個人情報を適切に取り扱うことは、企業にとって当たり前となっています。もし、個人情報を不適切に取り扱い、その行為が明るみに出たら、SNS等で悪評が一気に拡散されます。その結果、ビジネスに影響を及ぼす可能性があります。
個人情報の取り扱いは「個人情報保護法」でルール化されているのですが、この「個人情報保護法」が2022年4月に改正されます。
この記事では、2022年4月改正における6つの変更点を解説するとともに、変更のポイントや対応方法についてもわかりやすく解説していきます。
個人情報・個人データの意味・定義
個人情報とは?
そもそも「個人情報」とはどういった情報を指すのでしょう?
現行の個人情報保護法では、個人情報を以下のように定義しています。
生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述などによって特定の個人を識別できるもの(他の情報と容易に照合することができ、それによって特定の個人を識別することができることとなるものを含む。)、または個人識別符号が含まれるもの。
ポイントは2点あります。
- 生存する個人に関する情報である
- 特定の個人を識別できる情報である
これら2つを同時に満たす情報が「個人情報」です。
個人データとは?
個人データとは、「個人情報データベース等を構成する個人情報」のことです。
また、「個人情報データベース等」とは「特定の個人情報を検索できるように体系的にまとめたもの」です。
例えば、顧客情報を整理してアルファベット順やあいうえお順に並べたとします。特定の個人情報を検索できるよう整理されているため、この整理のアウトプットは個人情報データベースに該当します。
しかし、各社員が何の整理をすることもなく個別に管理している顧客情報は、個人情報データベースに相当しません。なぜなら、体系的にまとめられたものではなく、検索性もないからです。
このケースにおける顧客の個人情報は「個人データに該当しない個人情報」であると言えます。
個人情報保護法とは?まずは目的・対象を解説
個人情報保護法は、民間事業者が個人情報を取り扱う際のルールについて定めた法律です。まずは個人情報保護法の概要と、改正の経緯を理解しておきましょう。
個人情報保護法の目的
個人情報保護法の目的は、個人の権利・利益の保護と個人情報の有用性をバランスすることにあります。
企業は、個人の氏名・性別・生年月日・住所などの個人情報を有効に利活用することで、競争優位性・ブランディング強化につながる施策立案ができます。
しかし、そういった個人情報を顧客に断りなく企業が好き勝手に使うとどうでしょう?
予期せぬ・意図せぬ個人情報の利活用は、顧客からの反感を買うことにつながりかねません。
個人情報保護法は、企業における個人情報の不適切な利用をけん制することで個人の権利・利益を保護しつつ、有用な情報である個人情報を適切な範囲内で企業利用できるよう制定された法律なのです。
個人情報保護法が最初にできたのはいつ? → 2003年5月制定、2005年4月施行
個人情報保護法が最初に制定されたのは2003年5月です。2年後の2005年4月1日に全面施行されました。
また、個人情報保護法のはじめての改正は2015年9月におこなわれ、この改正法は2017年5月30日に完全施行されました。
したがって、2022年4月施行の改正は、2回目の改正にあたります。
個人情報保護法の対象
個人情報保護法が適用されるのは、「個人情報取扱事業者」です。
制定当初の個人情報保護法では、個人情報保有数が5,000人以下の中小企業・小規模事業者は適用対象外でした。
2017年施行の法改正により、現在はすべての事業者が適用対象となっています。
2022年施行の改正個人情報保護法とは?
2017年施行の最初の改正個人情報保護法において、「個人情報保護法は施行後3年ごとに見直す」という旨の規定が設けられました。今回の改正法は、先の改正で設けられたこの規定により、3年ごとの見直しが行われたものです。
ここでは、公布日・施工日や改正の目的などについて言及します。
改正個人情報保護法の公布日・施行日
「公布」は、制定された法律や政令を国民に知らせることを意味し、一方で「施行」とは、実際にそれら法律や政令が効力を発揮することを意味します。
今回の改正個人情報保護法の公布日および施行日は、以下のとおりです。
- 公布日│2020年6月12日
- 施行日│2022年4月1日
ただし、のちほど詳述する「改正ポイント5|法令違反に対するペナルティの強化」については、2021年12月12日施行です。
改正個人情報保護法の目的
改正個人情報保護法は、個人の権利・利益の保護・活用の強化、国際動向との調和、AI・ビッグデータ時代への対応など、近年の国際情勢や技術開発動向を踏まえて公布されています。
ここからは、改正個人情報保護法の6つのポイントについてわかりやすく解説します。
2022年改正の個人情報保護法「6つのポイント」とは?
