コンプライアンス
改正個人情報保護法(2022年施行)のポイントは企業が対応するべき内容
本コラムは2022年4月1日から施行される、改正個人情報保護法のポイントを解説するものです。デジタル化の進展に伴って、企業規模の大小にかかわらず顧客や従業員、取引先に関する個人情報が社内で膨大に保管されています。データ管理に万全を期しているはずの企業でも、個人情報の漏えいや情報の不適切な利用が起きてしまっているかもしれません。情報漏えいの不祥事は企業の存続すら危うくします。改正法が企業(個人情報取扱事業者)へ求めている義務を理解することは、対応の第一歩です。
- おすすめの方
- ・企業内で個人情報の管理状況把握を担当する部署で働く人
- ・顧客から自身の情報の開示や削除を請求された経験がある人
- ・行動ターゲティング広告などWEB広告を活用している人
1.個人情報保護法の改正ポイント
個人情報保護法は、2003年に初めて制定され、2005年から施行されました。10年後の2015年、個人情報の保護に関する国際的動向や情報通信技術(いわゆるICT技術、インターネット・デジタル技術)の進展、それに伴う個人情報を活用した新産業の創出・発展の状況を踏まえて、今後は3年ごとに制度の見直しがされることと定められました。
2015年の法改正は2017年に施行されたので、その3年後の2020年、この3年ごとの見直し規定に基づく初めての法改正が行われ、2022年4月1日から施行されることとなりました。
なお、2021年には、デジタル庁の創設などを定めたデジタル改革関連法が成立し、行政機関が保有する個人情報の保護に関する制度と、民間の個人情報保護法が統一化されることになりました。
具体的には、これまで民間のみを対象としていた個人情報保護法に行政機関、独立行政法人等、地方公共団体に関する規定が追加されます。さらに、現状は地方公共団体ごとに条例によって個人情報保護の規制がバラバラであるところ、統合後の法律において共通ルールが設定されます。この官民一元化については、本コラムでは扱いません。行政機関個人情報保護法・独立行政法人等個人情報保護法の一元化の施行は2022年4月1日で、2020年改正法と同日に施行されますが、個人情報保護法と各地方公共団体の個人情報保護条例の一元化は、地方自治体側の対応も必要となることから、2023年5月18日までの政令で定める日に施行されます。
改正法のポイントは以下の6つです。
- ①個人の請求権の拡充:
- 本人の個人情報について利用停止・消去などを請求できたり、保有個人データを電磁的記録で開示するよう求めたり(事業者にとっては、デジタルでの開示に対応するシステム改修が必要)、事業者が第三者へ提供した記録も開示請求の対象に入ったり、といった権利の拡充
- ②事業者の守るべき責務が法定義務へ:
- 個人データ漏えい時における、個人情報保護委員会への報告義務・本人通知義務が法定化
- ③認定団体制度:
- 企業の特定分野を対象とする認定団体が、特定分野における個人情報・データの取扱いについて自主ルールを策定し、企業に対して指導等を行っていく
- ④データ利活用の促進:
- 氏名を削除するなどして仮名加工した情報を「仮名加工情報」として新たに定義して規制を緩和したり、逆に、提供元では個人データに該当しないが提供先で個人データとなるもの(WEB広告で活用されるデータ)の第三者提供について本人の同意を必要としたり、といった現代的な利用状況に応じた規制
- ⑤ペナルティの強化:
- 個人情報保護委員会による命令違反や委員会に対する虚偽報告について、行為者の懲役刑・罰金刑、罰金刑の上限が引き上げられた
- ⑥外国事業者への適用拡充:
- これまでは国内の事業者だけが報告徴収・立入検査の対象となっていたが、 国内在住の人の個人情報を取り扱う外国の事業者も対象になる(罰則も適用される)
2.法改正の目的と背景
個人情報保護法は、「個人の権利・利益の保護」と「個人情報の利活用」との調和を図るための法律です。今回の法改正は、本人が自身の個人情報について利用停止・消去などを求めることができる場面が拡大されました。従来は、目的外利用された場合と不正の手段で情報が取得された場合に限られていたのが、違法だけでなく、「不当」という社会通念上正しくない場合に、しかも、「おそれ」がある場合でよいので、本人からの請求が認められる範囲が大きく拡大することが予想されます。
また、近年も頻発している個人情報の漏えい事案において、事業者の責務が重くなっているので、万が一、漏えいが起きた場合には、問い合わせ窓口を開設して、本人が漏えいの被害を受けているか確認できるようにする等の対応が必要です。
