個人情報保護法の改正内容に関する注意点について | 名古屋のバーチャルオフィス

「2022年施行の個人情報保護法の改正内容」について

個人の権利保護が強化された
近年は、自らの個人情報がどのように取り扱われるか関心を寄せる人が更に増えています。
このような背景から、改正個人情報保護法では個人の権利保護が強化されることになりました。
改正後は、本人が個人情報の利用停止・消去を請求可能な場面が増えます。
短期間で消去される個人情報について、開示・訂正・利用停止請求の対象となる「保有個人データ」として扱われるようになります。 また、情報の開示方法についても本人が指定できるようになりました。
更に、事業者が作成する「第三者提供記録」が開示請求の対象になりました。

事業者側の責務が増えることについて
個人情報を保有している事業主は、情報の利用と情報漏えい時の対応について改正前以上に重い責務が科されました。
情報漏えいが発生した場合、事業主は個人情報保護委員会と本人へ通知をしなければなりません。
これは、報告義務がなかった改正前とは大きく異なる部分です。
また、個人情報の「不適正な利用」について禁止することがはっきりと文章化されました。
改正前は、違法ではない利用に関する規定は特にありませんでした。
改正後は違法な行為を助長する不適正な個人情報の利用についても禁止されます。

認定団体制度が調整されることについて
改正後は認定団体制度が調整され、さらに柔軟な制度になります。
認定団体制度とは、民間の認定された団体を利用して個人情報保護を図る制度です。
個人情報保護委員会の認定を受けた場合、「認定個人情報保護団体」として活動できます。
改正後は、特定の分野で個人情報の取り扱いを対象とした民間団体を認定できるようになります。

仮名加工情報取り扱いの義務が緩和されることについて
事業者にとって、メリットとなる変更点もいくつかあります。
「仮名加工情報」の取り扱いに関する規制緩和はその代表例となります。
「仮名加工情報」とは、単体では個人情報として機能はせず、他の情報と照合して初めて個人を識別できる情報のことです。
改正前は単体では個人を特定できない情報でも、通常の個人情報と同じように取り扱う事が義務付けられていました。
新たに仮名加工情報が定義された制度として新設されたことで、条件付きで事業者の負担が軽くなります。
仮名加工情報に関しては、漏えい時の報告義務が発生しません。
また、開示請求や利用停止請求の対象外となりました。

提供する個人データの確認義務が新設されることについて
もともと個人データとして取り扱われていない情報が、別の情報と照合することで個人データになることがあります。
改正前は、提供先で個人データになるこのようなデータに関して、規制は設けられていませんでした。
改正後は、このようなデータを提供する場合、本人の同意を得ることが提供元の義務となります。

違反時の罰則が強化されることについて
改正後は法律違反時の罰則が強化されました。
特に法人に対する罰金刑が強化されていました。
個人・法人それぞれに対する改正後の罰則は以下の通りです。
・個人
措置命令違反の場合：1年以下の懲役又は100万円以下の罰金。
個人情報データベース等の不正流用の場合：1年以下の懲役又は50万円以下の罰金。
報告義務違反：50 万円以下の罰金。
・法人
措置命令違反：1億円以下の罰金。
個人情報データベース等の不正流用の場合：1億円以下の罰金。
報告義務違反：50 万円以下の罰金。
外国の事業者が報告徴収・立ち入り検査の対象になりました。
改正後は、外国にある事業者も日本国内の人の個人情報を扱う場合は規制対象になりました。
具体的には、報告徴収・立ち入り検査などの命令があった場合、従わなければなりません。

