2015年の法改正で、3年ごとに見直しする規定が設けられた「個人情報保護法」。企業は常に法に従いながら、個人情報を取り扱う必要があります。2020年に再び個人情報保護法の改正が行われ、2022年4月1日に全面施行されました。本記事では、今回の法改正によりどのようなことが変わったのかを、個人情報保護法の基礎知識とともに紹介します。
個人情報保護法とは?
個人情報保護法とは、正式には「個人情報の保護に関する法律」といいます。インターネットなどの普及により急速に発展した情報化社会において、個人のプライバシー侵害の危険性が高まったことや、国際的な法制定の動きなどを受け、2005年4月に全面施行された法律です。
その後、情報通信技術がより進化したことや、企業のグローバル化などによる社会状況の変化によって、国内外問わず個人情報の利活用がさらに活発になっていることなどから、「定義の明確化」「個人情報の適正な活用・流通の確保」「グローバル化への対応」などを目的に2017年5月30日より「改正個人情報保護法」が施行されました。
このとき改正された法律で、さらなる情報通信技術の進歩や国際的動向の変化、新しい産業の創出などを見越して、3年ごとに見直しを行うことも盛り込まれました。2020年の法改正は、3年ごとの見直しに該当します。
個人情報保護法が制定された目的
個人情報保護法は、一口に言えば「個人情報を保護すること」を目的に制定された法律です。しかし単に個人情報を保護するだけではありません。個人情報保護法は、個人情報を活用することに対しても適用される法律です。個人情報保護法第一条には、次のような内容が書かれています。
第一条 この法律は、デジタル社会の進展に伴い個人情報の利用が著しく拡大していることに鑑み、個人情報の適正な取扱いに関し、基本理念及び政府による基本方針の作成その他の個人情報の保護に関する施策の基本となる事項を定め、国及び地方公共団体の責務等を明らかにし、個人情報を取り扱う事業者及び行政機関等についてこれらの特性に応じて遵守すべき義務等を定めるとともに、個人情報保護委員会を設置することにより、行政機関等の事務及び事業の適正かつ円滑な運営を図り、並びに個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであることその他の個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする。
引用:平成十五年法律第五十七号 個人情報の保護に関する法律|e-Gov法令検索 (2022年7月28日に利用)
e-Govについて:e-Govの運営組織の変更について(デジタル庁)(9/1)
個人情報保護法の対象となる情報
個人情報保護法は「個人情報を保護する法律」であるということは多くの人が理解しているでしょう。しかしどのような情報が「個人情報」とされるのかまでを正しく把握できていない人もいるかもしれません。また個人情報保護法の対象となる情報は、より細分化されています。顧客情報などを扱う企業は、どのような情報が個人情報保護法の対象となるかを把握しておく必要があります。
個人情報
個人情報とは、生存する個人に関する情報であって、その情報に含まれる記述等により特定の個人を識別することができるもののことを指します。氏名や生年月日などの情報をもとに、一般的な判断力・理解力があれば具体的な人物を特定できてしまうものが該当します。また、ほかの情報と安易に照合でき、その結果、誰についての情報であるかが識別できてしまうものも個人情報となるので注意が必要です。例えば次のような情報は個人情報となります。
- 氏名のみ、または生年月日、住所、電話番号などを氏名と組み合わせた情報
- SNSや防犯カメラなどに記録された情報など、本人だと判別できる映像・画像データ
- 氏名などが含まれていることで、特定の人物を識別できる録音データ
- 氏名や企業名などが含まれていることで、特定の人物を識別できるメールアドレス
さらに、パスポート番号や基礎年金番号、マイナンバー、免許証の番号など、個人に割り振られた一定の番号や、指紋、DNA、顔の骨格などの個人だけが持つデータなども個人情報にあたります。
個人データ
個人データとは、上述した個人情報をデータベース化した場合、それを構成する個人情報のことを指します。一般的に、個人情報データベースは、パソコンなどを用いて特定の個人情報を検索できるようまとめたものをイメージするかもしれません。しかし、紙面で処理した個人情報を五十音順や生年月日順などに並び替えて整理・分類することで、簡単に検索できるものも個人情報データベースに含まれます。例えば、もらった名刺を五十音順などに整理した場合、他人も容易に個人情報を検索できる状態となります。整理された名刺の束は個人情報データベースとなり、それを構成する名刺は個人データと呼ぶことができます。なお整理されていない名刺は個人データとはいえない個人情報にあたります。
保有個人データ