もっとも、「仮名加工情報」の新設のように、企業内でのマーケティング分析などへ膨大な個人情報を活用するイノベーション促進にも一定の配慮はされています。
3.改正法の公布日と施行日
今回の改正法は2020年6月12日に公布され、2022年4月1日に施行されます。ただし、法定刑の引上げは、すでに2020年12月12日に施行済みです。
また、デジタル改革関連法に基づく個人情報保護法制の官民一元化は、国の行政機関等との一元化は2022年4月1日に、地方公共団体との一元化は2023年5月18日までの政令で定める日に、それぞれ施行となります。
4.2022年の法改正における主な変更点
4-1 個人の請求権の拡充
利用停止・消去・第三者提供の停止を請求できる場面
法改正前は、本人が個人情報の利用停止・消去・第三者提供の停止を請求できるのは、個人情報取扱事業者が法違反をした場合に限られていました。
法改正後は、法律の規定違反がなくても、「本人の個人情報を事業者が利用しなくなった場合」、「重大な漏えいなどが発生した場合」、そして「本人の権利または正当な利益が害されるおそれがある場合」にも利用停止・消去・第三者提供の停止を請求できるようになります。特に、3番目の「本人の権利または正当な利益が害されるおそれがある場合」は「おそれがある場合」という権利侵害の可能性だけで請求根拠となるので、企業側でリスクの洗い出しを行っておく必要があります(※後述5−1の「企業が対応するべき内容@」参照)。
開示の電子化
法改正前は、保有個人データの開示は原則として書面による開示に限られていました。
法改正後は、本人がデジタル形式での開示を指定できるようになります。音声や動画データが個人データに含まれている場合もあるので、本人が「自身に関する個人データすべてを開示せよ」と請求してきた場合に、事業者側で、適切に情報を検索して開示するためのデジタル対応が求められます。
ただし、多額の費用を要し開示が困難な場合は例外的に書面による開示ができ、その旨を本人に対し通知することで足りるとされます。
第三者への提供記録(トレーサビリティ)
法改正前は、第三者への提供記録は本人による開示請求の対象外でした。
法改正後は、第三者への提供記録も開示対象となるので、他の事業者にどのように個人情報が渡されたのかトレーサビリティが確保されます。なお、「提供」とは、提供元が情報収集時に本人へ通知・周知した利用目的を超えて、提供先の事業者独自の利用目的で個人情報を扱う場合を指します。
これに対して、提供元事業者の利用目的の範囲内で、取扱いの一部を他の事業者へ「委託」することは第三者提供には当たりません。商品発送の目的で宅配業者へ顧客の氏名・住所を提供したり、顧客からの電話対応を外部のコールセンター会社へ外注するために自社の顧客管理システムへのアクセスを許可したりするのが「委託」の典型例です。
その他
法改正前は、6カ月以内に消去される短期保存の個人データは、個人情報保護法の規制対象となる「保有個人データ」には含まれないとされていました。
法改正後は、短期保存であっても「保有個人データ」に含まれるので、本人からの開示・訂正請求や、利用停止等の請求に応じる義務が生じます。
また、保有個人データの第三者提供におけるオプトアウトの適用が厳格化されます。
法改正前は、要配慮個人情報(本人の信条や病歴、犯罪歴など特に保護の必要性が高い情報)に限って、オプトアウトによる第三者提供は許されないとされていました。オプトアウトによる第三者提供とは、第三者提供する項目を公表した上で、事前の同意なく第三者へ提供することができ、事後的に本人が申し出た場合にのみ提供を停止する、という仕組みです。
法改正後は、要配慮個人情報に加えて、「不正取得された個人データ」を第三者提供すること、「オプトアウト規定により提供された個人データをさらにオプトアウトによって」第三者提供することも禁じられます。
4-2 事業者の守るべき責務
個人データ漏えい時の報告・通知義務
法改正前は、仮に個人データが漏えいしても、個人情報保護委員会への報告は努力義務で、本人への通知も法律上は要求されていませんでした。事実上、何千件といった規模だったり、クレジットカード番号、銀行口座などの悪用される危険性が高い情報が漏えいしたりしたときは、自社のホームページで公開し、場合によってはマスコミ報道されるので、個人情報保護委員会への報告、本人への通知が両方とも行われてきたのが通例ですが、あくまで事業者側の任意の対応でした。
法改正後は、個人情報保護委員会への報告、本人への通知を行うべき場合が、法律で定められました。個人情報の保護に関する法律施行規則6条の2によれば、
