2022年に施行される改正個人情報保護法のポイントとは？

今回は、2020年6月に成立・公布され2022年4月1日から全面施行される改正個人情報保護法について、全ての事業者がおさえておくべきポイントについて解説します。

「個人情報の保護に関する法律（以下、個人情報保護法という）」は、第四章にて「個人情報取扱事業者の義務」を定めているなど、個人情報を取り扱うすべての事業者に適用されるものです。そして、同法には罰則規定も設けられていることから、法律の内容についてしっかりと把握し、対応していく必要があります。特に注意が必要なのは、平成27年の法改正で「3年ごと見直し規定が盛り込まれる（2017年全面施行）」と定められていることです。よって、個人情報保護法の改正については逐次チェックする必要があります。

そこでこの記事では、2020年に改正案が成立し、2022年4月1日から全面施行される個人情報保護法の改正ポイントについて解説していきます。

個人情報保護法の改正ポイントについて

それでは早速、2022年4月から全面施行となる改正個人情報保護法のポイントについてご紹介していきましょう。そもそも「なぜ個人情報保護法が必要になったのか？」「何の目的で作られた法律なのか？」といた個人情報保護法に関する基礎の部分は、以下の資料でご確認ください。

> 個人情報保護法の成立及び改正に関する主な経緯
> 個人情報の保護に関する基本方針

2020年6月に成立・公布され、2022年4月1日から全面施行される改正個人情報保護法の改正ポイントは以下の6つです。

それでは、それぞれのポイントについてもう少し詳しくご紹介しておきましょう。

①個人の権利の在り方

2022年施行となる改正個人情報保護法では、個人の権利強化や保護に関して、以下の5項目が改正されています。

(1)利用停止・消去等の個人の請求権について、一部の法違反の場合に加えて、個人の権利又は正当な利益が害されるおそれがある場合にも拡充する。

改正前の法律では、個人情報の目的外利用や不正手段により取得した時に限り、利用停止や消去を請求できると定められていました。つまり、事業者側が『法律違反をした場合』に限られていました。

これが今回の改正で、利用停止・消去に関する請求権の範囲が拡充され、以下のような場合は請求が認められることになりました。

(2)保有個人データの開示方法（現行、原則、書面の交付）について、電磁的記録の提供を含め、本人が指示できるようにする。

本人は、事業者に対して保有個人データの開示請求ができます。改正前は、「原則として書面による開示」と定められていたのですが、今回の改正により、「磁的記録も含めて開示を請求できる」とされました。これは、情報量が膨大である場合や、音声データや動画データなど、そもそも書面による交付に適さない情報なども増えてきたからでしょう。

(3)個人データの授受に関する第三者提供記録を、本人が開示請求できるようにする。

改正前までは、本人が第三者提供記録の開示を請求することができなかったのですが、今回の改正により、第三者提供記録の開示請求が可能になりました。

(4)6ヶ月以内に消去する短期保存データについて、保有個人データに含めることとし、開示、利用停止等の対象とする。

個人情報保護法では、取得した個人情報について、事業者に修正・削除などの権利があります。6ヶ月を超えて保有する情報は、保有個人データと呼ばれ、本人の開示・利用停止請求の対象となり、事業者側には開示義務があるとされています。ちなみに旧法では、6ヶ月以内に削除する保有データに関しては、開示・利用停止義務がないとされていました。

これが今回の法改正により、6ヶ月以内の短期保存データに関しても、開示・利用停止請求の対象と定められます。

(5)オプトアウト規定により第三者に提供できる個人データの範囲を限定

オプトアウト規定は「本人の求めがあれば事後的に停止することを前提に、提供する個人データの項目等を公表等した上で、本人の同意なく第三者に個人データを提供できる制度。」と説明されています。

この規定について、改正前は「要配慮個人情報」のみを例外的に対象外とし、オプトアウトによる第三者提供を認めていませんでした。しかし今回の法改正によって、オプトアウトによる第三者提供ができるデータ範囲がさらに限定されることになっており「不正取得された個人データ」「オプトアウト規定により提供された個人データ」がオプトアウト規定の対象外となります。