保有個人データとは、上記個人データのうち個人情報取扱事業者が、開示、内容の訂正、追加・削除、利用の停止、消去・第三者への提供の停止を実施できる権限がある情報のことを指します。なお、例えば、別の企業から委託を受けて取り扱っている個人データで、自社で情報の開示や内容の変更・消去などができないものは、保有個人データには該当しません。また自社で扱う個人情報であっても、その存否が明らかになることにより、違法行為や不当行為につながる恐れのあるものや、国の安全が脅かされるもの、犯罪などにつながるものなどは保有個人データには該当しません。
2022年4月施行の改正で知っておきたい6つの内容
2022年4月に施行された改正で、個人情報保護法にはどのような内容が加わったのでしょうか。ここでは知っておくべき改正の内容を6つ紹介します。
改正点1.個人の権利の拡大
最初に今回の法改正により、個人情報に関する個人の権利がさらに拡大されたことが挙げられます。
これまでの法律では、本人による個人情報の利用停止や消去、第三者への提供停止を請求できるのは、企業などが個人情報保護法に違反している場合に限定されていました。改正後は、違反の有無にかかわらず、個人の権利や利益が脅かされる可能性がある場合なども請求が可能となりました。
また、これまでは6ヵ月以内に消去するデータに関しては保有個人データには含まれず、企業は本人による開示・訂正・利用停止などに応じる義務はありませんでした。しかし改正後の法律では、6ヵ月以内しか保存されないデータも保有個人データに含まれるようになりました。本人から開示・訂正・利用停止などの請求を受けた際、企業はそれに応じる必要があります。なお、これまでは保有個人データを個人に開示する場合は、書面による交付を原則としていました。しかし改正後は、請求者は書面またはデジタルデータのいずれかの開示方法を指定できるようになっています。
さらに、本人の請求により後から停止できることを前提に、提供する個人データの項目等を公表したうえで、本人の同意がなくても第三者に個人情報を提供できる「オプトアウト規定」が厳格化されました。以前の法律でも、人種や病歴、犯罪歴や被害などの本人に不利益となりうる、取り扱いを特に配慮しなければならない要配慮個人情報については、第三者への提供に制限がありました。しかし今回の改正では、それに加えて「不正に取得した個人データ」と「オプトアウト規定で取得した個人データ」についても制限されることとなりました。
改正点2.事業者の責務の強化
個人データが漏洩した際の報告義務や個人情報の不適正利用の禁止など、事業者が負うべき義務が追加されるのも今回の法改正の特徴です。
新しい法律では、個人データ漏洩のトラブルなどが発生し、それが「個人の権利利益を
害するおそれが大きい」ものである場合、原則として、個人情報保護委員会への報告と本人への通知を行わなければなりません。「個人の権利利益を害するおそれが大きい」情報漏洩等とは、主に次の4つが挙げられます。
- 病歴や犯罪歴などの要配慮個人情報が含まれる個人データの漏洩等(漏洩等が発生したおそれがある場合を含みます。以下同様)
- 不正に利用されることにより本人に財産的な被害が生じるおそれがある個人データの漏洩等
- 不正の目的を持って行われたおそれがある個人データの漏洩等
- 1,000人を超える個人データの漏洩等
また、これまでの法律では明文化されていなかった、違法・不当行為を助長・誘発するおそれがある方法での個人情報の利用(個人情報の不適正利用)を禁止する旨が、改正法では明確になっています。
改正点3.法人に対するペナルティの強化
今回の法改正により、法令違反に関するペナルティがさらに強化されています。特に法人に対する罰則はより重い罰金刑へと変更されています。
新しい法律では、個人情報データベースなどの不正提供等流用や、個人情報保護委員会による措置命令違反、委員会に対する報告義務違反・虚偽報告の罰則について法定刑が引き上げとなりました。これまでは法人・個人問わず同額の罰金でしたが、組織的な犯罪の抑止や個人との資力の差が考慮され、法改正により法人に対しては個人よりも重い罰金が科せられる内容となっています。
- 個人情報データベース等の不正提供等:1億円以下の罰金
- 個人情報保護委員会による措置命令違反:1億円以下の罰金
- 個人情報保護委員会への虚偽報告や報告義務違反など:50万円以下の罰金(法改正により法定刑が引き上げられたものですが、こちらは個人の場合の法定刑と同じです)
なお、個人への罰則も強化され、個人情報保護委員会の措置命令に違反した者は、1年以下の懲役又は100万円以下の罰金、個人情報保護委員会への虚偽報告や報告義務違反などは50万円以下の罰金が科せられます。
改正点4.外国事業者の規制の強化
今回の法改正から、外国にある事業者への規制についても変更・強化されています。
