2020年6月に個人情報保護法の改正が公布されました。
2022年4月からは、ついにこの改正が施行されます。
時間がなく、改正内容について把握できていない企業が多いかもしれません。
こちらの記事では、今回の改正内容に関する注意点を解説します。
個人情報保護法について動画解説!
2022年施行の個人情報保護法の改正内容
2022年施行の改正個人情報保護法では、具体的にどういった内容が変わるのでしょうか。
主な変更点をご説明します。
個人の権利保護が強化される
近年は、自らの個人情報がどのように取り扱われるのか関心を寄せる人がさらに増えています。
この背景から、改正個人情報保護法では個人の権利保護が強化されることになりました。
改正後は、本人が個人情報の利用停止・消去を請求できる場面が増えます。
短期間で消去される個人情報についても、開示・訂正・利用停止請求の対象となる「保有個人データ」として取り扱われるようになります。
また、情報の開示方法について本人が指定できるようになりました。
さらに、事業者が作成する「第三者提供記録」が開示請求の対象になります。
事業者側の責務が増える
個人情報を保有している事業者は、情報の利用と情報漏えい時の対応について改正前以上に重い責務が科されます。
情報漏えいが発生した場合、事業者は個人情報保護委員会と本人へ通知をしなければなりません。
これは、報告義務がなかった改正前とは大きく違う部分です。
また、個人情報の「不適正な利用」について禁止することが明文化されました。
改正前は違法ではない利用に関する規定はありませんでした。
改正後は違法な行為を助長するような不適正な個人情報の利用についても禁止されます。
認定団体制度が調整される
改正後は認定団体制度が調整され、さらに柔軟になります。
認定団体制度とは、認定された民間の団体を利用して個人情報保護を図る制度です。
個人情報保護委員会の認定を受けると「認定個人情報保護団体」として活動できます。
改正後は、特定の分野での個人情報の取り扱いを対象とした民間団体を認定できるようになります。
仮名加工情報取り扱いの義務が緩和される
事業者にとってメリットとなる変更点もあります。
「仮名加工情報」の取り扱いに関する規制緩和はその代表例です。
「仮名加工情報」とは、単体では個人情報として機能せず、他の情報と照合してはじめて個人を識別できる情報のことです。
改正前は単体では個人を特定できない情報であっても、通常の個人情報と同じように取り扱うことが義務付けられていました。
新たに仮名加工情報が定義され制度として新設されたことで、条件付きで事業者の負担が軽くなります。
仮名加工情報に関しては、漏えい時の報告義務がありません。
また、開示請求や利用停止請求の対象外となります。
提供する個人データの確認義務が新設される
もともと個人データとして扱われていない情報が、別の情報と照合することで個人データになることがあります。
改正前は、提供先で個人データになるこうしたデータに関して、規制は設けられていませんでした。
改正後は、こうしたデータを提供する場合、本人の同意を得ることが提供元の義務となります。
違反時の罰則が強化される
改正後は法律違反時の罰則が強化されます。
特に法人に対する罰金刑が強化されています。
個人・法人それぞれに対する改正後の罰則は以下のとおりです。
個人
- 措置命令違反:1年以下の懲役又は100万円以下の罰金
- 個人情報データベース等の不正流用:1年以下の懲役又は50万円以下の罰金
- 報告義務違反:50 万円以下の罰金
法人
- 措置命令違反:1億円以下の罰金
- 個人情報データベース等の不正流用:1億円以下の罰金
- 報告義務違反:50 万円以下の罰金
外国の事業者が報告徴収・立ち入り検査の対象になる
改正後は、外国にある事業者も日本国内の人の個人情報を扱う場合は規制対象です。
具体的には、報告徴収・立ち入り検査などの命令があった場合は従わなければなりません。
改正個人情報保護法に関して企業が行うべきこととは
個人情報保護法の改正に対して、企業はどのような準備をしておくべきなのでしょうか。
個人情報を取り扱う会社が行うべきことをご紹介します。
個人情報の管理をこれまで以上に徹底する必要がある
上記のとおり、改正後は本人の権利が強化されます。
本人から開示・利用停止・消去などを求められる機会はこれまで以上に増えることが予想され、
こうした請求への対応が遅れた場合は大きな問題になりかねません。
スピーディーに対応できるよう、これまで以上に個人情報の管理体制を強化する必要があります。
個人データのデジタル化を進める
改正後は、本人が電磁記録で個人データの開示を求められるようになります。
