検索
2.事業者が果たすべき責務が追加された
従来、事業者に「漏えい時の報告義務」はありませんでしたが、新たに追加されました。
今後事業者は「個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたとき」には、個人情報保護委員会に報告しなければなりません。
また、本人に通知する義務も課されました。さらに旧法では、違法・不当な行為を助長・誘発するおそれがある方法による個人情報の利用について特に文章で禁止されていませんでしたが、新法では文章で明確に禁止されました。
★個人情報保護委員会とは?★
個人情報保護委員会は、個人情報保護法に基づいて設置された個人情報の適切な管理と利活用を監督する政府機関です。公正取引委員会などと同じ独立性の高い組織で企業への立入検査や勧告・命令権限をもっています。
3.企業の特定分野を対象とする認定団体制度が新設された
個人情報保護法では、個人情報保護委員会の他に、民間団体を「認定個人情報保護団体」として、個人情報の取扱いに関する苦情の処理、事業者への個人情報の適正な取扱いに関する情報の提供などを行うことを認めています。
旧法では「対象事業者の全ての分野における個人情報等の取扱いを対象とする団体」の認定だけでしたが、今回の改正では、対象事業者の「特定の事業の種類その他業務の範囲」に限定した団体を認定することができるようになりました。事業単位での認定団体を認めることで、専門性を生かした個人情報の保護の取り組みを強めるためです。
4.データの利活用がしやすくなった
個人データに関する本人の権利保護と同時に、データの利活用を促進する観点から、次の2点が改正されました。
「仮名加工情報」について事業者の義務の緩和
旧法では、事業者が個人情報を加工して“個人を特定できない”かつ“復元できない”情報に変換した「匿名加工情報」を利活用する場合、個人情報を復元することが禁止されており、作成したときや第三者提供する際の公表義務等が課されていました。
しかし、「仮名加工情報」制度が新設され、個人を特定できないように変換した情報で、内部分析に限定する等を条件に個人の権利利益を侵害するおそれが低いことから、「仮名加工情報」に該当するものについては、通常の個人情報に比べて事業者の義務が緩和され、「匿名加工情報」と比べても利活用しやすくなりました。
★匿名加工情報と仮名加工情報はどう違う?★
2015年の個人情報保護法の改正で新設された「匿名加工情報」は、「個人情報を復元できない程度に加工して特定の個人を識別できなくした情報」です。一方、2020年の改正で設けられた「仮名加工情報」は、「他の情報と照合しない限り、特定の個人を識別することができないように加工された個人に関する情報」です。
いずれも元となる個人情報とは切断されていますが、「仮名工情報」は仮名化されたのみですから、詳細な分析を進めるなど個人情報と同等なデータの有用性を保持しており、個人情報の利活用という点では有効性を持っています。
ただし、対照表を利用すれば生の個人情報に復元できるものなので、匿名加工情報にはなかった規制(①対照表等の安全管理義務、②第三者への提供の原則禁止、③本人への到達行為の禁止、④利用目的の制限、⑤利用目的達成時の消去(努力義務))が設けられました。つまり、利活用をしやすくすると同時に、それに見合うような制限も設けたということです。
提供先で個人データとなることが想定される場合の確認義務を新設
旧法では、個人関連情報のうち、提供元では個人データではないが提供先で個人データとなることが想定される場合についての規制はありませんでした。しかし、このような場合には、提供元は提供先に、本人の同意が得られているか等を確認する義務を負うことになりました。
個人関連情報というのは「生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないもの」と定義されています。そして、この個人関連情報のうち、提供先では容易照合性があり、個人データとして取得されることが想定されるものについて、本人の同意を必要とするということです。
具体的には、クッキー(Cookie)やIPアドレス、端末固有のID、位置情報、閲覧履歴、購買履歴などが該当すると考えられます。
5.法令違反に対するペナルティが強化された
措置命令・報告義務違反の罰則について法定刑が引き上げられました。
措置命令違反は「6月以下の懲役又は30万円以下の罰金」から「1年以下の懲役又は100万円以下の罰金」に、報告義務違反は「30万円以下の罰金」から「50万円以下の罰金」に、それぞれ引き上げられました。(これについては2021年12月12日に施行済み)
6.外国の事業者に対する、報告徴収・立入検査などの罰則が追加された
旧法では、日本国内にある者に係る個人情報を取扱う外国の事業者に対しては報告徴収や立入検査、命令に関する規定は適用されていませんでしたが、改正により、外国の事業者も対象になりました。より実効性のある措置が実施できるようになりました。
「知らずに法令違反」という事態は、ぜひとも回避を
以上、2022年4月1日施行の改正個人情報保護法のポイントを見てきました。改正に伴い、事業者がすぐに取り組まなければならないことは少なくありません。例えば、次のような点について、ぜひ振り返りを行っていただければと思います。
●現在「プライバシーポリシー」として掲げている文言が、改正法で定める事業者の義務を正しく反映したものになっているか、その点検と修正
●法定の義務とされた、個人情報漏えい時の個人情報保護委員会への報告や本人への通知について、速やかに実施できる業務フローになっているかどうかの確認。本人への通知は膨大な数に上る可能性もあるので、それができる体制の構築が必要
●個人情報のデータによる開示請求に対してスムーズに対応できるよう、テキストデータやPDFがすぐに作成できるようになっているか。また、第三者への個人情報の提供および受領時についても記録を開示する義務があるので情報の受け渡しなどの履歴を確実に記録できる体制を構築しておくことが必要
●自社のWebサイトでCookieを利用しており、Cookie情報と個人情報を紐付けて利用する場合は、プライバシーポリシーに利用目的を明記して本人に同意を得ることが必要
以上のような点について改めて確認していただき、「改正内容を知らずに法令違反を犯してしまった」「消費者への対応が遅れた」といったことがないよう、ぜひ対策を取っていただきたいと思います。
仲手川 啓
株式会社ユーピーエフ 代表取締役
【関連記事】
■税務調査官「出身はどちらですか?」の真意…税務調査で“やり手の調査官”が聞いてくる「3つの質問」【税理士が解説】
■親が「総額3,000万円」を子・孫の口座にこっそり貯金…家族も知らないのに「税務署」には“バレる”ワケ【税理士が解説】
■恐ろしい…銀行が「100万円を定期預金しませんか」と言うワケ
■47都道府県「NHK受信料不払いランキング」東京・大阪・沖縄がワーストを爆走
