【ほぼすべての事業者が対象に】2022年4月改正「個人情報保護法」の新ルール〈6つのポイント〉

個人情報保護法は、これまでも社会・経済情勢に沿った改正がたびたび行われてきましたが、この4月、さらに新たなルールが施行されます。今後は1件でも個人情報を扱っていれば個人情報取扱事業者とされ、ほぼすべての事業者がこの法律の対象となります。どのような点に留意が必要なのか、情報マネジメントシステム構築のエキスパートが具体的に解説します。

1件でも個人情報を扱っていれば、個人情報取扱事業者

2003年に制定された個人情報保護法は、その後、社会・経済情勢の変化を踏まえて今までも度々改正されてきました。そして、一部が先行して施行されていましたが、2022年4月、さらに新たなルールが施行されます。

 

今までも個人情報保護法は、既に2015年の改正でいわゆる「5,000件要件」が削除されています。法律制定当初、法律の対象となる「個人情報取扱事業者」は「体系的に整理された個人情報(個人データ)を5,000件以上保有する企業」とされていたのですが、これが撤廃され、1件でも個人情報を扱っていれば個人情報取扱事業者とみなされることになりました。

 

つまり現在では、事実上、国内で活動するほぼすべての事業者が法律の対象になっているので、今回の改正がどのような内容で、皆様の業務にどう関わってくるか、ぜひ確認していただきたいと思います。

 

今回の2022年改正は、次の6つがポイントです。

 

1.個人情報を所有する本人の権利保護が強化された

2.個人情報を扱う事業者の責務が追加された

3.企業の特定分野を対象とする団体の認定団体制度が新設された

4.データの利活用がしやすくなった

5.法令違反に対するペナルティが強化された

6.外国の事業者に対する、報告徴収・立入検査などの罰則が追加された


以下、それぞれの概要をご紹介します。

 

1.個人情報を所有する本人の権利保護が強化された

 次の4点にわたり、本人の権利保護が強化されました。

 

①事業者は短期保有データも「保有個人データ」として扱わなければならない

 

 旧法では「6ヵ月以内に消去されるデータ」は、個人情報保護法の対象となる「保有個人データ」とはみなされませんでしたが、こうした短期保存データであっても「保有個人データ」に含まれることになりました。

 

②保有個人データの開示をデジタルで行うように請求することができる

 

個人情報保護法では、本人は個人情報取扱事業者に対して保有個人データの開示を請求することができ、その場合、事業者は原則として開示しなければならず、それは書面による交付が原則とされていました。

 

しかし、情報量が膨大であったり、動画や音声データである場合のように、書面による交付が適さない場合があります。そこで電磁的記録の提供による方法など、「本人の指定する方法による開示」を請求することができることになり、また、事業者は本人が請求した方法によって開示する義務を負うことになりました。(例外的に書面の交付による方法での開示も認められています)。

 

③利用停止・消去請求、第三者への提供禁止の請求がより広くできるようなった

 

旧法では、本人が保有個人データの利用停止・消去を請求できるのは、「個人情報を目的外利用したとき」と「不正の手段により取得したとき」に限られていました。また、第三者への提供の停止を請求できるのも「本人の同意なく第三者に提供した場合」と「本人の同意なく外国にある第三者に提供した場合」に限られていました。

 

新法では、次のような場面でも、利用停止・消去・第三者提供の停止を請求できるようになっています。

 

1 個人情報取扱事業者が、保有個人データを利用する必要がなくなったとき

2 保有個人データの漏えい等が生じたとき

3 その他、保有個人データの取扱いにより、本人の権利又は正当な利益が害されるおそれがあるとき

 

④個人データの授受についての第三者提供記録の開示請求ができるようになった

 

旧法では、個人データの所有者本人は事業者が作成した保有個人データの第三者提供記録(第三者に提供した場合、あるいは逆に提供を受けた場合に残さなければならない記録)について開示請求ができませんでした。しかし新法では、本人は、第三者提供記録の開示を請求できることになりました。

 

★「個人情報」「個人データ」「保有個人データ」はどう違う?★

 

「個人情報」「個人データ」「保有個人データ」は法律では明確に区別されています。

【個人情報】

特定の個人を識別できるもの、または個人識別符号が含まれるものを指します。氏名や住所、電話番号、生年月日、メールアドレスなどのほかにも顔の画像、指紋、DNAなども含まれます。単独では個人を特定できなくても複数組み合わせることで特定できるものは個人情報となります。単体で個人情報となり得る個人識別符号として、マイナンバー、免許証番号、健康保険証番号、パスポート番号などがあります。

 

【個人データ】

個人データベース等を構成する個人情報です。個人情報よりも定義が狭められています。「個人データベース等」とは検索できるように個人情報を整理したものです。単に取引先から取得した複数の名刺というだけなら、個人情報ではあっても個人データではありません。

 

【保有個人データ】

本人などから開示、訂正、削除などの求めがあった場合に応じなければならない個人データのことです。個人データよりもさらに定義が狭められたものです。

 

株式会社ユーピーエフ 代表取締役

神奈川県出身。2003年24歳の時、現在の前身である「上野企画(個人事業主/DM発送、データベースマーケティング事業)」を起業。

その後2008年にプライバシーマークとSMS(ISO27001)の取得と運用更新支援専門の情報セキュリティー支援事業を開始。

現在全国4拠点にて2300社以上の支援先を持つ、業界トップクラスのコンサルティング会社。

2020年7月「経営者がおすすめのPマークコンサル会社部門」「Pマークコンサルアフターフォロー満足度部門」「医療関係者に最も選ばれるPマークコンサル会社部門」「上場企業従事者に最も選ばれるPマークコンサル会社部門」(調査企画:日本マーケティングリサーチ機構)で1位を受賞。

著者紹介

連載個人情報保護のエキスパートが解説! 情報漏えいリスクとその回避術

メルマガ会員限定記事をお読みいただける他、新着記事の一覧をメールで配信。カメハメハ倶楽部主催の各種セミナー案内等、知的武装をし、行動するための情報を厳選してお届けします。

登録していただいた方の中から
毎日抽選で1名様に人気書籍をプレゼント!
TOPへ