コラム

2020年個人情報保護法改正の方向性を読み解く

2020年03月27日

コンサルタント

杉浦 広明

昨今、DX(デジタルトランスフォーメーション)に代表されるように、データの活用が企業戦略において非常に重要になっています。半面、そのデータの取り扱いが適切でない場合の影響も危惧されるようになり、2018年に施行されたGDPR(EU一般データ保護規則)をはじめとする個人データの取り扱いを厳格に規定する法規制が続々と出てきています。

日本においては、2003年に個人情報保護法が制定(2005年全面施行)、その後、2015年に改正(2017年に施行)され、以降は3年ごとに必要に応じて改正の措置を取るとされています。そして前回の施行から3年となる今年2020年、個人情報保護法がいよいよ改正されようとしています。

今回の改正に関して、2019年12月13日に個人情報保護委員会から「個人情報保護法いわゆる3年ごと見直し制度改正大綱」が公表されており、この骨子を元に再度検討し、2020年中に改正案が決定されます。具体的な施行日は未定ですが、企業は改正が検討される点について事前に把握し、準備しておくことが望ましいでしょう。

また、2020年の個人情報保護法改正にあたって、個人情報保護マネジメントシステムの要求事項を定めた「JISQ15001」およびプライバシーマークの審査基準も併せて改正されることが予測されます。そのため、2020年改正個人情報保護法の主な改正点や、企業にとって対応が必要となるポイントを幾つか紹介します。

個人情報とは

個人情報保護法では、保護が必要な個人に関する情報を「個人情報」、「個人データ」、「保有個人データ」の3つに分類しています。「個人情報」よりも「個人データ」の方が守るべき義務が増え、また「個人データ」よりも「保有個人データ」の方が、守るべき義務が増えていきます。
 

【図表 1 個人情報、個人データ、保有個人データの比較】
Ⅰ「個人情報」 生存する特定の個人を識別できる情報
Ⅱ「個人データ」 Ⅰのうち、「個人情報データベース等を構成する個人情報」と定義され、個人情報を検索が可能なように整理したもの
Ⅲ「保有個人データ」 Ⅱのうち、開示、訂正等の権限を有し、かつ6ヵ月を超えて保有するもの

 

主な改正点について

「個人情報保護法 いわゆる3年ごと見直し 制度改正大綱(骨子)」によると、改正が検討される点は大きく7点、細かく見た場合に20点あります。2017年の同法改正時ほどではないものの、今回の改正においても企業が対応すべき事項が多いと言えます。

【図表 2 改正個人情報保護法の主な変更点】
# 改正の検討事項
大分類 小分類
1 個人データに関する個人の権利の在り方
  • 個人情報保護法相談ダイヤルの充実
  • 利用停止、消去、第三者提供の停止の請求に係る要件の緩和
  • 開示請求の充実
  • 開示等の対象となる保有個人データの範囲の拡大
  • オプトアウト規制の強化
2 事業者の守るべき責務の在り方
  • 漏えい等報告および本人通知の義務化
  • 適正な利用義務の明確化
3 事業者における自主的な取り組みを促す仕組みの在り方
  • 認定個人情報保護団体制度
  • 民間の自主的取り組みの推進
4 データ利活用に関する施策の在り方
  • 匿名加工情報制度
  • 「仮名化情報(仮称)」の創設
  • 公益目的による個人情報の取り扱いに係る例外規定の運用の明確化
  • 端末識別子等の取り扱い
  • 個人情報の保護と有用性に配慮した利活用相談の充実
  • データ利活用に関する国際的な取り組みの必要性
5 ペナルティの在り方
  • ペナルティの在り方
6 法の域外適用の在り方および越境移転の在り方
  • 域外適用の範囲の拡大
  • 外国にある第三者への個人データの提供制限の強化
7 官民を通じた個人情報の取り扱い
  • 行政機関、独立行政法人等に係る法制と民間部門に係る法制との一元化
  • 地方公共団体の個人情報保護制度

(出典:個人情報保護委員会「個人情報保護法 いわゆる3年ごと見直し 制度改正大綱(骨子)」を基にニュートン・コンサルティングが作成)

上記では、「保有個人データの利用停止・消去の請求等に係る要件」の緩和や、「開示対象となる保有個人データの範囲」の拡大、「個人情報保護法違反時のペナルティの強化の検討」等、企業が新たに対応する必要がある規定が多数盛り込まれています。

一方で、企業側でのイノベーションを促進する観点から、個人情報と匿名加工情報の中間のような「仮名化情報」が導入されるため、企業のデータ利活用の活性化も期待されます。