・要配慮個人情報が含まれる個人データ
・不正に利用されることにより財産的被害が生じるおそれがあるもの(例えば、クレジットカード番号などの漏えい)
・不正の目的をもって行われたおそれがある個人データの漏えい(例えば、ハッカーによるサイバーアタックによる漏えい)
・漏えいした個人データに係る本人の数が1,000人を超える場合
上記のケースが発生した際は、事故の発生を知った日から起算して30日以内に報告書を提出する必要があります。なお、個人データが「委託」された際に委託先で漏えいが発生した場合、委託先は委託元へ報告すれば足り、個人情報保護委員会への報告義務や本人への通知義務は委託元が負います。
不適正な個人情報利用の禁止
法改正後の個人情報保護法19条は、違法または不当な行為を助長し、または誘発するおそれがある方法での利用を禁じています。これは新設規定で、従来は利用目的を特定して周知・通知さえすれば、事業者が収集した個人情報をどのように取り扱うか規制がなかったところ、法改正後は不適正利用が禁止され、この規定に違反している場合、本人は利用停止や削除などを請求できます。
4-3 認定団体制度
法改正前は個人情報保護委員会の認定を受けた認定団体は、以下の①〜③について、対象事業者のすべての分野について対応することと定められていました(個人情報保護法47条)。
- ①対象事業者の個人情報等の取扱いに関する苦情の処理
- ②個人情報等の適正な取扱いの確保に寄与する事項についての対象事業者に対する情報の提供
- ③対象事業者の個人情報等の適正な取扱いの確保に関し必要な業務
法改正後は、個人情報保護委員会が認定する際に、企業の特定分野(部門)を対象として上記①〜③の業務を行うよう限定できるようになります。一つの企業内に様々な事業が併存している状況に対応するためです。
4-4 データ利活用の促進
法改正前には「匿名加工情報」という概念だけでした。これは、特定の個人を識別することができないように、氏名や顧客IDなどを全く違う記号へ変換する等加工するもので、当該個人情報を復元することができないようにしたものを指します。
法改正後は、新たに「仮名加工情報」「個人関連情報」が新設されます。「仮名加工情報」とは、他の情報と照合しない限り特定の個人を識別することができないように加工された個人に関する情報です。例えば、氏名は削除するが、会員番号はそのまま残しておくような加工方法です。
いったん仮名加工情報にした後は、個人情報への復元はできませんが、統計分析に使ったり、情報を変更したり自由にできます。ただし、利用目的の範囲内という制限はあり、第三者への提供はできない点に注意が必要です。これに対し、「個人関連情報」とは、生存する個人に関する情報であって、個人情報・仮名加工情報・匿名加工情報のいずれにも該当しないものを指します。
例えば、Cookie等の端末識別子を通じて収集された個人情報のウェブサイトの閲覧履歴や、特定の個人を識別できないメールアドレスに結び付いた個人の年齢・性別・家族構成等が個人関連情報となります。自社のホームページを閲覧した人に対して、その人の閲覧履歴に応じた広告やクーポンなどを表示するワン・トゥ・ワン・マーケティングをWEB上で展開している企業は多いと思います。この場合、提供元では個人情報となっていない「個人関連情報」の提供を受けた提供先では、個人が特定できる個人データとして利用するので、その旨の同意を得ておく必要があります。具体的には、下記のようなポップアップで自社サイトを訪れた人から個別で同意を得ることになります(提供先での同意取得義務)。
4-5 ペナルティの強化
個人情報保護委員会による命令違反について行為者の懲役刑が6カ月以下から1年以下へ、罰金刑も30万円以下から100万円以下へ引き上げられました。法人に対しては、罰金刑の上限額が1億円まで大きく上がりました。その他、委員会に対する虚偽報告について、罰金刑の最高額が引き上げられました。
4-6 外国事業者への罰則追加など
外国事業者に対する報告徴収・立入検査
法改正前は、国内事業者のみ報告徴収・立入検査の規定が適用されていました。
法改正後は、外国の事業者が不適切な取扱いをした場合、報告徴収・立入検査の対象となります。
外国にある第三者へ個人データを提供する際の、本人への情報提供の充実
外国にある第三者に個人情報を提供する場合は、原則として本人の同意が必要です。同意を得る際には、予め以下の情報を提供する必要があります。
- ・外国の名称
- ・当該外国における個人情報保護に関する制度
- ・提供先の事業者が講じている個人情報保護の措置
5.個人情報保護法改正にともなって、企業が対応するべき内容は?
