2022-03-09 10:00:03

個人情報保護法改正に向けて企業に問われる管理の意識とは

改正された個人情報保護法が2022年4月からいよいよ施行されます。
企業はどのように個人情報管理の意識を変えるべきなのでしょうか。
こちらの記事では、改正内容の振り返りとともに、企業に求められる準備についてお話しします。

日本での個人情報保護法の成り立ち

日本では、どのように個人情報保護法が成り立っていったのでしょうか。

世界では、20世紀の終わりごろから社会のIT化が急速に進んでいきました。
個人情報をデジタルで管理する機会も増えたことから、プライバシー保護の意識が根付き始めたのもこの頃です。
同時に、海外では個人情報に関する法律が制定され始めました。

日本で個人情報保護法が新法として制定されたのは平成15年5月のことです。
その後、平成17年4月から施行されています。
アメリカやヨーロッパにならい、個人情報を守る必要性に迫られたための動きです。

今や、ほとんどの企業で個人情報が扱われています。
つまり、個人情保護法への理解はほとんどの企業に例外なく求められると言えるでしょう。

個人情報保護法で求められる安全管理措置

個人情報保護法では、個人情報を扱う事業者に対して安全管理措置を行うように求めています。
以下では、この安全管理措置についてお話しします。

安全管理措置とは

安全管理措置とは、事業者が個人情報に関して行わなければならない措置のことで、個人情報保護法では条文で事業者が負う義務や内容について定められています。

簡潔に言うと、個人データを安全に管理するために守らなければならないルールのことです。
個人情報を保有している企業は、安全管理措置に規定されている内容に基づいて個人情報を管理していかなければなりません。

4種類の安全管理措置

「個人データを安全に管理するために守らなければならないルール」と聞いても、具体的にイメージできないかもしれません。
安全管理措置に関するガイドラインでは、企業に求める措置が「組織的安全管理措置」「人的安全管理措置」「物理的安全管理措置」「技術的安全措置」の4種類に分けて記載されています。

組織的安全管理措置

組織内で個人データ管理の最適化を図ることです。
具体的には、責任や権限の明確化や個人データ管理に関する規定を定めること、その規定に基づいて管理されていることを確認する取り組みなどが挙げられます。

人的安全管理措置

従業員に対し、個人データの取り扱いに関して非開示の契約・教育・訓練を行うことです。
個人データが保管されている場所への入退室を管理することや、盗難の防止につとめることがこちらに該当します。

技術的安全管理措置

個人データを処理するシステムや個人データそのものへのアクセスを制御することです。
不正アクセスへの防止対策や、システム監視などが具体例として挙げられます。

情報漏えいリスクの軽減につながる

改正個人情報保護法が2022年に施行

2022年4月からは、2020年に改正された個人情報保護法が施行されます。
以下では、この改正個人情報保護法についてお話しします。

成立以降の改正歴

2003年の個人情報保護法制定以降、はじめて大規模な改正が行われたのは2015年です。
この際の改正では、個人情報保有要件の緩和や本人の権利の明確化といった内容が盛り込まれました。

同時に、今後さらに個人情報を取り巻く状況が変化することを見越し、3年ごとに法律の見直しを行うことが定められています。
2022年の施工内容は、この「3年見直し規定」に基づき2020年に制定されたものです。

改正個人情報保護法の内容

以下では、改正個人情報保護法の内容をいくつかの項目に分けて解説します。

個人の権利の強化

個人情報の提供元である本人の権利が強化されることになりました。
具体的には、個人データと取り扱いが法律に抵触していない場合でも、個人の権利が侵害されている場合は、開示、利用停止などの請求を行使できるようになります。

また、改正前は書面に限定されていた開示方法について、デジタルデータでの開示を指定できるようになりました。
これは、音声や動画に個人データとして認識されるケースが増えてきたことが主な理由です。

また改正後は、6カ月以内に消去する短期保存データも個人データして取り扱われるようになります。
事業者はこれらのデータに対し、長期保存するデータとおなじように開示・訂正・利用停止といった請求に応じる義務を負います。

また、オプトアウト規定に関する変更も加えられています。
オプトアウト規定とは、あらかじめ項目を公開したうえで、本人の同意を得ることなく第三者への個人データを提供することが可能になる制度です。
改正後は、第三者に受け渡せる個人データの範囲が制限されます。

事業者の責務の追加

改正後は、個人情報を管理している事業者側の責務が追加されます。

改正前は、情報漏えいが起こった際の対応が事業者の判断に委ねられていました。
改正後は、個人データの情報漏えいが発生した場合、事業者は本人、および個人情報保護委員会への報告義務を負います。
ただし、他の事業者から個人データを取り扱う業務を委託した事業者で情報漏えいが発生した場合、個人データの提供元である事業者に通知すれば上記の報告義務は免除となります。

また本人への通知が困難であり、本人の権利保護のために必要な措置を行っていると判断された場合は、本人への通知義務に関しても免除されます。
さらに、改正後は不適正な個人情報の利用を禁止することが明文化されます。明確な法律違反だけではなく、不当な個人情報の取り扱いを助長するような行為も禁止されることになりました。

認定団体制度の変更

認定団体制度に関する変更も加えられました。

認定団体制度とは、民間団体を利用して個人情報保護を図るために設けられた制度のことです。
改正内容には、「特定分野を対象とする民間団体を認定団体として認定できるようになる」と明記されています。

この変更により、民間団体が能動的に個人データの取り扱いに関するルールを策定していくことが期待されています。
特定分野に従事する民間団体が、事業者に対して個人データの取り扱いに関する指導を行うケースも増えていく見込みです。

データ利活用の促進

一部を消去し、他の情報を組み合わせることで個人を識別することが可能になる情報が、「仮名加工情報」として明確に定義されます。

改正前は同様の情報に対して、通常の個人データと同じ取り扱いが求められていました。
改正後の仮名加工情報は、本人からの開示・利用停止などの請求の対象外となります。
また、本人を特定する必要がない分析などでは活用できるため、データの利活用が促進される見込みです。

一方で、個人を識別できる余地は残されていることから、安全管理の義務や第三者への提供禁止、利用目的の制限といった規制は改正後も残ります。

罰則の厳格化

改正後は違反に関する罰則が強化されます。
特に目立つのが、法人に対する罰則の強化です。
措置命令違反などを犯した場合の、法人に対する罰金額が大幅に引き上げられます。

罰則の変更点は以下のとおりです。

変更点	改正前	改正後
措置命令違反	30万円以下の罰金	1億円以下の罰金
個人情報の不正流用	50万円以下の罰金	1億円以下の罰金
報告義務違反	30万円以下の罰則	50万円の罰則