2022.01.15
法改正情報
マイナンバー法および個人情報保護法の改正(後編) ~ 個人情報保護法の改正 ~
前回は、2021年改正法によるマイナンバー法の改正について見ましたが、今回は2020年改正法による個人情報保護法の改正について見ていきます。
個人情報保護法は、個人情報の取扱い等について定めた法律で、2015年の改正で3年ごとに見直す規定が定められました。今回解説する2020年改正はこの3年ごとの見直しに基づいて行われたものです。改正内容は多岐にわたりますので、2020年改正法の中でも、企業がとくに留意すべきポイントに絞って見ていきたいと思います。なお、改正法の施行日は、2022年4月1日(9.は2020年12月12日施行済)です。
前回コラム: 「マイナンバー法および個人情報保護法の改正(前編) ~ マイナンバー法の改正 ~」
目次
1.利用停止、消去等の請求権の緩和(利用停止請求権の拡充)
現行法では、事業者が保有する保有個人データの利用停止・消去の請求および第三者への提供停止の請求は、あらかじめ特定した利用目的以外の利用や不正取得等、法違反の場合に限られていますが、改正により、次の3つに該当する場合も、利用停止・消去の請求および第三者への提供停止の請求の対象とされました。
| ① | 利用する必要がなくなった場合 |
| ② | 重大な漏えい等が発生した場合 |
| ③ | 本人の権利または正当な利益が害されるおそれがある場合 |
①の「利用する必要がなくなった場合」とは、採用応募者のうち、採用に至らなかった応募者の情報について、再応募への対応等のための合理的な期間が経過した後に本人が利用停止を請求することなどが考えられます。②の「重大な漏えい等」とは、後述する個人情報保護委員会への報告対象となる漏えい事案が生じたときを指します。③の「本人の権利または正当な利益が害されるおそれがある場合」とは、法の目的に照らして保護に値する正当な利益が侵害されるおそれがある場合をいいます。たとえば、個人情報取扱事業者が、退職した従業員の情報を引き続き従業員であるかのようにホームページ等に掲載することにより、本人に不利益が生じるおそれがあることなどが考えらます。
2.保有個人データの電磁的記録による開示
本人より保有個人データの開示請求があった場合、原則として書面の交付によって開示することとされていますが、改正後は、CD-ROM等の媒体への保存や電子メール等、電磁的記録での提供を請求できるようになります。電磁的記録での開示請求があった場合、企業はこれに応じる必要がありますが、ファイル形式や記録媒体など具体的な方法については企業が定めることが可能とされています。なお、電磁的記録による開示を行うと多額の費用がかかる場合など、当該方法による開示が困難である場合は、書面の交付による開示が認められています。
3.第三者提供記録の開示請求
個人データを第三者に提供した場合の記録および第三者提供を受けた際の記録を本人が開示請求できるようになります。なお、2.と同様、電磁的記録による開示請求が可能となります。
4.短期保存データの開示等の対象化
6ヵ月以内に消去するデータ(短期保存データ)は、保有個人データに含まれないものとして、開示、利用停止等の対象外とされていますが、改正後は、短期保存データも保有個人データに含めることとし、開示、利用停止等の対象とされます。
5.オプトアウト規定の厳格化
事前に利用目的を公表する等一定の条件のもとに本人の同意なく個人データを第三者に提供できる「オプトアウト」について、要配慮個人情報に加え、改正後は、以下の①、②についても対象外(第三者に提供できない)とされます。
| ① | 不正取得された個人データ |
| ② | オプトアウト規定により提供された個人データ |
6.漏えいの報告義務等の追加
要配慮個人情報や個人データの漏えい、滅失、毀損(以下「漏えい等」という。)があった場合、個人情報保護委員会への報告と本人への通知が義務化されます。この場合、報告および本人通知が義務とされるのは、次の4つのケースです。
| ① | 要配慮個人情報が含まれる個人データの漏えい等が発生し、または発生したおそれがある事態(例:従業員の健康診断結果を含む個人データが漏えいした場合) |
| ② | 不正に利用されることにより財産的被害が生じるおそれのある個人データの漏えい等が発生し、または発生したおそれがある事態(例:ECサイトからクレジットカードを含む個人データが漏えいした場合) |
| ③ | 不正の目的をもって行われたおそれのある個人データの漏えい等が発生し、または発生したおそれがある事態(例:不正アクセス等による漏えい等) |
| ④ | 個人データにかかる本人の数が1,000人を超える漏えい等が発生し、または発生したおそれがある事態 |
なお、上記の「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いにとくに配慮を要するものとして政令で定める記述等が含まれる個人情報をいいます。
7.仮名加工情報の定義の創設、個人情報に関する利活用の促進
現行法における「匿名加工情報」とは別に、新たに「仮名加工情報」が新設されます。「仮名加工情報」とは、氏名等一部の記述を削除して、他の情報と照合しない限り特定の個人を識別することができないように加工して得られる個人に関する情報をいいます。現行法における「匿名加工情報」は加工に高度な技術等が必要であるため活用が進まないという実態がありますが、より簡便に作成できる仮名加工情報については、データの利活用を内部分析に限定すること等を条件として、開示・利用停止請求への対応等の義務が緩和されているため、企業はデータを活用しやすくなります。
8.「個人関連情報」の創設と第三者提供の制限
生存する個人に関する情報であって、個人情報、仮名加工情報、匿名加工情報のいずれにも該当しないもの(例:ある個人のウェブサイトの閲覧履歴等)を「個人関連情報」とし、提供元では個人データに該当しなくても、提供先において個人データとなることが想定される個人関連情報を第三者提供する場合は、本人同意が得られていること等の確認を義務付ける規定が新設されました。
9.法令違反に対する法定刑の引き上げ(2020年12月12日施行済)
個人情報保護委員会からの命令に対する違反や虚偽報告等、個人情報データベースの不正提供等について法定刑が引き上げられることとなりました。とくに、命令違反や不正提供に関して、法人の罰金刑については、それぞれ30万円以下と50万円以下であったところ1億円以下となるなど、上限額が大きく引き上げられました。
10.外国への適用の強化
今回の改正により、一定の外国の事業者に個人情報保護法が適用されるとともに、外国にある第三者への情報提供の充実が図られることとなりました。
(1)外国事業者への法の適用
外国事業者が日本国内にある者の個人情報等を取り扱う場合は、個人情報保護法が適用され、報告徴収、命令、罰則の対象とされます。
(2)外国にある第三者への情報提供の充実
外国にある第三者(現地子会社等)への個人データの提供については、日本と同水準の個人情報保護の精度を有している外国(EUおよび英国)または提供を受ける事業者等が個人情報の取扱いにかかる国際的な枠組みに基づく認定を受けている場合等を除き、本人の同意を得る必要があります。その際、本人が正しく判断できるよう、提供先の国名や法制度の概要、プライバシポリシー等の提供が義務付けられることとなりました。
11.まとめ
個人情報の取扱いについては、社会の変化やITの進歩により著しい変化がありますが、それらに対応するため個人情報保護法では3年ごとに見直しを行うとの規定が置かれています。今回の2020年改正の内容は多岐にわたりますので、内容を理解しておくとともに、自社の個人情報保護規程等の見直しが漏れないよう留意しましょう。
以上
前回コラム: 「マイナンバー法および個人情報保護法の改正(前編)」
ヒューマンテック経営研究所
所長 藤原伸吾(特定社会保険労務士)