5-1 企業が対応するべき内容①
最優先で行うべきは、企業内で個人情報がどのように利用されているかの調査(個人情報の棚卸し)です。従来、目的外利用の場合に限定されていましたが、今後は不当な利用がされるおそれさえあれば、本人は利用停止や消去などを請求できます。例えば、取得した個人情報を活用して広告配信を行っている企業が、ある会社から広告配信の依頼を受けたところ、広告対象の商品が偽ブランド品のような違法商品である場合に安易に広告配信を行うと、配信を受けた個人が自身の情報が不当に利用されたとして利用停止・消去を求めてくる事態が十分にあり得ます。自分たちの情報活用が公序良俗・社会通念に反したものではないか、ビジネス倫理の観点から見直す必要があるのです。
また、取得した個人情報を第三者へ提供している場合、「いつ、だれに、どのように提供したか」という第三者提供のトレーサビリティも記録しておく必要があります。
さらに、改正法では、電磁的記録での開示を求められるケースがあり、「貴社が保有する私に関する情報すべてをデータで開示してください」という請求にも、原則として対応しなければいけません。会社によっては、音声(コールセンターでの問い合わせ履歴)や画像(防犯ビデオの映像)なども保有している場合があり、これらをどのように本人へ開示するか、デジタル対応も急務です。開示方法や、利用停止・削除請求があった場合の対応フローの見直しが必要です。
5-2 企業が対応するべき内容②
個人情報を取得する際に開示するプライバシーポリシーも見直しが必要です。
利用目的について、
法改正前は「できる限り」特定すれば足りましたが、
法改正後は、本人が合理的に予測・想定できるように記載する必要があります。
例えば、お客様の情報を「広告配信のために利用します」と書かれているだけでは不十分だと考えられます。詳しく記載する際には、「お客様のホームページ閲覧履歴や購買履歴を分析して、趣味・嗜好に応じた商品を広告表示します」といった書き方になります。
また、保有個人データについて、プライバシーポリシーで必須記載項目として、事業者の名称だけでなく、「住所、代表者の氏名」が追加となり、「安全管理のために講じている措置」も公表が必要です。
その他、Cookie取得のための許可取得(ポップアップ設置)や、個人データを海外へ提供している場合の本人への情報提供・同意取得なども必要となる場合があり得ます。委託先が外国企業を使って個人データを利用しているケースもあるので、委託先への調査をまず行いましょう。
5-3 企業が対応するべき内容③
どんなに安全管理措置を講じていても、個人情報の漏えいが起きることはあり得ます。仮に漏えいが起きてしまった場合、前述のように、ハッキングやウィルスなどの不正行為による場合や1,000名を超える漏えいの場合には、個人情報保護委員会への報告、本人への通知が法律上の義務として生じます。従来も、実際には行われてきたと思いますが、改めて、漏えい事案が起きた際の対応についてシミュレーションをしておくべきです。火災・地震時の避難訓練のように、準備しておけば、いざというときに初動対応を迅速に行うことができます。
なお、個人情報の保護に関する法律施行規則6条の3第1項は、委員会への報告事項として、以下の9項目を定めています。
- ・概要
- ・漏えい等が発生し、又は発生したおそれがある個人データの項目
- ・漏えい等が発生し、又は発生したおそれがある個人データに係る本人の数
- ・原因
- ・二次被害又はそのおそれの有無及びその内容
- ・本人への対応の実施状況
- ・公表の実施状況
- ・再発防止のための措置
- ・その他参考となる事項
6.職場での”個人情報保護法違反”を発生させないためには?
