改正個人情報保護法(令和4年4月1日施行)
令和2年6月12日に公布された改正個人情報保護法ですが、改正ポイントは以下の通りです。
(1) 本人の権利保護強化
- 短期保有データの保有個人データ化
旧法においては、6か月以内に消去されるデータは「保有個人データ」の対象外でしたが、新法施行後は「保有個人データ」に含まれることとなりました。 - 保有個人データ開示方法の変更
旧法において、「保有個人データ」の開示方法は、書面による交付とされておりましたが、新法では原則として本人が請求した方法によって開示する義務を個人情報取扱事業者が負うこととなったため、デジタル化がかのうとなりました。これは、動画や音声データなど書面に適さない保有個人データもあるからです。 - 利用停止・消去請求権、第三者への提供禁止請求権の緩和
本人の権利保護強化に伴い、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止をできる要件を緩和されることになりました。
(2) 事業者の責務の追加
事業者に追加された責務は、次の2点です。
- 漏洩時の報告と通知の義務
旧法では個人データ漏洩発生時の個人情報保護委員会への法的な報告義務はありませんでしたが、義務化している諸外国が多いことから個人情報保護委員会への報告義務と本人への通知義務が課せられることになりました。 - 不適正な利用の禁止
旧法では、個人情報の不適正な利用の禁止については、明文化されておりませんでしたが、義務として定められました。
(3) 認定団体制度の新設
旧法では事業者の全ての事業・業務における個人情報への取扱を対象とする団体の認定を行ってい たが、新法施行後は事業者の特定の事業・業務における個人情報への取扱を対象とする団体を認定することが可能となった。つまり、事業単位での認定団体を認めることによって、専門性を生かした個人情報の保護のための取り組みなどが期待できるようになりました。
(4) データの利活用の促進
データの利活用の促進の観点から以下の2点が改正されました。
- 仮名加工情報についての事業者の義務を緩和
旧法では、個人情報を加工して個人を特定できない情報に変換した仮名加工情報の場合であっても個人情報に該当したため、取得時の利用目的の本人への通知が必要であったが、個人の権利利益の侵害のおそれが低いことから、義務が一部免除され、事業者の負担軽減につながることになりました。 - 提供先で個人データとなることが想定される場合の確認義務を新設
提供元では個人データでなくても提供先で個人データとして取得されることが想定される場合、つまり個人関連情報データベース等を構成する個人関連情報を第三者が個人データとして取得されると想定される場合、提供元の事業者は本人の同意が得られているか確認する必要があります。
(5) 法令違反に対する罰則の強化
以下の通り強化されました。
- 措置命令・報告義務違反の罰則
- 6月以下の懲役又は30万円以下の罰金→1年以下の懲役又は100万円以下の罰金
- 法人に対する罰金刑
- 30万円以下の罰金→50万円以下の罰金
(6) 外国の事業者に対する報告徴収・立入検査などの罰則追加
旧法の下では、外国の事業者は報告徴収・立入検査の対象ではなかったが、新たに対象となりました。