• LegalForce
  • facebook
  • twitter

契約書にまつわる情報メディア 契約ウォッチ

  1. TOP
  2. 法令 個人情報保護法 個人情報
  3. 【施行日未定】 個人情報保護法改正とは?改正点を解説! (新旧対照表つき)
親カテゴリなし法令業界・トピック

【施行日未定】 個人情報保護法改正とは?改正点を解説! (新旧対照表つき)

契約ウォッチ編集部

契約ウォッチ編集部

(公開:2020/09/28)
この記事のまとめ

改正個人情報保護法(施行日未定)のポイントを解説!!

「個人情報の保護に関する法律等の一部を改正する法律」(2020年6月12日公布)では、個人の権利利益の保護などを目的として、個人情報保護法が改正されました。改正ポイントは、6つです。

ポイント1

本人の権利保護が強化される

ポイント2

事業者の責務が追加される

ポイント3

企業の特定分野を対象とする団体の認定団体制度が新設される

ポイント4

データの利活用が促進される

ポイント5

法令違反に対するペナルティが強化される

ポイント6

外国の事業者に対する、報告徴収・立入検査などの罰則が追加される

それぞれのポイントを分かりやすく解説します。
各ポイントの末尾に、改正の要約を載せていますので、手っ取り早く改正の概要を知りたい方は、「改正の要約」のみご覧ください。

※この記事では、法令名を次のように記載しています。

  • 個人情報保護法…改正後の個人情報保護法(平成15年法律第57号)
  • 旧個人情報保護法……改正前の個人情報保護法(平成15年法律第57号)
先生、個人情報保護法が改正されたと聞きました。キャッチアップが大変です。
ムートン先生
そうですね、個人情報保護法は3年ごとに見直される法令ですね。それだけ、個人情報の取扱いに対する社会の関心も高いということです。法務担当者としては、必ず知っておくべき法令の1つといえますね。今から一緒に理解しておきましょう!

改正個人情報保護法(2020年6月公布)とは?

改正の目的

 個人情報保護委員会は、平成27年の個人情報保護法の改正法の制定以来、社会・経済情勢の変化を踏まえて、令和元年1月に示した「3年ごと見直しに係る検討の着眼点」に即し、いわゆる3年ごとの見直しを進めてきました。今回の改正は、3年ごと見直しの過程で、得られた共通の視点を反映したものです。

個人情報保護委員会は、以下の5つの共通の視点を示しています。

①個人の権利利益保護

情報を提供する個人の、自らの情報の取扱いに対する関心や、関与への期待が高まっており、個人情報保護法第1条の目的に掲げている「個人の権利利益を保護」するために必要十分な措置を整備することに配意しながら制度を見直す必要がある。

②保護と利用のバランス

平成27年改正法で特に重視された保護と利用のバランスをとることの必要性は、引き続き重要であり、個人情報や個人に関連する情報を巡る技術革新の成果が、経済成長等と個人の権利利益の保護との両面で行き渡るような制度を目指すことが重要である。

③国際的潮流との調和

デジタル化された個人情報を用いる多様な利活用が、グローバルに展開されており、国際的な制度調和や連携に配意しながら制度を見直す必要がある。

④外国事業者によるリスク変化への対応

海外事業者によるサービスの利用や、国境を越えて個人情報を扱うビジネスの増大により、個人が直面するリスクも変化しており、これに対応する必要がある。

⑤AI・ビッグデータ時代への対応

AI・ビッグデータ時代を迎え、個人情報の活用が一層多岐にわたる中、本人があらかじめ自身の個人情報の取扱いを網羅的に把握することが困難になりつつある。このような環境の下で、事業者が個人情報を取り扱う際に、本人の権利利益との関係で説明責任を果たしつつ、本人の予測可能な範囲内で適正な利用がなされるよう、環境を整備していくことが重要である。

今回の改正は、このような共通の視座を反映するために行われたものです。

公布日・施行日

改正の根拠となる法令名は、「個人情報の保護に関する法律等の一部を改正する法律」です。 公布日と施行日は、次のとおりです。

公布日・施行日

公布日│2020年6月12日

施行日│公布の日から起算して2年を超えない範囲において政令で定める日(2022年6月12日まで)

※ただし、ポイント5(法令違反に対するペナルティの強化)については、公布の日から起算して6月を経過した日(2020年12月12日まで)