2022年施行の改正個人情報保護法では、大きな変更点が6つあります。
それぞれのポイントについて、概要を解説します。
ポイント1. 個人の権利保護強化
近年、個人情報に対する意識が高まっており、個人情報の漏えいやプライバシーの侵害について多くの人が不安を感じています。
こうした状況に鑑みて、改正個人情報保護法では個人の権利保護を強化する内容が盛り込まれています。
具体的には以下のとおりです。
個人の権利保護強化の例1|利用停止・消去等の請求権が拡充される
ユーザーは個人情報保護法に基づき、個人情報取扱事業者に対して、自分の個人情報の利用停止や削除を求めることができます。
現行法では、同法に違反している場合に限って、ユーザーは個人情報の利用停止または削除を請求できます。
一方、改正法では以下のような場合に個人情報の利用停止や削除を求めることができます。
- 利用する必要がなくなった場合
- 重大な漏えい等が発生した場合
- 本人の権利または正当な利益が害されるおそれがある場合
個人の権利保護強化の例2|保有個人データの開示方法がデジタル化される
ユーザーは事業者に対して、自分の「保有個人データ」の開示請求ができます。
保有個人データとは、個人情報取扱事業者が開示・訂正等の権限を有する個人データのことです。
現行法では、保有個人データの開示は原則として書面で行わなければなりません。
一方、改正法が施行されると、ユーザーはデジタルデータでの開示を請求できるようになります。
個人の権利保護強化の例3|第三者提供記録の開示が可能になる
個人情報取扱事業者は第三者提供記録の作成・保存する義務があります(2017年施行の改正個人情報保護法で義務化)。
個人情報取扱事業者は、個人情報を第三者に提供する場合、いつ・誰に提供したかを記録しておかなければなりません。
2022年4月の個人情報保護法改正に伴い、ユーザーは第三者記録の開示を請求できるようになります。第三者記録の開示を受けることで、ユーザーは自分の個人情報がいつ・誰に提供されているかを把握できるようになるのです。
個人の権利保護強化の例4|短期保存データも保有個人データになる
企業がユーザーから収集した個人データの中には、短期的な保持を目的としたものもあるでしょう。
現行法では、6か月以内に削除される短期保有データは保有個人データに該当しません。
一方で改正個人情報保護法では、短期保有データは保有個人データに含まれます。
すぐに削除されるデータであっても、ユーザーからの開示請求や利用停止請求があれば、企業は対応する必要が出てくるのです。
個人の権利保護強化の例5|オプトアウトの規定が厳格化される
個人データを第三者に提供するときは、原則として本人の同意が必要です。
ただし、所定の事項を本人に通知する、または、本人が知り得る場所に掲載する場合は、本人の同意を得ることなく個人データを第三者に提供できます。
これを「オプトアウト規定」と呼びます。
前回の個人情報保護法改正では、オプトアウト時の個人情報保護委員会への報告義務が新設されました。また、要配慮個人情報のみがオプトアウトの対象外でした。
今回の改正では、第三者に提供できる個人データの範囲が制限されます。不正に取得された個人データやオプトアウト規定に基づいて提供された個人データは、オプトアウトによって第三者に提供することができなくなります。
ポイント2. 事業者の責務の追加
今回の改定では、個人情報を取り扱う事業者が遵守すべき責任が追加されました。
具体的には、以下の2つです。
漏えい発生時の報告義務
現行法では、個人情報の漏えいが発生した場合、個人情報保護委員会への報告は努力義務とされています。
一方、改正個人情報保護法では、漏えいにより本人の権利利益が侵害されるおそれが大きい場合、報告が義務化されます。
また、本人への通知も、現行法では義務化されていませんが、改正法では義務化されます。
不適正利用の禁止
現行法では、個人情報を適切に取得することは義務づけられていますが、その利用については明確な規定がありません。
一方で、今回の改正において「違法又は不当な行為を助長し、又は誘発するおそれがある方法」による個人情報の利用は禁止されました。
ポイント3. 部門別認定個人情報保護団体を新設
個人情報の取り扱いについては、業界団体がガイドラインを策定するなど、自主的な取り組みを行ってきました。
個人情報保護法では、こうした民間団体を「認定個人情報保護団体」として認定するしくみがあります。
現行法では事業所単位で行われているこの認定のしくみ、改正法では部門単位の組織も認定の対象となります。
ポイント4. データの利活用促進
企業にとって、個人情報の利用・活用(利活用)は、ビジネスにおいて大きなメリットをもたらします。
今回の改正法では、事業者の視点に立ったデータの活用を促進するための規定も盛り込まれている点も注目すべきポイントです。
