人の同意を得ているかなどを確認する義務が新設されました。

5.法令違反に対する罰則強化

今回の改正で、措置命令や報告義務について法令違反があった場合、罰則規定は以前より厳しくなります。措置命令違反に対し、これまでは「6カ月以下の懲役又は30万円以下の罰金」と定めていました。今後は「1年以下の懲役又は100万円以下の罰金」に改められます。さらに法人が課される罰金刑の金額は「1億円以下」です。

報告義務に違反した時、罰則は「30万円以下の罰金」から「50万円以下の罰金（法人は50万円）」へ引き上げられます。また法人の場合、個人情報データベースなどの不正流用に対する罰金刑も「50万円以下」から「1億円以下」に増額されます。これらの重罰化は、制裁の実効力を強めることで命令違反や虚偽報告に対する抑止効果が高まると見込まれている法改正です。

6.外国事業者に対する罰則強化

外国の事業者に対する規定も、2022年4月から施行の改正法により罰則内容が強化されます。個人情報保護法は、もともと外国の事業者に関する域外適用について規定が示されていました。今回の改正では以前よりも適用範囲が広がり、新たに報告徴収や立入検査の対象として罰則も科されます。

この適用範囲の拡大により、外国の事業者が個人情報を不適切に取り扱った場合も実効性の高い措置を実施できると期待されています。

企業に求められる対応時のポイント

2022年4月から改正個人情報保護法が施行されるのに伴い、企業に求められる対応時のポイントは個人データの開示請求に対する受付体制の整備です。また情報が漏れた時に備え、対応方法を見直しておいたほうがよいと考えられています。

開示請求に対する受付体制の整備

今回の法改正により個人情報取扱事業者に対する各種の請求権が拡大されたため、個人データの開示請求に対する受付体制を整えることは大切です。これまで開示請求があった時の開示方法は、書面の交付が原則でした。今後は、開示方法についても請求者の要望に応じる義務を負わされます。書面以外での開示を望まれる可能性もあり、あらかじめ準備しておく必要があるといわれています。