個人情報保護法改正の概要

改正のポイントは、以下6点です。以下、それぞれ解説します。

・ポイント1│本人の権利保護が強化される
・ポイント2│事業者の責務が追加される
・ポイント3│企業の特定分野を対象とする団体の認定団体制度が新設される
・ポイント4│データの利活用が促進される
・ポイント5│法令違反に対するペナルティが強化される
・ポイント6│外国の事業者に対する、報告徴収・立入検査などの罰則が追加される

改正のポイント

ポイント1│本人の権利保護が強化される

次の4点について、個人情報の本人の権利が強化されました。
・短期保有データの保有個人データ化
・保有個人データの開示請求のデジタル化
・利用停止・消去請求権、第三者への提供禁止請求権の要件緩和
・個人データの授受についての第三者提供記録の開示請求権
以下、それぞれ解説します。

短期保有データの保有個人データ化

旧法では、6 か月以内に消去されるデータは、「保有個人データ」に含まれないとされていました。すなわち、旧法では、保有個人データについて、「1年以内の政令で定める期間内に消去することとなるもの」とされていました(旧法2条7項)。そして、政令で定める期間とは、6月となっていたのです(施行令5条)。

保有個人データとは、どのような個人情報でしょうか?
ヒツジ
ムートン先生
保有個人データとは、個人情報取扱事業者が、開示・訂正・利用停止等の権限を有する個人データのうち、一定の除外事由にあてはまらないものです。旧法では、6か月以内に消去されるものが除外事由となっていたのです。個人情報取扱事業者は、保有個人データについて、本人への開示義務・訂正義務・利用停止に応じる義務などを負います。

しかしながら、短期間で消去されるものであっても、消去されるまでの間に漏えい等が発生し、それが瞬時に拡散する危険が現実となってきています。

そこで、今回の改正において、旧法の「又は一年以内の政令で定める期間以内に消去することとなるもの」という文言が削除され、 6か月以内に消去される短期保有データについても「保有個人データ」に含めることなりました。

もっとも、旧法下においても、プライバシーマークにおいて審査基準とされている「JIS Q 15001個人情報保護マネジメントシステム」において、6か月以内に削除されるデータも、開示などに対応することが定められておりました。そのため、プライバシーマークを遵守している場合は、改正による影響はあまりないものといえます。

改正点の要約

旧法│6 か月以内に消去する短期保存データは、「保有個人データ」含まれない。
新法│「保有個人データ」に含まれるようになる。

保有個人データの開示請求のデジタル化

旧法においても、本人は、保有個人データの開示を求めることができます。しかしながら、書面による交付が原則とされていました(旧個人情報保護法施行令9条)。

しかし、情報技術の進展により、情報量によっては膨大で書面による交付が適さない場面があります。とくに、動画や音声データの場合は、その内容自体を書面に再現することが困難です。このような場合、本人の側では保有個人データがいかなる内容のものか把握することも困難であり、訂正や利用停止等の請求を行うことが困難なケースがありました。

そこで、今回の改正により、 電磁的記録による方法による開示請求 を認めました。すなわち、本人は、保有個人データの開示を求める場合、開示方法を指示できるようになりました(個人情報保護法28条1項)。事業者側は指定された方法で開示を行う必要があります(同法28条2項)。

一方で、事業者の負担軽減の観点より、本人が指定した方法による開示が困難であるような場合(その方法による開示に多額の費用を要するような場合など)にあっては、書面の交付による方法での開示も認められています(同法28条2項かっこ書き)。この場合、本人に対し遅滞なくその旨を通知する必要があります(同法28条3項)。

改正点の要約

旧法│電磁的記録によって、保有個人データを開示することは想定されていなかった。
新法│本人は、電磁的記録と書面のいずれかの開示方法を選択できる。ただし、電磁的記録で開示すると、多額の費用がかかるときなどは、書面による開示も認められる。その場合、本人に通知が必要。

利用停止・消去請求権、第三者への提供禁止請求権の要件緩和

今回の改正では、本人が、保有個人データの利用停止・消去・第三者への提供の停止を請求できる要件を緩和し、本人の権利保護をより図りました(個人情報保護法30条)。

旧法では、保有個人データの本人が、利用停止・第三者への提供の停止・消去を請求できる場面は、次の2 点に限定されていました(旧個人情報保護法30条1項)。
・個人情報を目的外利用したとき(同法16条違反のとき)
・不正の手段により取得したとき(同法17条違反のとき)

また、第三者の提供の停止を請求できる場面は、次の2点に限定されていました(同法30条3項)。 ・第三者への提供の制限に違反したとき(同法23条1項違反のとき) ・外国にある第三者への提供の制限に違反したとき(同法24条違反のとき)

