2020年個人情報保護法改正の方向性を読み解く
掲載:2020年03月27日
改訂:2021年12月07日
執筆者:執行役員 兼 プリンシパルコンサルタント 内海 良
改訂者:執行役員 兼 プリンシパルコンサルタント 内海 良
コラム
昨今、DX(デジタルトランスフォーメーション)に代表されるように、データの活用が企業戦略において非常に重要になっています。半面、そのデータの取り扱いが適切でない場合の影響も危惧されるようになり、2018年に施行されたGDPR(EU一般データ保護規則)をはじめとする個人データの取り扱いを厳格に規定する法規制が続々と出てきています。
日本の個人情報保護法
日本においては、2003年に個人情報保護法が制定(2005年全面施行)、その後、2015年に改正(2017年施行)され、以降は3年ごとに必要に応じて改正の措置を取るとされています。そして前回の施行から3年となる2020年に改正法が成立し、2022年4月にはいよいよ全面施行されようとしています。また、2021年5月には個人情報保護法の改正を含むデジタル社会形成整備法も公布されました。これにより、個人情報保護制度は民間と行政、地方自治体で統一されます。
改正法により、プライバシーマーク(Pマーク)制度を運用する日本情報経済社会推進協会(JIPDEC)にも、審査基準を改正する動きがあります。同協会は2021年8月30日、プライバシーマーク付与適格性審査基準を改正し、2022年4月1日から適用すると発表しました。新基準では、協会が定めた「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針」に基づいて審査することになり、2022年1月には改正法への対応を盛り込んだ個人情報保護マネジメントシステム構築・運用指針が改めて公表されます。指針は改正法とともに個人情報保護マネジメントシステムの要求事項を定めた「JISQ15001」に準拠するもので、個人情報保護マネジメントシステムの考え方および具体的な対応などを示しています。
企業は改正法の主な変更点や対応が必要なポイントを事前に把握し、準備しておくことが望ましいでしょう。
個人情報とは
個人情報保護法では、保護が必要な個人に関する情報を「個人情報」、「個人データ」、「保有個人データ」の3つに分類しています。「個人情報」よりも「個人データ」の方が守るべき義務が増え、また「個人データ」よりも「保有個人データ」の方が、守るべき義務が増えていきます。
| Ⅰ「個人情報」 | 生存する特定の個人を識別できる情報 |
|---|---|
| Ⅱ「個人データ」 | Ⅰのうち、「個人情報データベース等を構成する個人情報」と定義され、個人情報を検索が可能なように整理したもの |
| Ⅲ「保有個人データ」 | Ⅱのうち、開示、訂正等の権限を有し、かつ6ヵ月を超えて保有するもの |
2020年の主な改正点について
2020年の改正による変更点は大きく6点、細かく見た場合に14点あります。2017年の同法改正時ほどではないものの、今回の改正においても企業が対応すべき事項が多いと言えます。
| # | 大分類 | 小分類 |
|---|---|---|
| 1 | 個人の権利の在り方 |
|
| 2 | 事業者の守るべき責務の在り方 |
|
| 3 | 事業者による自主的な取り組みを促す仕組みの在り方 |
|
| 4 | データ利活用に関する施策の在り方 |
|
| 5 | ペナルティの在り方 |
|
| 6 | 法の域外適用・越境移転の在り方 |
|
(出典:個人情報保護委員会「個人情報の保護に関する法律等の一部を改正する法律(概要)」を基にニュートン・コンサルティング作成)
上記の通り、「利用停止、消去等の個人の請求権に係る要件」の緩和や、「開示等の対象となる保有個人データの範囲」の拡大、法人に対するペナルティの強化等、企業が新たに対応する必要がある規定が多数盛り込まれています。
一方で、企業側でのイノベーションを促進する観点から、個人情報と匿名加工情報の中間のような「仮名加工情報」が導入されるため、企業のデータ利活用の活性化も期待されます。
特に影響が大きい変更点
では、日本の企業にとって特に影響の大きい変更点をご紹介します。
(1)利用停止、消去等の個人の請求権に係る要件の緩和(大分類#1より)
