「2022年4月の個人情報保護法の改正はどこが改正されたの…?」
「個人情報保護法改正に伴って、どんな対応が必要だろう…?」
定期的に変更が行われている個人情報保護法改正ですが、2022年4月に改正個人情報保護法が全面施行され、取り扱いが厳しくなっています。
企業にはそれに応じた対応が必要とされますが、まだ対策が追いついていないという企業もあるのではないでしょうか。
そこで、本記事では、2022年4月施行の個人情報保護法改正のポイントと企業に必要な対応について解説します。
2022年4月施行の「改正個人情報保護法」とは?
2020年6月に交付された令和2年改正個人情報保護法が、2022年4月1日に全面施行されました。
個人情報保護法は3年ごとの見直し規定が定められており、規定に伴い見直しが進められ今回の改正に至っています。
なお、個人情報保護法は2005年に施行され、当初は個人情報を5,000件以上保有している企業が対象とされていました。
その後、2017年の改正で1件以上扱う事業者が対象となり、あわせて社会情勢の変化に伴い3年ごとの見直し規定が追加された経緯があります。
今回の改正では、個人情報保護が強化されるとともに、報告義務違反などのペナルティが強化されました。
企業は今回の改正で、業務ルールや社内体制、プライバシーポリシーなどの見直しが必要となるため、改正法についての理解が必要です。
2022年個人情報保護法改正の背景
上述したように、2017年に改正された個人情報保護法で3年ごとの見直し規定が追加され、3年ごとに見直しを進めています。
今回の改正は、3年ごとの見直しによるものです。
AIやビッグデータ時代への対応、越境データ流出のリスク対応、GDPRなど国際制度との調和といった点を踏まえて見直しが行われました。
2022年個人情報保護法改正のポイント
2022年4月の個人情報保護法改正のポイントについて解説します。
今回の改正で、企業が注目したいポイントは以下の6つです。
- 個人の権利保護強化
- 事業者の義務の追加
- (個人情報保護委員会への)漏えい等報告および本人への通知の義務化
- 特定分野を対象とする認定団体制度の創設
- 法令違反に対するペナルティ強化
- 外国事業者への罰則の追加
上記のポイントについて、以下に詳しく見ていきましょう。
(1)個人の権利の保護強化
まず、今回の改正では個人の権利保護がより強化されています。
例えば、改正前は「6ヶ月以内に消去する個人情報」は開示請求などに応じる義務がありませんでした。
しかし、改正後は「保存期間を問わずデータの保護が必要」となり、開示請求の対象となっています。
他にも、以下のような点が変更になりました。
| 変更点 | 詳細 |
| 個人情報の利用停止・消去権の要件緩和 | 個人データの漏洩が発生した時、データを利用する必要がなくなった時、本人の権利や利害が害される恐れがある場合などに本人からの利用停止請求権が可能になる規定を新設 |
| 本人からの第三者提供記録の開示請求対応 | 第三者への個人情報提供・受領記録に対し、本人からの開示請求が可能になる要件を追加 |
改正前は、「個人情報の目的外利用」「不正な手段により取得した場合」いずれかの場合に本人が個人データの利用停止や消去請求が可能でした。
今回の改正で新たに項目が追加され、個人の利用停止や消去請求に対する要件が緩和されています。
また、個人データの第三者提供・受領時の記録に開示義務が追加され、企業は本人からの請求への対応が必要になります。
(2)事業者の義務の追加
また、今回の改正により以下のような事業者の義務が追加されています。
| 変更点 | 詳細 |
| 個人情報の不適切な利用の禁止 | 以下の事項が新たに追加
|
| 事業者が保有する個人データに関する公表等事項 |
事業者が保有する個人データに関する公表等事項について、以下の項目が追加
|
| 外国にある第三者への個人データの提供 |
事業者は外国にある第三者への個人データ提供にあたって本人に同意を得る際に、以下の情報を提供する規定が追加
|
たとえすぐに違法とは言えなくても、事業者は違法または不当行為を促す恐れがある個人情報の取り扱いをしてはいけないとされています。
また、事業者は代表者氏名などの情報をプライバシーポリシーに掲載するなどして、本人の知り得る状態にする必要があります。