しかしながら、「相談ダイヤルに寄せられる意見や、タウンミーティングにおける議論において、消費者からは、自分の個人情報を事業者が利用停止又は消去等を行わないことへの強い不満がみられる」(改正大綱P.8)といった事情があったことから、今回の改正では、より広く利用停止等に関する個人の権利を拡大する方向で改正の検討が行われました。

そこで、本人が、個人保有データの利用停止・消去・第三者提供の停止を請求できる場面を拡大することにし、利用停止・消去・第三者提供の停止の要件の緩和が行われました。すなわち、新法では、 本人は、次のような3つの場面においても、利用停止・消去・第三者提供の停止を請求できるようになりました(個人情報保護法30条5項)。 ①個人情報取扱事業者が、保有個人データを利用する必要がなくなったとき ②保有個人データの漏えい等が生じたとき ③その他、保有個人データの取扱いにより、本人の権利利益が害されるおそれがあるとき

一方で、事業者側の負担軽減の観点より、利用停止等の措置、第三者への提供停止を行うことが困難な場合であって、かつ、本人の権利利益が保護されるような代替措置が取られているような場合には、利用停止等の措置を行う必要がないことも定められました。本人の権利保護を図りつつ、事業者側の負担をも考慮した規定になっています。

改正点の要約

利用停止・消去請求について

旧法│利用停止・消去請求ができる場合は、次の2点に限定されていた。
・個人情報を目的外利用した場合(16)
・不正の手段により取得した場合(17)
新法│次の場合も、請求できるようになった。
・保有個人データを、事業者が利用する必要がなくなった場合
・保有個人データの漏えい等が生じた場合(22Ⅰ)
・その他、保有個人データの取扱いにより、本人の権利利益が害されるおそれがある場合


第三者提供の停止請求について

旧法│第三者提供の停止請求ができる場合は、以下に限定されていた。
・法に違反して第三者提供されている場合(23Ⅰ、24Ⅰ違反)
新法│次の場合も請求できるようになった。
・保有個人データを、事業者が利用する必要がなくなった場合
・保有個人データの漏えい等が生じた場合(22Ⅰ)
・その他、保有個人データの取扱いにより、本人の権利利益が害されるおそれがある場合

個人データの授受についての第三者提供記録の開示請求権

旧法では、本人は、事業者が記録した第三者提供記録を開示請求できませんでした。

「第三者提供記録」とは、どのようなものでしょうか?
ヒツジ
ムートン先生
個人情報取扱事業者は、個人データを第三者に提供する際に、法令で定められた記録を作成しなければなりません。また、第三者提供を受ける者も、同じく、法令で定められた記録を作成しなければなりません。このように、個人データの第三者提供に係る記録(同法25条1項)と個人データの第三者提供を受ける際の確認の記録(同法26条3項)のことをあわせて、「第三者提供記録」といいます。

なぜ、このような第三者提供記録が作成されていたかというと、これらの記録は、①不正の手段によって取得された個人情報が転々流通することを防止し、また、②記録の作成・保存の義務により、個人情報の流通に係るトレーサビリティの確保を図ることが期待されているからです。

しかしながら、これらのトレーサビリティの確保については不正な手段による情報の流通を防止する監督機関からのトレーサビリティであり、個人情報の本人における追跡可能性を考慮したものではなく、消費者側からの個人情報の取得元の開示を求める声が高まっていました。

そこで、今回の改正により、本人は、第三者提供記録の開示を請求できることになりました。すなわち、開示に関する28条1項から3項までの規定について、25条1項と26条3項により作成される第三者提供記録記録について準用するとしており、開示の対象にしています(個人情報保護法28条5項)。なお、「その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの」は開示の対象から除かれます(同法28条5校かっこ書)。

改正点の要約

旧法│本人は、事業者が記録した第三者提供記録を開示請求できなかった。
新法│これが、できるようになった。

ポイント2│事業者の責務が追加される

事業者の責務が追加された事項は、次の2点です。
・漏えい時の報告義務
・不適正な利用の禁止

漏えい時の報告義務

今回の改正においては、事業者の責務として、漏えい等の事態発生時における、個人情報保護委員会に対する報告義務が新たに追加されました(個人情報保護法22条の2)。 

旧法では、漏えい等の事態が発生した場合、事業者が、個人情報保護委員会に報告する法的義務はありませんでした。しかしながら、諸外国では、漏えい等が発生した際には報告が義務とされている国も多く、国際的な議論の潮流からしても漏えい時の報告について各国当局での情報共有を目指して議論が行われている一方で、日本においては制度上努力義務にとどまっており、企業の個別対応に委ねる状況でした。報告義務が法的義務ではないにも関わらず、多くの企業では漏えい等が起きた際の報告がなされている一方で、一部の事業者は報告について消極的で、個人情報保護委員会の方で漏えい事案等を把握できない状況になっていました。このような状況を受けて、今回の改正においては賛否共に多くの声が寄せられながらも漏えい等が発生した際の報告を義務化しました。