メールの誤送信1つで、大量の個人情報(メールアドレスも氏名のローマ字表記のような、それだけで個人が特定されるものは個人情報とされます)の漏えいが起きてしまう時代です。従業員一人ひとりが情報管理の重要性を意識して、個人情報が含まれている書面やデータの扱いを慎重にしていく、という普段からの心掛けが必要です。特にBtoCの業種においては、現場で膨大な個人情報を扱うことになるので、必要なくなったデータは定期的に消去したり、法務部や総務部が全社的に個人情報の棚卸しを行ったり、という安全管理の措置を講じておくべきです。これは漏えいの予防になるとともに、万が一、漏えいした際の被害規模を減らし、個人情報保護委員会への報告、本人への通知を迅速に行うことにもつながります。
まずは、個人情報保護法の概要について、全従業員を対象とした必須研修として盛り込む必要があります。その上で、課長以上の管理職に対しては、自社の具体的な事例を基にした安全管理措置の追加研修を行います。その際、管理レベルを上げると、現場の業務に支障が生じることもあるので、上からの一方的な押し付けではなく、現場からの質疑応答に応じる等、現場業務への配慮もすべきです。本人からの同意を得る手続き1つを考えても、現場負担が過重とならないよう、現場が誤魔化して本人の同意を得たかのように偽装しないよう、柔軟なルール設計が必要となります。
まとめ
今回の2020年法改正は、3年ごとの法改正に基づくものです。この後も、今年から3年後、2025年内に次の法改正が行われます(施行はその後なので、早くても2026年)。ビッグデータ活用や、海外との情報のやり取り増加など、ここ2、3年で生じた変化はより加速することが予想されます。今回の法改正を理解できていないと、次の2025年以降の法改正には全く対応できないことになります。
個人情報漏えいが、企業の命運を決めてしまうほどの大きな不祥事、評判低下、顧客離れを引き起こしてしまう時代です。法律が定めているのは、すべての事業者が守るべき最低限です。事業者の置かれている状況次第では、より厳しい安全管理措置を講じておくべき場合もあるでしょう。本コラムで説明してきた程度の内容は、すべての従業員が知っておくべき基礎知識です。
LEC東京リーガルマインドのeラーニング研修で、組織内の課題解決策を強化しましょう!
LECのeラーニング研修は、企業における個人情報保護の必要性について、その経緯と背景を含めて学習することで、基本的な知識と心構えを身につけることができます。 さらに、既成コンテンツで満たせないご要望には、柔軟かつ迅速にカスタマイズ対応いたします。外国語への翻訳も可能です。
eラーニング
わかりやすい個人情報入門 営業担当者のための個人情報保護法入門
講師派遣型・オンライン
こちらもおすすめ
- 事業戦略・組織強化関連研修
-
- 講師派遣型・オンライン
- ビジネス実務法務研修
- リスクマネジメント研修
- CSR(企業の社会的責任)入門研修
- 経営戦略研修
監修者情報
反町 雄彦 そりまち かつひこ
株式会社東京リーガルマインド 代表取締役社長/弁護士
| 1976年 | 東京都生まれ | |
|---|---|---|
| 1998年 | 11月 | 東京大学法学部在学中に司法試験合格。 |
| 1999年 | 3月 | 東京大学法学部卒業。 |
| 4月 | 株式会社東京リーガルマインド入社、以後5年間、司法試験対策講座の講義を行い、初学者向けの入門講座から中上級向けの講座まで幅広く担当し、多くの短期合格者を輩出した。 |
|
| 2004年 | 3月 | 司法研修所入所。 |
| 2005年 | 10月 | 弁護士登録(東京弁護士会所属)。 |
| 2006年 | 6月 | 株式会社東京リーガルマインド取締役。 |
| 2008年 | LEC司法試験対策講座統括プロデューサーを務め、以後、現在に至るまで資格試験全般についてクオリティの高い教材開発に取り組んでいるほか、キャリアデザインの観点から、多くの講演会を実施している。 |
|
| 2009年 | 2月 | 同専務取締役。 |
| 2011年 | 5月 | 同取締役。 |
| 2014年 | 4月 | 同代表取締役社長。 |
| 2019年 | 4月 | LEC会計大学院学長 |