(3)(個人情報保護委員会への)漏えい等報告および本人への通知の義務化
改正法では、「情報漏洩時の報告義務」が新たに追加されています。
改正前は、個人情報漏洩時の報告が努力義務とされていました。
しかし、改正後は情報漏洩が発生、または漏洩の恐れがある場合に個人情報保護委員会および本人への通知が義務付けられています。
報告が必要になるのは、以下のようなケースです。
- 要配慮個人情報(病歴など、不当な差別や偏見などの不利益が生じないように取り扱いに配慮する個人情報)の漏洩
- 財産的な被害が発生する恐れがあるデータの漏洩
- 不正目的で行われた恐れがあるデータの漏洩
- 1,000人以上の大規模な漏洩
発覚してから概ね3〜5日以内に個人情報保護委員会へ速報報告、その後30日以内に確報を行う必要があります。
ただし、業務の委託先が委託元へ報告した場合は、個人情報保護委員会への報告義務は免除されます。
また、本人への通知が難しい場合は、「ホームページで公表する」「問い合わせ窓口を設置する」といった代替え措置が可能となっています。
(4)特定分野を対象とする認定団体制度の創設
認定団体制度について、特定分野や部門を対象とする団体の認定ができるようになりました。認定団体とは、個人情報保護委員会が認定する法人や民間の団体のことです。
団体に加入している各事業者の個人情報保護取り扱いへの取り組みを支援する業務を行っています。
具体的には、対象となる事業者の個人情報取り扱いに関する消費者からのクレーム処理や、事業者への情報提供などの業務を行います。
改正前は、認定団体として企業全体を対象とする団体しか認定できませんでした。
しかし、業務形態の多様化などを踏まえ、今回の改正により事業の特定分野・部門に限定した団体も認定できるようになっています。
(5)法令違反に対するペナルティの強化
個人情報保護委員会への虚偽報告や個人情報データベースの不正使用などがあった場合には、ペナルティが引き上げとなっています。
改正前は、法人を対象とした個人情報保護委員会の措置命令違反やデータベースの不正提供には、30万円または50万円以下の罰金となっていました。
しかし、改正後は1億円以下の罰金となっています。
また、虚偽報告などの報告義務違反についても、改正前の30万円から50万円以下の罰金へと強化されていますので注意が必要です。
(6)外国事業者への罰則の追加
改正法では、新たに外国事業者への罰則が追加されました。
改正前は外国事業者は個人情報保護法の命令や立ち入り検査、報告徴収の適用外でした。
しかし、今回の改正で、日本在住者の個人情報を扱う外国事業者も報告徴収や命令、立入検査の対象となります。ここでいう外国事業者とは、国内の消費者に販売を行うECサイトを運営する外国事業者などが該当します。
外国事業者への罰則の追加には、グローバル化が進んでいることやGDPRなど海外の個人情報取り扱いが強化されていることが影響しています。
個人情報保護法改正への企業が行うべき対応
個人情報保護法改正にあたり、企業が行うべき対応にはどのようなものがあるのでしょうか。
必要な対応は以下の5つです。
- 情報漏洩発生時の対応フローの見直し
- 電磁的記録(デジタルデータ)の開示方法への対応
- 外国の第三者への提供の確認
- 従業員への研修など意識の共有
- 組織体制の整備
それぞれの項目について、以下に詳しく見ていきましょう。
(1)情報漏洩発生時の対応フローの見直し
前章で上述したように、今回の改正で情報漏洩時には個人情報保護委員会への報告や本人への通知義務が追加されています。
確報の報告対象となっているのは、「概要」「原因」「二次被害または恐れの有無及び内容」「本人への対応の実施状況」などの9項目です。
速報の場合は、報告時点で把握しているもののみで問題ありません。
本人への通知に必要な内容は、「概要」「データの項目」「原因」「二次被害への恐れの有無や内容」「その他参考事項」の5項目です。
個人情報保護委員会への報告は、3日〜5日に速報、30日以内に確報と期限が設定されています。
報告窓口を設置するなどして、情報漏洩が発覚した際には迅速に漏洩範囲を把握し、報告や通知ができる体制やフローを整えましょう。
(2)電磁的記録の開示方法への対応