個人情報取扱事業者は、「その取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたとき」、に「個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を個人情報保護委員会に報告しなければならない」とされています(同法22条の2)。ただし、他の個人情報取扱事業者から個人データの取り扱いの委託を受けた場合で、漏えい等の事態が発生した旨を受託した事業者に通知すれば、このような義務は免除されるものとされています(同法22条の2第1項)。

また、個人情報取扱事業者は、漏えい等の事態が発生した際には、本人に通知する義務も課されます(同法22条の2第2項)。ただし、本人への通知が困難かつ本人の権利利益の保護のために必要な代替措置をとっている場合には、このような通知義務が免除されます(同法22条の第2項ただし書)。

本人への通知が困難である場合は、具体的にどのような場合でしょうか?また、「代替措置」にはどのようなものが考えられますか?
ヒツジ
ムートン先生
「本人への通知が困難」とは、たとえば、本人の連絡先をもっていない場合は、古い連絡先しかもっていない場合が想定されます。「代替措置」としては、公表して問い合わせに応じるなどの方法をとることが考えられます。
改正点の要約

旧法│個人情報の漏えい時の報告は努力義務であった(告示2の5)。
新法│個人情報保護規則で定める漏えい事故が発生したときは、個人情報保護委員会に報告し、本人に通知することが義務付けられた(22条の2)。ただし、本人への通知が困難かつ本人の権利利益の保護のために必要な代替措置をとっている場合には、このような通知義務が免除される。

不適正な利用の禁止

今回の改正では、事業者は、個人情報の不適正な利用を行わない義務が追加されました(個人情報保護法16条の2)。

旧法では、違法・不当な行為を助長・誘発するおそれがある方法によって、個人情報を利用した場合について定めがありませんでした。そのため、違法ではないにしても、違法・不当な行為の助長・誘発につながる個人情報の利用や取得が見られ、個人データの本人の権利利益の保護の観点から看過しがたいような事態が発生していたことが問題になりました。

とくに、 提供先において個人データとなる個人情報の扱いについて不適正なものとみられる例がありました。提供元と提供先で個人データの共有が行われる結果、提供元が、提供先において個人情報となることを知りながら提供元においては個人が特定できないものとして、本人の同意なくデータを第三者提供するような事例が存在していました。たとえば、DMP(Data Management Platform)と呼ばれるプラットフォームの普及に伴い、提供元においては特定できないものの、提供先において他の情報と符合することにより個人が特定できるようになり、この結果、個人情報ではないデータを、提供先において個人データとなることを知りながら同意なく提供するという旧法23条の趣旨を潜脱するようなスキームが横行することになり問題となっていました。また、リクナビ問題のような不適正なデータ利用も問題となっていました。

このような流れを受け、今回の改正では、個人情報取扱事業者が不適正な方法で個人情報を利用することを禁止しました。この禁止事項した場合、利用停止等(新法30条)の対象になることから、抑止効果を期待できます。

改正点の要約

旧法│違法・不当な行為を助長・誘発するおそれがある方法によって、個人情報を利用した場合について定めがなかった。
新法│このような行為は、法令違反となり、行政処分の対象となる。

ポイント3│企業の特定分野を対象とする団体の認定団体制度が新設される

旧法では、認定個人情報保護団体は、対象事業者の個人情報等の取扱い全般を行うものとされており、特定の事業のみを対象とする取扱いを行うことはできませんでした。今回の改正では、特定の事業のみを対象とすることができるようになった。

「認定個人情報保護団体」とは、どのような制度なのでしょうか?
ヒツジ
ムートン先生
個人情報保護法では、個人情報保護委員会の他に、民間団体を利用した情報保護を図っており、認定団体制度を設けています。認定団体は、民間事業者による自主時取り組みを促し、情報保護のレベルを高めることを狙った制度です。

