COLUMN COLUMN

  • HOME
  • COLUMN
  • 2022年4月施行 改正 個人情報保護法の主な変更点

2022.4.14 /

2022年4月施行 改正 個人情報保護法の主な変更点

目次

  1. 2022年4月施行の「改正個人情報保護法」について
  2. 1.本人の権利保護強化
  3. 2.事業者の責務追加
  4. 3.企業の特定分野を対象とする団体の認定団体制度の新設
  5. 4.データの利活用促進
  6. 5.法令違反に対するペナルティ強化
  7. 6.外国事業者に対する罰則追加
  8. 最後に

近年、企業の機密情報を国内外の同業他社に不正に持ち出した事件が報じられることが多くなり、企業の機密情報に関する保護・強化が急務となっています。

情報処理推進機構IPAでは、「企業における営業秘密管理に関する実態調査」という調査を定期的に実施しています。

昨年の調査結果では情報漏洩事例が発生した(またはその可能性を含む)と回答した企業は前回調査より減少したものの、漏洩原因のトップである「中途退職者による漏洩」は増加しており、内部不正による情報漏洩は残念ながら減少していない事がわかりました。

 

そのような昨今の状況の中、今年4月から施行された「改正個人情報保護法」では国内の事業者は規模に関係なく罰則やその対応する範囲が大幅に強化されており、またこれまでは特に問題にならなかった取扱いも罰則対象になるなど、変更点が多くあります。

今回の個人上保護法の改正点について、まとめてみました。

 

2022年4月施行の「改正個人情報保護法」について

「個人情報保護法」は個人情報を保護するための法律として2005年4月に施行されました。その後も社会情勢の変化に対応するため3年ごとに見直しを図っていますが、今回の見直しでは、下記の目的の元、時勢に合わせた視点での改正がなされており、令和4年4月に全面施行される令和2年改正法では以下の点を主な目的としています。

 

改正の主な目的

①個人の権利・利益の保護と活用の強化

情報を提供する個人自らが、自身の情報の取扱いに対する関心や関与への期待が高まっており、個人の権利・利益の保護のために必要十分な対応ができるよう配意しつつ制度を見直すこと。また、個人情報等に関連する技術革新が、経済成長等と個人の権利利益の保護を両立できるよう保護と活用のバランスのとれた制度を策定すること。

 

②国境を超える個人情報データの流通増大に伴う新たなリスクへの対応

個人情報のデジタルデータの利活用がグローバル展開されることに対して、国際的な制度との調和や連携に配意し制度を見直すこと。また、国内で展開する海外事業者によるサービス利用や、国境を越えて個人情報を扱うようなビジネスの増大にともなう新たなリスクに対応すること。

 

③ビッグデータやAIとそれに付随した個人情報の取扱い対応

ビッグデータやAIを活用する事業者が個人情報を取り扱う際に、事業者が本人の権利・利益との関係で説明責任を果たしつつ、情報を利用される個人側でも予測が可能な範囲内での適正な利用ができるよう環境を整備していくこと。

 

今回の改正内容を簡潔にまとめると、以下のようになります。

・個人情報の取り扱いがより厳格化される

・情報漏洩時の通知が完全義務化される

・法令違反には厳罰が科される

 

さらに今回の改正点は具体的には大きく6つになります。

 

1.本人の権利保護強化

取得した個人情報の取扱方法が強化されています。

変更点の例としては、これまで保有個人データに含まれなかった短期保有データ(6ヶ月以内に消去される個人情報)についても保有個人データに含めることになりました。

また、利用停止や消去の請求、第三者への提供禁止請求が可能なのは、これまでは本人の同意がない状態で国内外の第三者に提供した場合に限られていましたが、事業者側で不要になった場合やデータの漏洩が生じた場合、本人の権利や利益が害される恐れがある場合にも請求が可能になりました。

 

2.事業者の責務追加

個人情報を取り扱う事業者側の責務が強化されています。

大きい変更点は報告の義務化です。情報の漏洩だけでなく、データがなくなったり破壊されたりした、またはその恐れがある場合にも報告が義務となりました。

 

3.企業の特定分野を対象とする団体の認定団体制度の新設

これまで認定個人情報保護団体の認定対象は、対象事業者のすべての分野における個人情報等の取扱いが対象となっていたが、特定の事業の種類やその他業務の範囲に限定した個人情報の取扱いでも認定することが可能となりました。

これにより事業ごとの専門的な利用方法に合わせた個人情報保護ができることが期待されています。

 

4.データの利活用促進

個人を特定できなくするためにあえて変換した情報については、事業者側の義務を緩和する制度が新設されました。ただし、データ提供先で他のデータと照合することで個人特定が可能なデータになることが想定される場合に確認義務も新しく設定されました。

これはデータの利活用を促進するのが目的です。

 

5.法令違反に対するペナルティ強化

法定刑は個人・法人共に全般的に引き上げ、特に法人の罰金刑の上限額が大きく引き上げられました。

・措置命令・報告義務違反の罰則に関する法定刑の引き上げ

 ・措置命令違反

  (旧)6ヶ月以下の懲役または30万円以下の罰金

  (新)1年以下の調整または100万円以下の罰金

 ・個人情報データベース等の不正流用

  (旧)1年以下の懲役または50万円以下の罰金

  (新)変わらず

 ・報告義務違反

  (旧)30万円以下の罰金

  (新)50万円以下の罰金

 

・法人に対する罰金刑の引き上げ

 ・措置命令違反

  (旧)30万円以下の罰金

  (新)1億円以下の罰金

 ・個人情報データベース等の不正流用

  (旧)50万円以下の罰金

  (新)1億円以下の罰金

 ・報告義務違反

  (旧)30万円以下の罰金

  (新)50万円以下の罰金

 

6.外国事業者に対する罰則追加

日本国内に住む人の個人情報などを取り扱う外国の事業者はこれまで報告徴収や命令、立入検査の対象ではありませんでしたが、今回の改正により対象になりました。

海外の事業者にも個人情報保護を徹底させるのが目的です。

 

最後に

幅広い範囲で改正となった個人情報保護法ですが、罰則や適用範囲など厳しくなった面もありつつ、情報のデジタル化、グローバル化に合わせた緩和的な変更も加えられています。

これまで個人情報を取り扱っていた企業はもちろんのこと、それ以外の企業も管理すべき対象となっている場合もあります。

一度は目を通しておきましょう。

SHARE

COLUMN LIST

CONTACT

お問い合わせはこちらから