スピーディーに確認できることから、電磁記録での個人データ開示のニーズは増えていくでしょう。
こうしたニーズに対応するためには、迅速に個人データのデジタル化を進めなければなりません。
また紙媒体の個人データをデジタル化すれば、セキュリティリスクも減るため企業側にもメリットがあるでしょう。
短期で消去するデータも適切に管理する
短期で消去するデータに関する取り扱いについて、認識を改めなければなりません。
上記のとおり、改正後は保有個人データの定義が変更されます。
具体的には、6カ月以内に消去するデータも保有個人データとして扱わなければなりません。
短期で消去するとしても、本人からの請求に応じられるように管理を徹底しましょう。
第三者提供記録を作成する
第三者提供記録に関して本人が開示を求められるようになるため、開示請求が増えることが予想されます。
個人データを提供した際、また受け取った際は、本人からの請求に備えて記録を作成しておくことが求められます。
オプトアウト規制の強化について把握しておく
個人データの第三者提供は、本人へ通知する、または本人が知りうる場所で公示しておき、本人から申し出があった時点で第三者提供をやめられるようにしておく、など条件に該当すれば、例外的に本人の同意を得る必要はありません。
これは、「オプトアウト」という制度です。
改正後はオプトアウトの利用について国への届出が必要になります。
また、本人から申し出を受け付ける方法についてもあらかじめ明示することが義務となりました。
具体的には書面の郵送、メール、電話、申込みフォームなどが挙げられます。
旧法のオプトアウト規制に従っていた場合も、改正後の強化ポイントを確認しておく必要があります。
個人情報漏えい時の対応フローを検討する
改正後は個人情報漏えい時の個人情報保護委員会と本人への通知が義務になります。
対応が遅れると、罰則の対象になったり自社の信用を落としてしまったりする可能性があります。
万が一の事態を想定して対応フローを検討しておきましょう。
一方で、個人データに関する業務を受託している場合や通知が難しい場合などは、上記の義務が免除になる場合もあります。
自社の業態や起こりうるさまざまなケースを想定して、対応フローを作成しておくことが大切です。
改正後の個人情報の取り扱いで注意しなければならないポイントをおさらい
個人情報保護法を改正内容も含めてすべて理解するのは大変です。
国は個人情報の取り扱いに関して、以下のようなポイントを基本的な注意点として挙げています。
原則としてこうしたポイントを守り、協力するようにしましょう。
個人情報の利用目的を明確にし、その範囲外の利用をしない
個人情報をどのように使うのかはっきり決め、その目的を本人に通知する必要があります。
当然、通知した目的以外で個人情報を使うことは厳禁です。
セキュリティ対策をこれまで以上に厳重に
個人情報の取り扱いに不備があり、問題が生じた場合は罰則の対象となります。
セキュリティ対策をこれまで以上に厳重にしましょう。
紙資料は金庫などに入れて鍵をかける、データは暗号化するといった取り組みは基本です。
データを第三者に渡す場合はあらかじめ本人の同意を得ておく
業務上、個人情報にあたるデータを第三者に渡す必要がある場合は、あらかじめ本人の同意を得ておきましょう。
本人からの請求に対して迅速に対応する
今回の改正は、人々が自分に個人情報の取り扱いに関心を寄せるようになった結果です。
個人情報を受け取る以上、本人の希望を尊重する必要があります。
開示や利用停止といった本人からの請求に対して、迅速に対応できる体制を整えましょう。
個人情報関連の問い合わせや要望にしっかりと対応する
改正によって、大企業に限らずほぼすべての企業が個人情報保護法の規制対象になります。
これまではなかった個人情報関連の問い合わせや要望が各方面から来ることも予想されているため、しっかりと対応しましょう。
専門の窓口を設けておくと好ましいと言えます。
まとめ
個人情報保護法改正による注意点についてご案内しました。
業種によっては今回の改正によってオペレーションが変わるケースがあるかもしれません。
改正内容に遵守するように、また本人からの請求時や万が一の情報漏えい時にすぐ対応できるよう、自社の情報管理体制を見直しておきましょう。
改正法についてより詳しく知りたい方は、対策ブックをご覧ください。
個人情報保護法を守るうえで不可欠なのが、セキュリティリスクを警戒する意識です。
スターティアでは、情報漏えいリスクの軽減につながる資産情報管理サービスを提供しています。
テレワークにも活用いただけるため、ご興味がある企業様はお気軽にご相談ください。
人気記事ランキング
おすすめ資料ランキング
他サービス紹介
