個人情報保護法が改正され、2022年（令和4年）4月に施行されるのをご存知でしょうか？企業にとって、個人情報の適正な取り扱いは重要な課題です。本記事では今回の改正でどのような点が変更になったかをポイントを解説します。

改正個人情報保護法はいつ施行される？

個人情報保護法は、民間事業者が個人情報を取り扱う際のルールについて定めた法律です。個人情報保護法の改正法は、2022年（令和4年）4月に施行されます。まずは個人情報保護法の概要と、改正の経緯についてまとめます。

個人情報保護法の目的

個人情報保護法は、個人の権利・利益の保護と、個人情報の有用性とのバランスを図ることを目的にした法律です。個人の氏名や性別、生年月日、住所などは活用すればビジネスチャンスになるため、企業にとっては価値のある情報といえます。しかし、企業がこうした個人情報を好き勝手に使えば、プライバシー侵害になりかねません。個人情報の有用性に配慮しつつ個人の権利利益を保護するために、個人情報保護法が定められました。

個人情報保護法はいつできた？

個人情報保護法が成立したのは2003年（平成15年）5月で、全面施行されたのは2年後の2005年（平成17年）4月1日です。個人情報保護法は2015年（平成27年）9月にも改正が行われており、この改正法は2017年（平成29年）5月30日に全面施行となりました。今回は2回目の改正です。

個人情報とは

個人情報は、生存する個人に関する情報であって、当該情報に含まれる氏名などにより特定の個人を識別できるものをいいます。ほかの情報と照合すれば特定の個人を識別できるものや、個人識別符号が含まれるものも個人情報に該当します。

個人情報保護法の対象

適用されるのは「個人情報取扱事業者」です。制定された当初は、5,000人以下の個人情報しか保有しない中小企業・小規模事業者は適用対象外でした。しかし2017年（平成29年）施行の改正法により、現在はすべての事業者が適用対象となっています。

2022年（令和4年）施行の改正個人情報保護法とは？

2017年（平成29年）施行の改正法では、施行後3年ごとに見直しを行う旨の規定が設けられました。今回施行になる改正法は、この規定により3年ごとの見直しが行われた結果公布された法律と、デジタル改革関連法の1つとして交付された法律です。

改正個人情報保護法の公布日・施行日

3年ごとの見直しについては、2020年（令和2年）6月12日に公布されました。デジタル改革関連法の1つとしての交付は、2021年（令和3年）5月19日です。この両方を合わせた改正法が、2022年（令和4年）4月1日に全面施行されます。

改正個人情報保護法の目的

昨今の国際的な動向や技術の進展を踏まえて、公布されたものです。個人の権利・利益の保護と活用の強化、国際的潮流との調和、AI・ビッグデータ時代への対応などを反映した内容になっています。以下、改正個人情報保護法における6つの変更点を説明します。

個人情報保護法改正の6つのポイント

2022年（令和4年）施行の改正個人情報保護法では、大きく6つ変更になるポイントがあります。それぞれのポイントについて、概要を把握しておきましょう。

1. 個人の権利保護強化

近年は個人情報に対する意識が高まり、個人情報の漏えいやプライバシーの侵害に不安を感じている人も少なくありません。こうした情勢を踏まえ、改正法では個人の権利保護を強化する内容が盛り込まれています。

利用停止・消去等の請求権の拡充

ユーザーは個人情報取扱事業者に対し、個人情報保護法にもとづき、個人情報の利用停止・消去請求ができます。現行法でユーザーが個人情報の利用停止や消去を請求できるのは、法律違反の場面に限定されていました。今回の改正法では、次の場合にも利用停止・消去請求ができるようになっています。

1. 利用する必要がなくなった場合
2. 重大な漏えい等が発生した場合
3. 本人の権利または正当な利益が害されるおそれがある場合

保有個人データの開示方法のデジタル化

ユーザーは事業者に対し、保有個人データの開示請求ができます。保有個人データとは、個人情報取扱事業者が開示、訂正等の権限を有している個人データのことです。現行法で、保有個人データは書面による開示が原則となっています。改正法が施行されると、ユーザーはデジタルデータでの開示を請求できるようになります。

第三者提供記録の開示

前回の改正で、個人情報取扱事業者には第三者提供記録の作成・保存が義務付けられました。個人情報取扱事業者が個人情報を第三者に提供したときは、いつ誰に提供したかの記録を残しておかなければなりません。今回の改正では、第三者記録をユーザーが開示請求できるようになります。第三者提供記録の開示を受けることで、ユーザーは自身の個人情報がどのように流通しているのかを把握できるようになります。

短期保存データも保有個人データに

事業者がユーザーから収集した個人データには、短期的な保有を前提としているものもあります。現行法では、6ヶ月以内に消去される短期保存データは保有個人データに含まれません。今回の改正では、短期保存データも保有個人データに含められることとなりました。すぐに消去するつもりのデータであっても、ユーザーからの開示・利用停止請求の対象になります。

オプトアウト規定の厳格化

個人データを第三者に提供するときには、原則として本人の同意が必要です。ただし、所定の事項を本人に通知または知り得る状態にしておけば、同意なしに第三者提供できるオプトアウト*の規定があります。前回の改正では、オプトアウトに関して個人情報保護委員会への届出義務が新設されました。今回の改正では、オプトアウトができるデータの範囲が狭くなります。従来は、要配慮個人情報のみオプトアウト対象外でした。改正後は不正な手段で取得された個人データ、オプトアウト方式を利用して提供を受けた個人データも対象外になります。