特に影響が大きい変更点

では、日本の企業にとって特に影響の大きい変更点をご紹介します。

(1)利用停止、消去、第三者提供の停止の請求に係る要件の緩和 (大分類#1より)
現在の個人情報保護法では、消費者の個人情報を企業が利用停止または消去等を行わないことへの強い不満が見られたこともあり、一部の要件を緩和しています。具体的には、消費者による保有個人データの利用停止・消去の請求、また、第三者提供の停止の請求に係る要件を緩和しており、個人の権利の範囲を広げています。

そのため、現状は個人情報の利用停止や消去請求についての対応は努力義務だったものが、改正後は義務化されることとなり、企業としては新たに対応が求められることになります。

現行法 改正大綱
個人データが個人情報保護法に違反して取得・取り扱い・提供されているときのみ行使可能 違反時ではなく、個人の権利利益の損害がある場合を念頭に、要件を緩和する方針

 

(2)開示等の対象となる保有個人データの範囲の拡大 (大分類#1より)
これまで、取得時から 6ヵ月以内に消去する個人データは保有個人データに該当しないとされていました。しかし、今回の改正により、これらも保有個人データという扱いに変わります。そのため、消費者からの開示請求等に対応すべき対象が大きく増える見込みです。

現行法 改正大綱
6ヵ月以内に消去するものは保有個人データに該当しない 6ヵ月以内に消去するものも保有個人データに該当する

 

(3)漏えい等報告の義務化 (大分類#2より)
多くの国で個人情報漏えい時の報告が義務化されている一方、現状日本では努力義務となっています。そのため、報告を積極的にしない企業も一部存在したようで、今回の改正を機に、漏えい時は報告と本人への通知が義務化されることになります。

しかし、軽微な事案も含めて、全ての漏えいを報告するとなると企業にとって大きな負担になるため、漏えい報告の要件を一定件数以上のものに限定する、「速やかに報告」という形で明確な時間的制限を設けない、というやや現実的な形で義務化されます。

現行法 改正大綱
漏えい等報告は努力義務 漏えい等報告・本人通知を原則義務化

 

(4)個人データの提供先基準の明確化  (大分類#4より)
現状、「提供元においては個人データに該当しないが、提供先においては個人データに該当する場合」に関して、必ずしも考え方が明確になっていませんでした。

そこで、今回の改正ではこのような個人データであっても、「個人データの第三者提供を制限する」ようになります。具体的には、例えばこれまで「クッキー情報」などは今後第三者提供時に制限されます。

現行法 改正大綱
提供元において個人データに該当しない場合、第三者提供は制限されない 提供元で個人データでなくとも、提供先で個人データになる場合、第三者提供を制限する

 

(5)ペナルティの在り方 (大分類#5より)
現行の個人情報保護法では、企業に科される罰則は最大でも1年以下の懲役または50万円以下の罰金程度と軽微になっており、違反行為に対する実効性が不十分であるとして、ペナルティの強化が必要との声が挙がっていました。

そのため、現行の法人処罰規定に係る重科の導入を含め、必要に応じた見直しを行うことになっており、現状よりもさらに高い罰金が設定される見込みです。近日の改正方針では、これまで個人と同じ額だった法人に対する罰金の上限額を1億円に引き上げるとしています。

現行法 改正大綱
最大でも1年以下の懲役または50万円以下の罰金 法人処罰規定に係る重科の導入を含め、必要に応じて見直し

 

まとめ

ご紹介した内容からもわかるように、2020年の改正個人情報保護法の内容はGDPR(EU一般データ保護規則)にかなり近くなっている印象です。DX推進にあたって障壁となっていた「仮名化情報」が明確に定義されることによりデータ利活用をする一方で、個人情報の保護についてはより厳格に求められるようになっており、企業はきちんと法律に鑑みた対策をする必要があると言えます。

同法改正案は2020年3月10日に閣議決定されました。いよいよ先んじて対応方法を検討することをお勧めします。

小冊子プレゼント

リスクマネジメントにかかわる小冊子PDFを無料でダウンロードいただけます。

情熱コンサルタント宣言

私たちは「本当にお客様の役に立ちたい!」という熱い心を持ったコンサルタント集団です。真の意味でお客様の礎となる支援をいたします。

当社のWebサイトでは、サイト閲覧時の利便性やサイト運用および分析のため、Cookieを使用しています。こちらで同意をして閉じるか、Cookieを無効化せずに当サイトを継続してご利用いただくことにより、当社のプライバシーポリシーに同意いただいたものとみなされます。
同意して閉じる