2022年4月施行の個人情報保護法改正をわかりやすく解説

2022年4月1日に改正個人情報保護法が施行されます。今回の改正のポイントについてまとめました。

改正に当たっての共通の視点

2019年に個人情報保護委員会が公表した制度改正大綱において、今回の見直しに当たっての共通の視点として以下の5つが挙げられています。これらは、改正法のポイントを理解するうえで抑えておくべき論点といえるでしょう。

1. 個人の権利権益の保護

「情報を提供する個人の、自らの情報の取扱いに対する関心や、関与への期待が高まっており、個人情報保護法第１条の目的に掲げている「個人の権利利益を保護」するために必要十分な措置を整備することに配意しながら制度を見直す必要がある。 」としています。

2. 保護と利用のバランス

前回の改正で特に重視された点ですが、「引き続き重要であり、個人情報や個人に関連する情報を巡る技術革新の成果が、経済成長等と個人の権利利益の保護との両面で行き渡るような制度を目指すことが重要である。」としています。

3. 国際的な制度調和や連携

「デジタル化された個人情報を用いる多様な利活用が、グローバルに展開されており、国際的な制度調和や連携に配意しながら制度を見直す必要がある。」としています。

4. 海外事業者によるサービスの利用・国境を越えて個人情報を扱うビジネスの増大

「海外事業者によるサービスの利用や、国境を越えて個人情報を扱うビジネスの増大により、個人が直面するリスクも変化しており、これに対応する必要がある。 」としています。

5. AI・ビッグデータ時代への対応

「ＡＩ・ビッグデータ時代を迎え、個人情報の活用が一層多岐にわたる中、本人があらかじめ自身の個人情報の取扱いを網羅的に把握することが困難になりつつある。このような環境の下で、事業者が個人情報を取り扱う際に、本人の権利利益との関係で説明責任を果たしつつ、本人の予測可能な範囲内で適正な利用がなされるよう、環境を整備していくことが重要である。 」としています。

個人情報保護法で改正される6つのポイント

今回の改正のポイントとして、以下の6つが挙げられます。

本人の請求権の拡大

まず、改正前の個人情報保護法（旧法）では「保有個人データに含まれない」とされていた「6ヶ月以内に消去されるデータ」が、改正法では保有個人データに含まれるものとされました。
旧法においては、本人が個人情報の利用停止や消去を請求できるのは、「目的外で利用されたとき」と「不正の手段で取得されたとき」に限られていました。また、第三者提供の停止を請求できるのは、「本人の同意なく第三者提供がなされたとき」に限られていました。
改正法においては、これらに加えて、「不適正な利用がなされたとき」にも利用停止を請求できることとされました。さらに、「保有個人データを利用する必要がなくなったとき」や「保有個人データの漏えいが生じたとき」、「保有個人データの取り扱いにより本人の権利または正当な利益が害されるおそれがあるとき」にも、利用停止や第三者提供の停止を請求できることとされました。
本人による保有個人データの開示請求権については、旧法では書面による交付が原則とされていましたが、改正法では電磁的記録の提供による方法など「本人が請求した方法によって開示する義務を負う」とされました。
併せて、第三者提供の記録の開示請求権も新たに設けられています。

事業者の責務の追加

改正法においては、個人データの漏えい等が発生した場合の報告義務および本人に対する通知義務が新たに設けられました。また、個人情報の不適正な利用の禁止義務が明文化されています。

企業の個人情報保護に関する自主的な取り組みの推進

旧法において、本人や関係者からの個人情報取扱いに関する苦情の処理や、個人情報等の適正な取扱いに関する情報の提供、その他個人情報等の適正な取扱いの確保に関して必要な業務を自主的に行う民間団体を「認定個人情報保護団体」として認定する制度がありました。改正法では、認定個人情報保護団体は特定の部門のみを対象とすることができるようになりました。これによって、各企業が顧客の個人情報保護を自主的に取り組むように推進しています。

データの利活用の促進

改正法では、「仮名加工情報」が新たに設けられました。これは、「他の情報と照合しない限り、特定の個人を識別することができないように個人情報を加工して得た個人に関する情報」と定義されています。そのうえで、仮名加工情報について、内部分析目的の利用に限定することを条件としたうえで漏えい等の報告義務や開示請求・利用停止等の適用について緩和することとしています。
また、旧法で規制等が定められていなかった「提供元では個人データではないものの、提供先で個人データとなることが想定される」情報について、改正法では「生存する個人に関する情報であって、個人情報、仮名加工情報、匿名加工情報のいずれにも該当しないもの」を「個人関連情報」と定義し、個人関連情報を第三者提供する場合に提供元が提供先に対して本人の同意を得ていること等を確認する義務を新たに設けました。

違反した際の罰則の強化

改正法では「措置命令違反」「報告義務違反」「個人情報データベースなどを不正利用した個人や法人」に対する罰則が重くなっています。具体的には、措置命令に違反した個人に対しては「1年以下の懲役もしくは100万円以下の罰金」、報告義務違反に対しては「50万円以下の罰金」とされています。
併せて、法人に対する罰則も強化されています。具体的には、措置命令に対する違反の罰則が「1億円以下の罰金」に、個人情報データベース等の不正流用に対する罰則も「1億円以下の罰金」とされています。

外国企業に対する適用の拡充

改正法では、「日本国内にある者に係る個人情報等を取り扱う外国事業者」を報告徴収・命令の対象とし、罰則も適用されることになりました。
また、個人情報取扱事業者が外国にある第三者に個人データを提供する場合、移転先事業者における個人情報の取扱いに関する制度等について本人への情報提供義務などが新たに設けられています。