参照：個人情報保護法令和２年改正及び令和３年改正案についてP.9

②事業者の守るべき責務の在り方

2022年4月から全面施行となる改正個人情報保護法では、個人の権利が強化されることに伴って、事業者の義務も強化されることになっています。

(1)漏えい等報告の義務化

改正前の個人情報保護法では、万一、事業者が保有する個人データが漏洩してしまった場合でも、報告の義務などはありませんでした。しかし、今回の改正により、以下のように規定されます。

(2)不適正な方法による利用の禁止

「個人情報を不適正な方法で利用することは禁止」というのは当然のことと誰もが考えると思います。しかし、改正前は、当然守られるべきことと考えられたのか、明文化された規定などがありませんでした。

そこで今回の改正で、『違法又は不当な行為を助長する等の不適正な方法により個人情報を利用してはならない旨を明確化する。』と規定されました。

なお、明文化されたとはいえ、具体的な不適正な方法がどのようなものかは規定されていません。個人情報保護委員会が紹介している『相当程度悪質なケース』は以下のようなケースを想定しているそうです。

参照：個人情報保護法令和２年改正及び令和３年改正案についてP.10-11

③事業者による自主的な取組を促す仕組みの在り方

この部分に関しては「認定個人情報保護団体制度の充実」が行われることになっています。

改正前の法律では、認定団体（主に業界団体）は対象となる企業の全ての分野の苦情に対応する必要がありました。これを改正個人情報保護法では、個人情報を用いた業務実態の多様化やIT技術の進展を踏まえ、企業の特定分野（部門）を対象とする団体を認定できるようにするとしています。例えば、認定個人情報保護団体となろうとする法人は、特定の業界全ての分野に対応するのではなく、その業界の特定の分野（広報部門のみなど）に関して対応できれば良いことになるわけです。こうすることで、分野ごとのより高い水準の個人情報保護の推進ができるとされています。

参照：個人情報保護法令和２年改正及び令和３年改正案についてP.12

④データ利活用の在り方

個人情報保護法というものは、何も個人情報の利用制限の為だけに制定されているわけではなく、「適切な活用をもってイノベーションを促進する」ということが立法趣旨となっています。そして改正個人情報保護法では、データ利活用に関して以下の2項目の改正がなされます。

この部分に関しては、個人情報保護委員会の資料がわかりやすいので、以下の資料の「P.13-17」をご参照ください。
参照データ：個人情報保護法令和２年改正及び令和３年改正案について

⑤ペナルティの在り方

法に違反する事案が増加している現状を受け、現状のペナルティによる抑止効果があまり期待できないことから、ペナルティの強化が行われます。法人に対しては行為者よりも罰金刑の最高額を引き上げられているので注意しましょう。

参照：個人情報保護法令和２年改正及び令和３年改正案についてP.18

⑥法の域外適用・越境移転の在り方

改正個人情報保護法では、域外適用・越境移転に関する見直しも行われます。この部分の改正に関しては以下のようになっています。

参照：個人情報保護法令和２年改正及び令和３年改正案についてP.19-20

まとめ

今回は、2022年4月1日から全面施行となる改正個人情報保護法について、どのような改正が行われるのかについてご紹介してきました。この記事でご紹介したように、改正前と比較すれば、本人の権利と事業者の義務がかなり強化されているというイメージで、さらに罰則も厳しくなっていることから、事業者側はこれまで以上に個人情報の保護活動に力を入れなければならないと考えられます。

もちろん、「仮名加工情報の創設」など、データを利活用しやすくなる改正も行われるのですが、この辺りは社内で入念に準備しておかなければならないので、単純に便利になるとは考えない方が良いでしょう。まずは、改正個人情報保護法について、「どこが変わって、何に注意しないといけないのか？」を社内全体に周知していくことからスタートしていきましょう。