2020年個人情報保護法改正の方向性を読み解く

掲載:2020年03月27日

改訂:2021年08月04日

執筆者:執行役員 兼 プリンシパルコンサルタント 内海 良

コラム

昨今、DX(デジタルトランスフォーメーション)に代表されるように、データの活用が企業戦略において非常に重要になっています。半面、そのデータの取り扱いが適切でない場合の影響も危惧されるようになり、2018年に施行されたGDPR(EU一般データ保護規則)をはじめとする個人データの取り扱いを厳格に規定する法規制が続々と出てきています。

         

日本の個人情報保護法

日本においては、2003年に個人情報保護法が制定(2005年全面施行)、その後、2015年に改正(2017年施行)され、以降は3年ごとに必要に応じて改正の措置を取るとされています。そして前回の施行から3年となる2020年に改正法が成立し、2022年4月にはいよいよ全面施行されようとしています。企業は改正点について事前に把握し、準備しておくことが望ましいでしょう。

また、2020年の個人情報保護法改正にあたって、個人情報保護マネジメントシステムの要求事項を定めた「JISQ15001」およびプライバシーマークの審査基準も併せて改正されることが予測されます。そのため、2020年改正個人情報保護法の主な改正点や、企業にとって対応が必要となるポイントを紹介します。

個人情報とは

個人情報保護法では、保護が必要な個人に関する情報を「個人情報」、「個人データ」、「保有個人データ」の3つに分類しています。「個人情報」よりも「個人データ」の方が守るべき義務が増え、また「個人データ」よりも「保有個人データ」の方が、守るべき義務が増えていきます。
 

【図表 1 個人情報、個人データ、保有個人データの比較】
Ⅰ「個人情報」 生存する特定の個人を識別できる情報
Ⅱ「個人データ」 Ⅰのうち、「個人情報データベース等を構成する個人情報」と定義され、個人情報を検索が可能なように整理したもの
Ⅲ「保有個人データ」 Ⅱのうち、開示、訂正等の権限を有し、かつ6ヵ月を超えて保有するもの

 

2020年の主な改正点について

2020年の改正による変更点は大きく6点、細かく見た場合に14点あります。2017年の同法改正時ほどではないものの、今回の改正においても企業が対応すべき事項が多いと言えます。

【表 2 改正個人情報保護法の主な変更点】
# 大分類 小分類
1 個人の権利の在り方
  • 利用停止、消去等の個人の請求権に係る要件の緩和
  • 保有個人データの開示方法の充実
  • 第三者提供記録に関する開示請求権の規定
  • 開示等の対象となる保有個人データの範囲の拡大
  • オプトアウト規制の強化
2 事業者の守るべき責務の在り方
  • 漏えい等の報告および本人通知の義務化
  • 適正な利用義務の明確化
3 事業者による自主的な取り組みを促す仕組みの在り方
  • 認定団体制度の拡充
4 データ利活用に関する施策の在り方
  • 「仮名加工情報」創設による開示・利用停止請求への対応義務緩和
  • 個人データの提供先基準の明確化
5 ペナルティの在り方
  • 命令違反・虚偽報告等に対する法定刑の引き上げ
  • 法人に対する罰金刑の最高額引き上げ
6 法の域外適用・越境移転の在り方
  • 域外適用の範囲の拡大
  • 外国にある第三者への個人データの提供制限の強化

(出典:個人情報保護委員会「個人情報の保護に関する法律等の一部を改正する法律(概要)」を基にニュートン・コンサルティング作成)

上記の通り、「利用停止、消去等の個人の請求権に係る要件」の緩和や、「開示等の対象となる保有個人データの範囲」の拡大、法人に対するペナルティの強化等、企業が新たに対応する必要がある規定が多数盛り込まれています。

一方で、企業側でのイノベーションを促進する観点から、個人情報と匿名加工情報の中間のような「仮名加工情報」が導入されるため、企業のデータ利活用の活性化も期待されます。