*オプトアウト・・・個人情報の第三者提供に関し、個人データの第三者への提供を本人の求めに応じて停止すること。

2. 事業者の責務の追加

今回の改正で、個人情報取扱事業者が守るべき責務も追加されました。具体的には、次の2つです。

漏えい発生時の報告義務

現行法では、個人データの漏えい発生時、個人情報保護委員会への報告は努力義務です。改正法では、漏えいによる個人の権利利益の侵害のおそれが大きい場合の報告は義務となります。本人への通知も現行法では義務ではありませんが、改正法では義務化されています。

不適正利用の禁止

現行法では個人情報の適正な取得は義務付けられていますが、利用に関しては明文化された規定がありません。今回の改正で 、「違法又は不当な行為を助長し、又は誘発するおそれがある方法」による個人情報の利用が明確に禁止されました。

3. 部門別認定個人情報保護団体を新設

個人情報の取り扱いに関しては、業界団体等でもガイドラインを策定するなど自主的な取り組みが行われています。個人情報保護法には、こうした民間団体を「認定個人情報保護団体」として認定する仕組みが設けられています。現行法では事業分野単位ですが、改正法では部門単位の団体も認定の対象です。

4. データの利活用促進

事業者にとって個人データの利用・活用は、ビジネス上のメリットが大きくなります。改正法では、事業者目線でデータの利活用を促進する規定も設けられています。

「仮名加工情報」の創設

今回の改正では、イノベーションの観点から「仮名加工情報」の概念が創設されました。氏名など個人を識別する情報を、削除するなどして仮名加工した情報です。現行法のルールでは、仮名加工した個人情報であっても利用目的の特定や取得時の利用目的の公表が必要とされています。改正法では、仮名加工情報の開示・利用請求について個人情報ほど厳格な取り扱いは求められません。これにより、事業者はデータを有効活用しやすくなります。

提供先で個人データとなることが想定される情報の確認

第三者提供の際、提供元では該当せずに提供先で個人データとなることが想定される情報があります。パブリックDMPが分析した結果は該当しませんが、提供を受けた事業者がIDの照合を行うと個人情報となり得るのです。Cookie情報がその代表的なものですが、改正法ではこのような情報を「個人関連情報」と定義しています。また個人関連情報の第三者提供の際、本人の同意取得の確認が義務付けられるのです。

5. 違反に対するペナルティ強化

個人情報保護法違反が増加している状況を踏まえ、今回の改正では法定刑が引き上げられました。特に、法人のペナルティが強化されている点に留意が必要です。個人情報保護委員会からの命令違反については、現行30万円以下のところを改正法では1億円以下の罰金になります。個人情報データベースなどの不正提供といったものも、現行50万円以下のところが改正法では1億円以下の罰金となっています。

6. 外国事業者への罰則追加

今回の改正では、外国の事業者への罰則も追加されています。今後は日本在住の人の個人情報を取り扱う外国企業などの事業者にも、報告徴収・立入検査などの罰則が適用されます。

個人情報保護法改正がもたらす企業への影響

今回の改正が企業にもたらす影響について、整理します。

ユーザーからの開示請求が増える可能性がある

改正法が施行されると、短期保存データや第三者提供記録などのユーザーが開示請求できる情報の範囲が増えます。ユーザーは個人情報の取り扱いに敏感になっているため、今後は開示請求が増加する可能性があります。企業では、スムーズに対応できる体制づくりを考えておかなければなりません。

情報漏えいにますます慎重にならざるを得ない

改正法では、個人情報漏えい発生時の義務が追加されました。情報漏えいが発生したら、個人情報保護委員会へ報告し、ユーザー本人に通知しなければなりません。何より情報漏えいを防ぐ方法を検討しなければなりませんが、万一起こったときの業務フローの策定も必要になるでしょう。

仮名加工情報の活用を検討する必要がある

収集したデータをビジネスに役立てるために、改正法で新設された仮名加工情報の活用も検討しましょう。仮名加工情報については規制が緩和されており、当初の利用目的に拘束されることもありません。各分野における研究や分析に、仮名加工情報の活用は有効でしょう。

個人情報保護法改正へ向けての対応策

改正個人情報保護法が全面施行される2022年（令和4年）4月までに、企業が行うべき対応策を知っておきましょう。

電磁的記録による開示請求への対応

改正法が施行されると、ユーザーは保有個人データのデジタルデータによる開示を請求できるようになります。該当する個人データがどこに格納されているか、ほかのシステムへの連携は可能か、どこの部署で管理されているかなどを確認しておきましょう。開示請求を受けたら、速やかに回答できる体制の整備が重要です。

Cookie利用について同意を取る

Cookieは、ユーザーのWebサイトの閲覧履歴などの情報を保存できる仕組みです。多くの企業が、マーケティングにCookieを活用しています。今回の個人情報保護法改正によりCookie情報は個人関連情報と位置付けられたため、今後は慎重な取り扱いが求められます。ターゲティング広告のようにDMP事業者などからCookieに紐づいた情報の提供を受けている企業は、ユーザーの同意が必要です。Webサイトに同意のボタンを設置しましょう。

権利侵害について確認が必要

事業者が個人データを目的外に使用して、ユーザーの権利利益を侵害するおそれがある場合、当該者は利用や第三者提供の停止を請求できます。今回の改正で、ユーザーは第三者提供記録の開示請求もできるようになりました。ユーザーから第三者提供停止の請求を受けた場合、業務に大きな支障がでる可能性もあります。第三者提供記録についても、ユーザーの権利を侵害していないか確認しましょう。

まとめ

2022年（令和4年）施行の改正個人情報保護法では、個人の権利利益の強化を図る変更があります。一方で仮名加工情報の活用など、企業にとってメリットがある変更も設けられています。個人情報の管理を徹底しながら、データを有効活用する方法を検討しましょう。