現在の個人情報保護法では、消費者の個人情報を企業が利用停止または消去等を行わないことへの強い不満が見られたこともあり、一部の要件を緩和しています。具体的には、消費者による保有個人データの利用停止・消去の請求、また、第三者提供の停止の請求に係る要件を緩和しており、個人の権利の範囲を広げています。
そのため、個人情報の利用停止や消去請求についての対応は努力義務だったものが、改正法施行後は義務化されることとなり、企業としては新たに対応が求められます。
| 現行法 | 改正法 |
|---|---|
| 個人データが個人情報保護法に違反して取得・取り扱い・提供されているときのみ行使可能 | 違反時ではなく、個人の権利利益の損害がある場合を念頭に、要件を緩和 |
(2)開示等の対象となる保有個人データの範囲の拡大 (大分類#1より)
これまで、取得時から 6ヶ月以内に消去する個人データは保有個人データに該当しないとされていました。しかし、今回の改正により、これらも保有個人データという扱いに変わります。そのため、消費者からの開示請求等に対応すべき対象が大きく増える見込みです。
| 現行法 | 改正法 |
|---|---|
| 6ヶ月以内に消去するものは保有個人データに該当しない | 6ヶ月以内に消去するものも保有個人データに該当する |
(3)漏えい等の報告および本人通知の義務化 (大分類#2より)
多くの国で個人情報漏えい時の報告が義務化されている一方、現状日本では努力義務となっています。そのため、報告を積極的にしない企業も一部存在したようで、今回の改正を機に、漏えい時は報告と本人への通知が義務化されることになります。
しかし、軽微な事案も含めて、全ての漏えいを報告するとなると企業にとって大きな負担になるため、漏えい報告の要件を一定件数以上のものに限定する、「速やかに報告」という形で明確な時間的制限を設けない、というやや現実的な形で義務化されます。
| 現行法 | 改正法 |
|---|---|
| 漏えい等の報告は努力義務 | 漏えい等の報告・本人通知を原則義務化 |
(4)個人データの提供先基準の明確化 (大分類#4より)
これまで、「提供元においては個人データに該当しないが、提供先においては個人データに該当する場合」に関して、必ずしも考え方が明確になっていませんでした。今回の改正ではこのような個人データであっても、個人データの第三者提供について、本人同意が得られていること等の確認を義務付けられるようになります。具体的には、クッキー情報などが該当します。
| 現行法 | 改正法 |
|---|---|
| 提供元において個人データに該当しない場合、第三者提供は制限されない | 提供元で個人データでなくとも、提供先で個人データになる場合、本人同意確認等を義務化 |
(5)法人に対する罰金刑の最高額引き上げ (大分類#5より)
現行の個人情報保護法では、企業に科される罰金は個人の場合と同額で、最大でも50万円以下と軽微になっており、違反行為に対する実効性が不十分であるとして、ペナルティの強化が必要との声が挙がっていました。そのため、今回の改正により、法人に対する罰金の上限額が1億円と大幅に引き上げられます。
| 現行法 | 改正法 |
|---|---|
| 50万円以下の罰金 | 1億円以下の罰金 |
まとめ
ご紹介した内容からもわかるように、2020年の改正個人情報保護法の内容はGDPR(EU一般データ保護規則)にかなり近くなっている印象です。前章でピックアップした項目以外では、DX推進にあたって障壁となっていた「仮名加工情報」が明確に定義されることが注目されます。これにより、企業におけるデータ利活用が促される一方で、個人情報の保護がより厳格に求められるようになり、企業はきちんと法律に鑑みた対策をする必要があると言えます。
改正法は2022年4月に全面施行されます。個人情報保護法について分かりやすく示すことを目的としたガイドライン(※)も続々と改正されていますので、併せて参照すると良いでしょう。
(※)個人情報保護員会は個人情報保護法に基づいたガイドラインを作成しています。包括的で基本事項となる「通則編」のほか、特定項目に焦点を当てた「外国にある第三者への提供編」や「第三者提供時の確認・記録義務編」、「匿名加工情報編」があり、2021年8月には「認定個人情報保護団体編」が新たに作成されました。