改正個人情報保護法に関して企業が行うべき事とは
個人情報保護法の改正について、企業はどのような準備をしておくべきなのでしょうか。
個人情報の管理をこれまで以上に徹底する必要があります。
先述のとおり、改正後は本人の権利が強化されます。
本人から開示・利用停止・消去などを求められる機会はこれまで以上に増えることが想定され、このような請求への対応が遅れた場合は大きな問題になりかねません。
迅速に対応できるよう、これまで以上に個人情報の管理体制を強化する必要があります。
個人データのデジタル化を進める。
改正後は、本人が電磁記録で個人データの開示を求められるようになりました。
迅速に確認できることから、電磁記録での個人データ開示の要望は増えていくでしょう。
こうした要望に対応するためには、迅速に個人データのデジタル化を進めなければなりません。
また紙媒体の個人データをデジタル化すれば、セキュリティ漏えいも減るため企業側にもメリットがあるでしょう。
短期間で消去するデータも適切に管理する。
短期間で消去するデータに関する取り扱いについて、認識を改めなければなりません。
先述のとおり、改正後は保有個人データの定義が変更されます。
具体的には、6カ月以内に消去するデータすらも保有個人データとして扱わなければなりません。
短期間で消去するとしても、本人からの請求に応じられるように管理を徹底しましょう。
第三者提供記録を作成する。
第三者提供記録に関して本人が開示を求められるようになり、開示請求が増えることが予想されます。
個人データを提供した際、また受け取った際は、本人からの請求に備えて記録を作成しておくことが必要になります。
オプトアウト規制の強化について把握しておきましょう。
個人データの第三者提供は、本人へ通知する、または本人が知る場所で公示しておき、本人から申し出があった時点で第三者提供をやめられるようにしておくなど条件に該当すれば、例外的に本人の同意を得る必要はありません。
これの制度を「オプトアウト」といいます。
改正後はオプトアウトの利用について国への届出が必要になりました。
また、本人から申し出を受け付ける方法についてあらかじめ明示することが義務となりました。
具体的には書面の郵送、メール、電話、申込みフォーム等が挙げられます。
旧法のオプトアウト規制に従っていた場合、改正後の強化ポイントを確認しておく必要があります。
個人情報漏えい時の対応フローを検討しておく。
改正後は個人情報漏えい時の個人情報保護委員会と本人への通知が義務になりました。
対応が遅れた場合、罰則の対象になったり自社の信用を落としてしまったりする可能性があります。
万が一の事態を想定して、対応フローを検討しておくと良いでしょう。
一方で、個人データに関する業務を受託している場合や通知が難しい場合等は、上記の義務が免除になる場合もあります。
自社の業態や起こる可能性があるさまざまなケースを想定して、対応フローを作成しておくことが大切になります。

改正後の個人情報の取り扱いで注意しなければならないポイントを復習

個人情報の利用目的を明確にして、その範囲外の利用をしない。
個人情報をどのように使うのかしっかりと決め、その目的を本人に通知する必要があります。
当然、通知した目的以外で個人情報を使うことは厳禁となります。
セキュリティ対策をこれまで以上に厳重にする。
個人情報の取り扱いに不備があり問題が生じた場合、罰則の対象となります。
セキュリティ対策をこれまで以上に厳重にしなければなりません。
紙資料は金庫などに入れて鍵をかける、データは暗号化するという取り組みは基本です。
データを第三者に渡す場合は、あらかじめ本人の同意を得ておくこと。
業務上、個人情報に該当するデータを第三者に渡す必要がある場合、あらかじめ本人の同意を得ておきましょう。
本人からの請求に対して迅速に対応すること。
今回の改正は、人々が自分の個人情報の取り扱いに関心を寄せるようになった結果です。
個人情報を受け取ることで、本人の希望を尊重する必要があります。
開示や利用停止という本人からの請求に対して、迅速に対応できる体制を整えましょう。
個人情報関連の問い合わせや要望に真摯に対応する
改正によって、大企業に限らずほぼ全ての企業が個人情報保護法の規制対象になります。
これまではなかった個人情報関連の問い合わせや要望が各方面から来る事も予想されているため、しっかりと対応しましょう。
専門の窓口を設置しておくと好ましいと言えます。