今回の改正では、事業者が保有している個人データについて、本人によるデジタルデータによる提供を含めた開示方法の指定が可能になりました。
改正前は原則書面のみでしたが、改正後は以下のような方法が可能になっています。
- CD-ROMなどの媒体にデータを保存し郵送
- Eメールへの添付
- Webサイトからのダウンロード
開示請求は、書面の交付、電磁的記録の提供、その他事業者が定める方法の中から、本人が指定した方法で対応する必要があります。
プライバシーポリシーに開示手続き方法を掲載し、デジタルデータによる請求があった場合にも対応できるようにしておきましょう。
(3)外国の第三者への提供の確認
前章でお伝えしたように、外国の第三者へ個人情報を提供する場合には、本人に同意を得る際に情報提供が必要とされています。
例えば、外国にある事業者へ個人情報を扱う業務委託をする場合は「外国にある第三者」に含まれ、情報提供が必要です。
事業者は本人に同意を得る際に、「移転先となる外国の名称」などの情報を提供する必要があります。情報提供の方法は、電磁的記録や書面の交付、その他適切な方法とされています。
例えば、メールでの送付、口頭での説明、ホームページへの掲載などの方法です。なお、ここで言う外国への第三者には、同一法人内の現地の事業所や支店などは該当しません。
また、事業者が外国に設置したサーバーに個人データを保存する場合も同様です。
クラウドサービスを利用する場合は、外国の事業者が個人データを取り扱う場合のみ「外国の第三者」に該当します。外国の事業者が運営するサーバーにデータを保存する場合でも、外国の第三者への提供には該当しません。
個人データの取り扱いが含まれるのかどうかが判断のポイントとなるので注意しておきましょう。
(4)従業員への研修など意識の共有
個人情報保護委員会が制定した「個人情報の保護に関する法律についてのガイドライン」に「人的安全管理措置」が含まれています。
人的安全管理には、個人データの取り扱いに関する留意事項について、従業員へ定期的な研修を実施するよう記載されています。
また、就業規則への個人データの秘密保持に関する事項を記載する対応も必要です。
情報漏洩には、人的ミスや内部不正によるケースも多く見られます。誤操作、ノートパソコンなど端末の紛失や置き忘れなど、どのようなケースで報告義務が発生するのか従業員と意識を共有しておきましょう。
対策として、従業員の認識や理解を深めるよう、テキストやe-Learning、セミナーなどの研修を定期的に実施すると良いでしょう。
(5)組織体制の整備
改正法では個人情報の取り扱いが厳しくなっています。
企業は自社の個人情報の取り扱いが適正かを見直し、情報漏洩時の報告や通知、開示請求に対応できるよう体制を整えておく必要があります。
また、具体的にどのようなケースで報告が必要か、報告が必要なケースと必要のないケースを確認して共有しておくことも必要です。
組織での共通認識を浸透させるためには、プライバシーポリシーを作成するのが効果的です。
プライバシーポリシーでは、以下の項目を盛り込むようにしましょう。
- 利用目的の通知・公表
- 個人データの開示請求の手続き方法
- 個人情報利用停止や消去請求への対応方法
- 保有する個人データに関する公表等事項の追加(代表者名や安全管理措置など)
- 苦情受付窓口
個人情報の漏洩を防止するために、以下のセキュリティ対策を実施することも重要です。
- パスワード管理
- 脆弱性対策
- 情報管理
- 外部記憶媒体の管理
- パスワードの設定
- 盗難防止
- データの暗号化
- 操作ログの取得
- 必要のないアプリケーションの利用禁止
- アクセス権の設定
まとめ|改正ポイントを理解して対応の見直しを進めよう
個人情報保護法は扱う個人情報の数などにかかわらず対象となることから、企業のほとんどが改正による影響を受けるでしょう。
今回の個人情報保護法改正では、情報漏洩時の報告や通知、第三者提供・受領記録の開示など、企業が対応するべき項目が追加されています。
個人情報を扱う企業は、プライバシーポリシーの改訂や業務フロー・セキュリティ対策の見直し、従業員への研修などの対応が必要です。
ペナルティ強化もされていることから、個人情報の取り扱いについて理解を深め、責務に対応できるよう体制を整えておくようにしましょう。
