【最新版】2022年施行改正個人情報保護法の解説
制度改正の背景
- 個人の個人情報に関する意識の高まり
- 通信情報技術の発展とそれに伴う様々なサービスの登場
- 不正アクセスの巧妙化
- グローバルな個人情報保護関連制度・法令への対応
上記に伴い、3年ごとに個人情報保護法の見直しを行う規定が盛り込まれました。
3年ごとのみなおしにおけるポイント
- 「個人の権利利益を保護」するために必要十分な措置を整備すること
- 技術革新の成果が、経済成長等と個人の権利利益の保護との両面に行き渡ること
- 国際的な制度緩和や連携に配慮すること
- 海外事業者によるサービスの利用や、個人情報を扱うビジネスの国境を越えたサプライチェーンの複雑化などが進み、個人が直面するリスクも変化しており、これに対応すること
- AI・ビックデータ時代を迎え、個人情報の活用が一層多岐んきわたる中、事業者が本人の権利利益との関係で説明責任を果たしつつ、本人の予測可能な範囲内で適正な利用がなされるよう、環境を整備していくこと
( 2020年7月(JIPDEC) 対象事業者向け情報発信 資料」より )
施行のスケジュール
- 2019年12月13日 改正大綱(⇒パブリックコメント)
- 2020年 3月10日 改正法案の閣議決定 ⇒国会に提出
- 2020年 6月 5日 可決、成立 ⇒6月12日公布
- 2021年5月~6月ガイドライン、QAの公表予定
- 2022年春~6月頃 施行予定
改正の概要
1.個人の権利の在り方
- 利用停止・消去等の個人の請求権について、不正取得等の一部の法違反の場合に加えて、個人の権利又は正当な利益が害されるおそれがある場合にも要件を緩和する。
- 保有個人データの開示方法(※)について、電磁的記録の提供を含め、本人が指示できるようにする。
※現行は、原則として、書面の交付による方法とされている。 - 個人データの授受に関する第三者提供記録について、本人が開示請求できるようにする。
- 6 ヶ月以内に消去する短期保存データについて、保有個人データに含めることとし、開示、利用停止等の対象とする。
- オプトアウト規定(※) により第三者に提供できる個人データの範囲を限定し、①不正取得された個人データ、②オプトアウト規定により提供された個人データについても対象外とする。
※本人の求めがあれば事後的に停止することを前提に、提供する個人データの項目等を公表等した上で、本人の同意なく第三者に個人データを提供できる制度。
2.事業者の守るべき責務の在り方
- 漏えい等が発生し、個人の権利利益を害するおそれがある場合(※)に、委員会への報告及び本人への通知を義務化する。
※一定数以上の個人データの漏えい、一定の類型に該当する場合に限定。 - 違法又は不当な行為を助長する等の不適正な方法により個人情報を利用してはならない旨を明確化する。
3.事業者による自主的な取組を促す仕組みの在り方
- “認定団体制度については、現行制度に加え企業の特定分野(部門)を対象とする団体を認定できるようにする。
※現行の認定団体は、対象事業者のすべての分野(部門)を対象とする。”
4.データ利活用に関する施策の在り方
- イノベーションを促進する観点から、氏名等を削除した「仮名加工情報」を創設し、内部分析に限定する等を条件に、開示・利用停止請求への対応等の義務を緩和する。
- 提供元では個人データに該当しないものの、提供先において個人データとなることが想定される情報の第三者提供について、本人同意が得られていること等の確認を義務付ける。
5.ペナルティの在り方
- 委員会による命令違反・委員会に対する虚偽報告等の法定刑を引き上げる。
- 命令違反の罰金について、法人と個人の資力格差等を勘案して、法人に対しては行為者よりも罰金刑の最高額を引き上げる(法人重科)。
6.法の域外適用・越境移転の在り方
- 日本国内にある者に係る個人情報等を取り扱う外国事業者を、罰則によって担保された報告徴収・命令の対象とする。
- 外国にある第三者への個人データの提供時に、移転先事業者における個人情報の取扱いに関する本人への情報提供の充実等を求める。
(2020年7月(JIPDEC) 対象事業者向け情報発信 資料」より)
具体的な事業者の対応方法について
Pマーク取得事業者であれば、既に概ねの対応が出来ている為、さほど対応すべき事項はありませんが
以下の修正が求められる可能性があります。
・「第三者提供の記録」の開示手続きの手順の公表
⇒開示の範囲に追加されたため、HP等に公表しているプライバシーポリシーの見直し
・cookie情報取得の際の同意の仕組み
⇒GDPRに関連し、対応が必要となる場合があります。
対応方法についてはこちら
ペナルティの在り方
