第79回個人情報保護法改正と対応すべき実務 ~2022年4月1日施行~
※この文章は、社会保険労務士法人 名南経営によるものです。
※この文章は、2022年4月1日現在の情報に基づいて作成しています。具体的な対応については、貴社の顧問弁護士や社会保険労務士などの専門家とご相談ください。
1.はじめに
2020年6月に個人情報保護法が改正(個人情報の保護に関する法律等の一部を改正する法律:2020年6月12日法律第44号)され、2022年4月1日に施行されました。すでに多くの企業は、個人情報保護委員会などからの発信によってそれらの情報を得て然るべき対応を完了させていますが、改正された2020年時点では2022年4月の施行までまだ十分な時間があるとの認識から、対応を先送りにして現在に至っている企業も少なくないと思われます。そこで本稿においては、今回の改正法の施行に合わせた対応について改めて整理し、必要に応じた実務対応を急ぎ講じてもらうことを目的にまとめてみました。
2.2022年4月施行の法改正全体像
2015年に改正され2017年に施行された前回の個人情報保護法では、個人情報の保護に関する国際的動向、情報通信技術の進展、それに伴う個人情報を活用した新たな産業の創出や発展の状況を反映して3年ごとに見直しを行うことが規定として盛り込まれており、今回はそれを受けての法改正となりました。AIによる顔認証など、技術は日進月歩であり、それら新技術を生かした新しい仕組みが日々出てくる現状から、3年ごとの見直しでも遅いのではないかという声もあるようです。
今回の法改正は、そうした進歩の中において、個人情報に対しての意識の高まりや個人データを取り巻くリスクの変化、経済社会活動のグローバル化に伴う外国にある第三者への個人データの提供(越境移転)の急速な増大などを背景に、個人の権利利益の保護の視点から、図表1の改正が行われました。
<図表1> 改正の概要
- (出典) 個人情報保護委員会「令和2年改正個人情報保護法について」令和4年3月 P3
https://www.ppc.go.jp/files/pdf/r2kaiseihou.pdf
3.企業の実務対応
(1) 利用停止・消去などの個人の請求権への対応
今までも本人から個人データの利用停止や消去などの請求はできましたが、それは目的外利用や不正取得などの場合に限定されていました。これらの限定的なルールに該当しない限り個人データの利用停止や消去までは求められておらず、例えばダイレクトメールが断っても断っても送られ続けるといったようなことがありました。これでは、個人の権利が保護されないということから、今回の改正においては、一部の法違反の場合に加えて、個人の権利または正当な利益が害されるおそれがある場合にも、本人から個人データの利用停止や消去などが請求できるようになりました(図表2)。
また、短期保存データといわれる6カ月以内に消去する個人データは、改正前は開示や利用停止などの請求対象外とされていましたが、改正後は短期保存データであったとしても、開示や利用停止などの請求対象となりました。
このように対象の幅は大きく広がったため、本人からの利用停止などの請求に確実に対応することができるように社内に統一的な窓口を設置し、かつ従業員がスムーズに対応できるよう社内周知も徹底しておくべきでしょう。
<図表2> 利用停止・消去などの個人の請求権
- (出典) 個人情報保護委員会「令和2年改正個人情報保護法について」令和4年3月 P4-5
https://www.ppc.go.jp/files/pdf/r2kaiseihou.pdf
(2) 保有個人データの開示方法への対応
保有個人データの開示方法は、改正前は書面の交付による方法が原則でしたが、今回の改正によって、電磁的記録の提供を含めて本人が指示できるようになりました。したがって、「当社指定の書式に記載して郵送してください」といったような一方的で選択肢のない対応ではなく、電子メール送信やウェブサイト上からのダウンロードなどの方法も選択肢として入れる必要があります。本人がファイル形式を指定するなどといった方法にまでは応じる必要はないものの、できる限り本人の要望に沿って対応することが望ましいと考えられます。
(3) 漏えい等報告などの義務化への対応
今回の改正において、企業対応の実務面に大きな影響があるものの一つとして、漏えい等発生時の報告などの義務化です。これは、漏えい等の事案が発生し、個人の権利利益を害するおそれが大きい場合には、個人情報保護委員会への報告および本人への通知が義務化されました。この義務化の対象となるのは、要配慮個人情報※1の漏えい等、財産的被害のおそれがある漏えい等、不正の目的によるおそれがある漏えい等、1000件を超える漏えい等であり、漏えい等のみならずそのおそれのある場合も含まれます。また、漏えい等については、漏えいのみでなく、滅失や棄損といった状況も含まれます。
なお、この報告にあたっては、その事態を知ってから速やかに「速報」として、また、その事態を知ってから30日以内(不正の目的によるおそれがある漏えい等の場合は60日以内)に「確報」として報告をすることが求められています。
さらに、個人情報の内容が古く、連絡がつかないなど、本人への通知が困難な場合には、事案や問い合わせ窓口を公表して、本人が自らの個人データが対象となっているか否かを確認できるようにするといった対応が求められていますので、やはり対応窓口の設置は必要であり、情報漏えい等の発生時の問い合わせなどに対して、たらいまわしにするといったようなことがないよう社内に周知徹底しておきましょう。
<図表3> 漏えい等報告等の義務化
- (出典) 個人情報保護委員会「令和2年改正個人情報保護法について」令和4年3月 P12-13
https://www.ppc.go.jp/files/pdf/r2kaiseihou.pdf
- ※1:「要配慮個人情報」とは、「本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取り扱いに特に配慮を要するものとして政令で定める記述などが含まれる個人情報」をいいます。