これまでは、外国の事業者は個人情報保護委員会の報告徴収や立入検査、命令の適用外でした。そのため、外国にある事業者が個人情報保護法に違反しているおそれがある場合でも、個人情報保護委員会はあくまでも助言や勧告などの強制力のない対応しかできず、罰則を科すこともできませんでした。しかし昨今は、インターネットの普及により、外国のサイトから物品を購入することも増えています。そうした背景から、法改正後は日本国内の人に対する物品または役務(サービス)の提供に関連して日本国内の人の個人情報等を取り扱う外国の個人情報取扱事業者等に対しても、報告徴収や立入検査・命令・罰則の適用が可能となっています。
改正点5.データ利活用の促進
今回の法改正では、多くの項目で規制が厳格化されていますが、データの利活用の促進については緩和されている部分もあります。
これまでの法律では、個人を特定できないように個人名などを仮名加工した場合でも、基本的には加工前と同じ規制の対象でした。改正後の法律では、ほかの情報と照合しない限り特定の個人を識別できないように個人情報を加工した場合は、利用目的の変更制限が適用されず、開示・利用停止請求等への対応義務等から除外されることになりました。これにより、企業は個人情報保護法における制限や義務が一部免除され、負担が軽減されるほか、データの有用性を保ちながら、仮名加工した情報をより有効に活用することができます。
データ利活用の観点では、厳格化された部分もあります。改正後の法律では、提供元では個人データに当たらなくても、提供先が持つ情報と照合されることで個人が特定できてしまう(提供先において個人データに該当してしまう)、Cookie等の個人関連情報(生存する個人に関する情報であって個人情報等に該当しないもの)を第三者に提供する場合、提供元には、当該第三者が提供を受け個人データとして取得することに関する本人の同意(が得られていることの)確認が義務付けられたので注意が必要です。
改正点6.認定個人情報保護団体制度の見直し
今回の法改正により、認定個人情報保護団体制度の見直しが行われ、より専門性を生かした個人情報保護の取り組みが期待されています。
「認定個人情報保護団体」とは、個人情報保護の推進を目的とする個人情報保護委員会が認定する民間団体のことを指します。いくつかの業務がありますが、例えば、個人情報の取り扱いについての苦情などを、その企業に申し入れてもなかなか改善されない・取り合ってもらえないなどの場合に、代わりにクレームを受け付けるなどの業務を行う組織です。旧法の認定個人情報保護団体制度では、認定団体は対象事業者のすべての分野・部門における業務を行う必要がありました。改正後の法律では、企業の特定分野・部門を対象とする団体も認定されるようになりました。そのため、認定団体の活動が活発化し、より強固な個人情報保護の促進が望めます。
企業が個人情報の扱いについて知っておきたい9のこと
企業が個人情報を扱うとき、知っておくべきことや注意すべきことがあります。これを知らないままでいると、法律違反による罰則の対象となったり、個人情報漏洩などの重大事故につながったりする可能性が高まります。また、これらの点は特定の人だけが把握しておくのではなく、企業全体で全員が同じ認識を持つ必要があります。研修などを適宜行うのも一案です。以下の点を理解し、全社で共有することに努めましょう。
1.個人情報保護に関する書類を作成する
企業がアンケート調査などで個人情報を取得する際に、個人情報を提供する人に対して提示する「個人情報保護に関する誓約書」を用意しておきましょう。書類には個人情報の利用目的や、取得する個人情報の内容、個人情報の取り扱いに関する問い合わせ窓口などを記載します。同じく「個人情報保護に関する誓約書」という名目で、自社で働く従業員が顧客の個人情報を取り扱う場合などに会社に提出する書類もあります。この場合の誓約書は、個人情報を外部に漏らさないなどの守秘義務に関する内容を記載します。個人情報を取り扱う企業はどちらも用意しておいたほうがよいでしょう。
なお、個人情報を取得することに関して誓約書を提示したからといって安心しすぎるのは危険です。個人情報を慎重に扱うことを常に心に留めておくことが大切です。
2.情報の開示請求に対応できるよう準備しておく
本人からの請求があった場合は個人情報の開示や訂正、利用停止に素早く対応しなければなりません。開示請求手続の方法や苦情に関する窓口などを尋ねられた場合、すぐに答えられるように準備しておくことが大切です。
また法改正により、保有個人データの開示について、請求者はデジタルデータでの提供を含む開示方法を指定できるようになりました。そのため、個人情報の電子化を進め、開示請求があった場合にいずれの方法でもスムーズに対応できるよう準備する必要があります。情報の開示請求に関するフローは全社的に共有し、迅速に対応できるような体制を整えておきましょう。
3.情報漏洩が発生した場合の対応について協議しておく