「仮名加工情報」という概念を採り入れる
今回の改正個人情報保護法では、「仮名加工情報」という概念が加わります。
「仮名加工情報」とは、氏名などの個人を特定する情報を削除するなどして仮名化した情報です。
現行法においては、仮名化された個人情報であっても、取得する際には利用目的の特定と公表が必要です。
しかし、改正個人情報保護法では、仮名化された情報の開示・利用請求については、個人情報ほど厳密に取り扱う必要がなくなるのです。
これにより、企業におけるデータ利活用がより行いやすくなります。
第三者提供先において個人データとなることが想定される情報には注意が必要
第三者に情報を提供する場合、提供元では該当しないが提供先では個人情報となることが予想される情報があります。
例えばCookie情報はこれに類します。これらの情報は、改正法では「個人関連情報」と定義されています。
改正法では、このような情報を「個人関連情報」と定義し、個人関連情報を第三者に提供する際には、本人の同意を確認することを義務付けています。
ポイント5. 違反に対するペナルティ強化
今回の改正個人情報保護法では、個人情報保護法違反件数の増加に鑑み、ペナルティが強化されます。
特筆すべきは、法人に対する罰則が強化されたことです。
個人情報保護委員会の命令に違反した場合、現行の30万円以下の罰則だったのが、改正後は1億円以下の罰金となります。
また、個人情報データベースの不正提供の場合、現行の罰則は50万円以下ですが、改正法では1億円以下の罰則となります。
ポイント6. 外国事業者への罰則追加
今回の個人情報保護法改正では、外国人事業者に対する罰則も追加されました。
今後、日本に居住する人の個人情報を取り扱う外国企業などの事業者に対して、報告徴収や立入検査などの罰則が適用されることになります。
個人情報保護法改正が企業に与える影響の例
今回の改正が企業にもたらす影響について、具体例を2つ挙げます。
影響例1|顧客からの開示請求が増える
改正法が施行されると、短期保存データや第三者に提供された記録など、ユーザーが開示請求できる情報の範囲が広がります。
マスメディアなどで個人情報保護法改正についての話題が加熱化することも予想されます。そうなると、ユーザーが個人情報の取り扱いに対する不安が高まるでしょう。
その結果、開示請求の件数が増える可能性があります。スムーズに対応するためには、あらかじめ社内体制構築をおこなう必要があります。
影響例2|情報漏えいに費やす時間やコストが増える
改正個人情報保護法では、個人情報漏洩時の義務が追加されます。情報漏えいが発生した場合は、個人情報保護委員会に報告し、ユーザーに通知しなければなりません。
もちろん、情報漏えいを未然に防ぐのがベストなので、そのための対策見直しや強化が必要でしょう。加えて、万が一に備えた業務フロー見直し・策定もおこなう必要が出てきます。
個人情報保護法改正へ向けた対応策や必要な準備とは?
改正個人情報保護法が全面施行される2022年4月までに、企業が講じるべき対応策を知っておきましょう。
電磁的記録による開示請求への体制整備
改正個人情報保護法が施行されると、ユーザーは自分の個人データをデジタル形式で開示請求できるようになります。
該当する個人データがどこに保管され、どう管理され、どのシステム・サービスとリンクしているのか、いま一度確認しておく必要があります。また、開示請求に迅速に対応できる体制整備も重要です。
Cookie利用の同意取得の仕組み構築
Cookieとは、ユーザーのウェブサイト閲覧履歴情報を保存できるしくみです。
多くの企業がマーケティング目的でクッキーを利用しています。個人情報保護法の改正により、Cookie情報は個人関連情報として位置づけられているため、今後は慎重な取り扱いが求められます。
ウェブサイトにCookie利用に関するポリシーの公表や、Cookie利用バナー(同意管理ツール)を設置するなど、対応が求められます。
権利侵害に対する社内目線合わせと現状把握
事業者が個人データを目的外に利用し、利用者の権利・利益を侵害するおそれがある場合、利用者本人は、その利用または第三者への提供停止を請求できます。
今回の個人情報保護法改正により、ユーザーは第三者への提供記録の開示も請求できるようになりました。ユーザーが第三者への提供の停止を請求した場合、事業運営に大きな支障をきたす可能性があります。
第三者への提供記録について、ユーザーの権利を侵害していないか社内の現状を確認してください。
改正個人情報保護法まとめ
2022年に施行される改正個人情報保護法では、個人の権利・利益を強化する変更点が盛り込まれています。一方で、仮名加工情報の利活用など、企業にとってメリットのある変更点もあります。個人情報の管理を徹底しつつ、データを有効活用する方法を考えてみましょう。