特に影響が大きい変更点

では、日本の企業にとって特に影響の大きい変更点をご紹介します。

(1)利用停止、消去等の個人の請求権に係る要件の緩和(大分類#1より)
現在の個人情報保護法では、消費者の個人情報を企業が利用停止または消去等を行わないことへの強い不満が見られたこともあり、一部の要件を緩和しています。具体的には、消費者による保有個人データの利用停止・消去の請求、また、第三者提供の停止の請求に係る要件を緩和しており、個人の権利の範囲を広げています。

そのため、個人情報の利用停止や消去請求についての対応は努力義務だったものが、改正法施行後は義務化されることとなり、企業としては新たに対応が求められます。

現行法 改正法
個人データが個人情報保護法に違反して取得・取り扱い・提供されているときのみ行使可能 違反時ではなく、個人の権利利益の損害がある場合を念頭に、要件を緩和

 

(2)開示等の対象となる保有個人データの範囲の拡大 (大分類#1より)
これまで、取得時から 6ヶ月以内に消去する個人データは保有個人データに該当しないとされていました。しかし、今回の改正により、これらも保有個人データという扱いに変わります。そのため、消費者からの開示請求等に対応すべき対象が大きく増える見込みです。

現行法 改正法
6ヶ月以内に消去するものは保有個人データに該当しない 6ヶ月以内に消去するものも保有個人データに該当する

 

(3)漏えい等の報告および本人通知の義務化 (大分類#2より)
多くの国で個人情報漏えい時の報告が義務化されている一方、現状日本では努力義務となっています。そのため、報告を積極的にしない企業も一部存在したようで、今回の改正を機に、漏えい時は報告と本人への通知が義務化されることになります。

しかし、軽微な事案も含めて、全ての漏えいを報告するとなると企業にとって大きな負担になるため、漏えい報告の要件を一定件数以上のものに限定する、「速やかに報告」という形で明確な時間的制限を設けない、というやや現実的な形で義務化されます。

現行法 改正法
漏えい等の報告は努力義務 漏えい等の報告・本人通知を原則義務化

 

(4)個人データの提供先基準の明確化 (大分類#4より)
これまで、「提供元においては個人データに該当しないが、提供先においては個人データに該当する場合」に関して、必ずしも考え方が明確になっていませんでした。今回の改正ではこのような個人データであっても、個人データの第三者提供について、本人同意が得られていること等の確認を義務付けられるようになります。具体的には、クッキー情報などが該当します。

現行法 改正法
提供元において個人データに該当しない場合、第三者提供は制限されない 提供元で個人データでなくとも、提供先で個人データになる場合、本人同意確認等を義務化

 

(5)法人に対する罰金刑の最高額引き上げ (大分類#5より)
現行の個人情報保護法では、企業に科される罰金は個人の場合と同額で、最大でも50万円以下と軽微になっており、違反行為に対する実効性が不十分であるとして、ペナルティの強化が必要との声が挙がっていました。そのため、今回の改正により、法人に対する罰金の上限額が1億円と大幅に引き上げられます。

現行法 改正法
50万円以下の罰金 1億円以下の罰金

まとめ

ご紹介した内容からもわかるように、2020年の改正個人情報保護法の内容はGDPR(EU一般データ保護規則)にかなり近くなっている印象です。前章でピックアップした項目以外では、DX推進にあたって障壁となっていた「仮名加工情報」が明確に定義されることが注目されます。これにより、企業におけるデータ利活用が促される一方で、個人情報の保護がより厳格に求められるようになり、企業はきちんと法律に鑑みた対策をする必要があると言えます。

改正法は2022年4月に全面施行されます。いよいよ先んじて対応方法を検討することをお勧めします。

小冊子プレゼント

リスクマネジメントにかかわる小冊子PDFを無料でダウンロードいただけます。

情熱コンサルタント宣言

私たちは「本当にお客様の役に立ちたい!」という熱い心を持ったコンサルタント集団です。真の意味でお客様の礎となる支援をいたします。

当社のWebサイトでは、サイト閲覧時の利便性やサイト運用および分析のため、Cookieを使用しています。こちらで同意をして閉じるか、Cookieを無効化せずに当サイトを継続してご利用いただくことにより、当社のプライバシーポリシーに同意いただいたものとみなされます。
同意して閉じる