万が一、個人情報が何らかの形で外部に漏れてしまった場合の対応はとても重要です。新しい法律では、個人データ漏洩などのトラブルが発生した場合、一定の事案について、すみやかに個人情報保護委員会と本人への報告と通知が義務化されました。トラブルはいつ何時発生するかわかりません。もしものときのために、対応について協議しておくとよいでしょう。トラブル発生時の対応マニュアルを作成し、全社で共有しておくことも大切です。
4.仮名加工情報の活用法を検討しておく
法改正後、ほかの情報と照合しない限り特定の個人を識別できないよう仮名加工した個人情報は、データの有用性を保ちながら、事業で幅広く活用できる可能性があります。仮名加工した個人情報への制限が緩和されたことを有効に活用できるよう、自社内で新しい事業の検討や既存事業の見直しを実施し、データの活用方法を検討しておくとよいでしょう。
5.個人情報の保管・管理方法について共有しておく
漏洩のトラブルが発生しないよう、個人情報は安全に保管・管理する必要があります。これまで個人データを厳重に保管・管理していた企業でも、法改正をきっかけに、いま一度保管・管理場所のセキュリティなどを見直すことをおすすめします。「紙で収集した個人情報は鍵付きのキャビネットなどに保管する」「パソコンに保存した個人情報はファイルにパスワードを設定する」「個人情報が入ったパソコンには必ずセキュリティ対策を施す」などを徹底しましょう。個人情報を取り出せるのは権限を持つ人だけにするなどし、そのことを共有しておきましょう。そうすることで、全社員が個人情報の扱いを慎重に行わなければならないことを認識できます。
6.個人情報の利用状況を棚卸する
自社が保有する個人情報の利用状況を棚卸しすることも大切です。不適正利用をしていないかをチェックします。法改正後は、法律違反の有無に関係なく、個人データの利用停止や消去を請求されるケースも考えられます。今まで活用できていたデータが利用できなくなることもあるということを念頭に置き、社内で個人情報の取り扱い方法を改めて周知するようにしておくことをおすすめします。
7.個人情報の第三者提供に関する条件を理解しておく
個人データを第三者に提供する場合は、原則として本人の同意を得る必要があります。これを省略した場合、個人情報保護法違反となり得るため、企業にとって大きな打撃となる可能性があります。一方で、警察からの照会など法令に基づく場合や、人命・身体・財産の保護のために必要でありながらも、災害などにより本人の同意を得るのが困難な場合などは本人の同意を得ずとも第三者に個人データを提供できます。このことを周知しておくことで、適切な判断のもと第三者に提供する・しないがジャッジできます。個人情報の第三者提供に関する条件についてもしっかり把握しておくようにしましょう。
8.プライバシーポリシーや契約書の見直し・改定を実施しておく
改正法の下で適切な個人情報の取り扱いを実施していることを公表できるよう、プライバシーポリシーの改定も忘れないようにしましょう。必要に応じ、個人関連情報に関する記事や開示方法に関する記載、オプトアウトによる第三者への情報提供に関する記載など、新しい法律に即した項目を加筆・改定しなければなりません。
また、個人データのやりとりが発生する取引先がある場合、必要に応じ、契約内容を見直す必要もあります。
9.定期的に個人情報の利用状況をチェックする
企業は、利用する必要がなくなった個人情報はすみやかに消去するよう努めなければなりません。しかし、利用する必要がなくなったかどうかを判断することは簡単ではありません。そのため、法律上も「努力義務」にとどめられています。長い間使われていない個人情報があったとしても、是正勧告などの強い措置を受けることはありませんが、利用する必要がない個人情報をいつまでも保管しておくことは、企業にとって好ましい行為ではありません。例えば、不採用となった応募者の履歴書なども、書類の破棄やデータを削除するなどしたほうがよいでしょう。
個人情報消去に関する明確な期間は設けられていませんが、定期的に個人情報の利用状況を確認し、一定期間利用履歴がないものは消去対象にするなどのルールを設定しておくとよいでしょう。
改正後の個人情報保護法を理解し適切な対応・管理をしましょう
改正された個人情報保護法には、時代に合わせて追加された項目や、緩和された項目があります。企業には法律に即したさまざまな対応が必要となります。個人情報はぞんざいに扱うと、後に重大なアクシデントに発展するリスクが高まります。個人情報漏洩などのトラブルは、企業に対する社会からの信頼を失うことにもつながりかねません。
そのような事態に発展させないためにも、法律をしっかりと理解したうえで、その時々に合わせた適切な対応と管理を徹底し、安全に個人情報を取り扱うことを心がけましょう。
個人情報保護法に関するQ&A
PR TIMESのご利用を希望される方は、以下より企業登録申請をお願いいたします。登録申請方法と料金プランをあわせてご確認ください。
PR TIMESの企業登録申請をするPR TIMESをご利用希望の方はこちら企業登録申請をする