(4) 仮名加工情報の創設への対応
個人情報について厳格な管理が求められていることはいうまでもありませんが、その蓄積されたデータは、マーケティングや医薬品の開発など、多くの分野にわたって活用できる可能性があります。特に昨今の情報化社会においては、ビッグデータの利活用は強く求められているため、今回の改正では、氏名などを削除した「仮名加工情報」を創設し、内部分析に限定するなどを条件に、開示・利用停止請求への対応などの義務が緩和されました。具体的には、個人情報のうち氏名や年齢、生年月日などの詳細情報について、他の情報と照合しない限り特定の個人を識別できないように加工することによって、新たな目的でそれを利用することができるようになりました。
このような加工データは今後さまざまな分野で利活用されるものと考えられますが、データの加工にあたっては、内容が復元できないようにするのはもちろん、データ加工の段階で複数のさまざまなデータが派生してできてしまうことも考えられ、それぞれの管理が不十分となって漏えいしないように注意しなければなりません。
(5) 個人関連情報※2の第三者提供規制への対応
複数の企業においてデータの利活用が行われている場合、例えば、A社においては個人データに該当しないものの、そのデータがB社に提供されてB社内のデータと紐づけられることによって個人データとなりうることが想定される場合には、その第三者提供にあたって本人から同意が得られていることの確認が必要となりました(図表4)。これは、情報管理を複数社で行っているような場合においては、より厳格な管理が求められていることに注意をしなければなりません。
<図表4> 個人関連情報の第三者提供規制
- (出典) 個人情報保護委員会「令和2年改正個人情報保護法について」令和4年3月 P20
https://www.ppc.go.jp/files/pdf/r2kaiseihou.pdf
- ※2:「個人関連情報」とは、「生存する個人に関する情報であって、個人情報、仮名加工情報および匿名加工情報のいずれにも該当しないもの」をいいます。例えば、以下のようなものが該当します(ただし、個人情報に該当する場合は、個人関連情報に該当しません)。
・Cookieなどの識別子を通じて収集された、ある個人のウェブサイトの閲覧履歴
・ある個人の商品購買履歴・サービス利用履歴
・ある個人の位置情報
また、「匿名加工情報」とは、「特定の個人を識別することができないように個人情報を加工し、当該個人情報を復元できないようにした情報のこと」をいいます。
(6) 越境移転に係る情報提供の充実への対応
経済のグローバル化は今や当然の光景となっていますが、個人情報の管理などにおいてもそれは及んでおり、外国にある第三者へ個人データを提供する場合には、本人からの同意取得時に次の①~③についての情報を提供することが義務付けられました。
①移転先の所在国の名称
②当該外国における個人情報保護に関する制度
③移転先が講ずる個人情報の保護のための措置
このケースに該当する場合には、これらの点を網羅できるよう、個人情報を得る際に用いる同意書などの書式の内容を見直す必要があります。
(7) 公表事項などの充実への対応
本来、個人情報管理にあたっては、安全管理措置を講じる必要があり、物理的安全管理措置、技術的安全管理措置、組織的安全管理措置などの対応をそれぞれ行っているものと思います。しかしながら、現実には十分な対応がなされていないことによって情報が漏えいする原因となってしまうことがあります。
そのため、改正前は公表事項として、事業者の名称、利用目的、開示請求などの手続き、苦情の申出先などが定められていましたが、改正後はこれらに加えて「安全管理のために講じた措置」が追加されました(図表5)。
したがって、確実に安全管理措置を講じることが必要であり、すでに法改正は施行されていますので、現時点においてもその対応がなされていなければなりません。
<図表5> 公表事項などの充実
- (出典) 個人情報保護委員会「令和2年改正個人情報保護法について」令和4年3月 P32
https://www.ppc.go.jp/files/pdf/r2kaiseihou.pdf
4.法違反などに伴う罰則強化
個人情報保護委員会は、公正取引委員会などと同様、違反事業者に対しての改善指導などを行う権限を有しています。今回の改正では、個人情報保護や漏えい対策をより確実なものにするために、違反に対する罰則も強化されました。法人に対する罰則の上限は1億円以下の罰金にまで引き上げられ、行為者に対する罰金も引き上げられました(図表6)。
このような罰則強化は、情報漏えいの抑止力になることを期待してのことと思われますが、十分な安全管理措置を講じていれば漏えいリスクは最小限に抑制されるはずです。安全管理措置の一層の強化が急がれます。
<図表6> 法定刑の引き上げ
- (出典) 個人情報保護委員会「令和2年改正個人情報保護法について」令和4年3月 P24
https://www.ppc.go.jp/files/pdf/r2kaiseihou.pdf
5.全体を通じた企業の対策
個人情報管理への規制がより一層厳しくなってきている昨今、必要以上の情報は持たないようにする必要があり、個人情報を持っているというよりも預かっているという意識への変革が求められています。そのため、管理する対象者をさらに絞っていくことはもちろんのこと、データアクセスや保管の方法や権限など全体を改めて見直す必要があります。
今回の改正については、2022年4月より、すでに施行されているものであり、現時点で対応していなければならない内容です。本稿のみならず個人情報保護委員会のウェブサイト※3なども参考にしながら、早急に本来の姿に整えていく必要があります。
- ※3:https://www.ppc.go.jp/index.html
【執筆者】
社会保険労務士法人名南経営
服部 英治氏
社会保険労務士法人名南経営 ゼネラルマネージャー
株式会社名南経営コンサルティング 取締役
保有資格:社会保険労務士
名南コンサルティングネットワークの一社として、幅広い顧客層にさまざまな経営コンサルティングなどを実践している。