一部の認定個人情報保護団体は、積極的に事業者を指導・支援したり、独自の保護ルールを設けたりと成果を挙げていました。他方で、インターネット関連サービス業などの多様な業態が存在する業界では、業界団体に加入していない事業者が多く、業界団体を中心として構成される認定団体への加入率が低いという課題がありました。これは、認定団体は、事業者の個人情報等の取り扱い全般を対象とすることとされており、特的の事業のみを対象とすることは認められていないことが一つの原因であるとされていました。

そこで、今回の改正では、このような課題に対応する形で、 事業単位での認定団体を認めることとされました。今後は、事業単位での認定が進むことにより、さらに認定団体の活用が進み、民間による自主的な取り組みが促進されることが期待されます。

改正点の要約

旧法│認定個人情報保護団体は、対象事業者の個人情報等の取扱い全般を行うものとされていた。
新法│特定の事業のみを対象とすることができるようになった。

ポイント4│データの利活用が促進される

データの利活用を促進する観点では、次の2点が改正されました。
・仮名加工情報について義務を緩和
・提供先で個人データとなることが想定される場合の確認義務を新設

仮名加工情報について義務を緩和

旧法では、事業者は、自社内部で利用するために、個人を特定できないデータに変換した場合、変換後のデータも個人情報にあたるため、以下の対応をしなければなりませんでした。
・利用目的を特定(個人情報保護法15条)
・目的外利用の禁止(同法16条)
・取得時の利用目的の公表(同法18条)
・データ内容の正確性の確保(同法19条)

たとえば、事業者の中には、組織内部でパーソナルデータを取り扱うにあたり、安全管理措置の一環として、個人を特定できないように加工して、データの利活用を行う例がみられます。このような情報の利活用は、個人の権利利益の侵害のおそれは低いにもかかわらず、通常の個人情報と同様に取り扱わなければなりません。また、EUでは、個人情報よりも、やや緩やかな扱いを認める仮名化の制度が存在しており、経済界からは、EUのような仮名化された情報に関する制度をつくることが要望されていました。

そこで、個人の権利保護と企業のイノベーションを促進する観点から、このような仮名化された情報の利用に向けた制度を整備することにしました。すなわち、改正により、データの利活用を促進するため、 「仮名加工情報」という新しい概念をつくりました。そのうえで、「仮名加工情報」については、通常の個人情報のルールよりも緩和することとしました。

「仮名加工情報」とは、どのような情報でしょうか?
ヒツジ
ムートン先生
「他の情報と照合しない限り、特定の個人を識別することができないように個人情報を加工して得た個人に関する情報」と定められていますよ。改正された個人情報保護法2条9項をご覧ください。

改正された条項について、解説します。
「仮名加工情報」に関する規定は、新個人情報保護法35条の2以降の、第4章2節以下にあります。仮名加工情報は、新法2条9項で定義されています。仮名加工情報は、①2条1項1号の1号個人情報と2条1項2号の2号個人情報について、2条9項1号・2号の措置が講じられて、②他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報をいう、とされています(個人情報保護法2条9項柱書)。仮名加工情報における加工方法・水準については、個人情報保護法35条の2において示されています。

「仮名加工情報」にあたる場合、事業者は、個人情報保護法の一定のルールの適用を免れることになります。仮名加工情報、仮名加工情報である個人データおよび仮名加工情報である保有個人データについては、漏えい等の報告義務(同法22条の2)や、開示(同法28条)、利用停止等(同法30条)の制度の適用対象外となります(同法35条の2第9項)。このように、仮名加工情報にあたる場合、一定の事業者の義務が免除されることになり、負担軽減につながることとなります。

提供先で個人データとなることが想定される場合の確認義務を新設

旧法では、提供元では個人情報ではないものの、提供先で個人データとなることが想定される場合の規制はありませんでした。改正により、このような場合に、提供側は、提供先に、本人同意が得られているか等の確認義務を負うことになりました。

すなわち、今回の改正では、「個人関連情報」という情報類型が追加されました。個人関連情報とは、たとえば、CookieやIPアドレスのような識別子情報があげられます。これらの情報は、旧法下では個人情報に該当せず、個人データにも該当しないものでしたが、改正により、個人関連情報として一定の規制の下におかれることになりました。すなわち、第三者に提供する際に、個人関連情報を提供先が個人データとして取得することが想定される場合に提供元・提供先それぞれで義務が課されることになります。

旧法下では、CookieやIPアドレスのような情報は個人情報として扱われていませんでした。しかし、旧法下では個人情報として取り扱われていなかったことを利用した不適正なデータ利用が見られる例がありました。CookieやIPアドレスのような情報は、他の情報と照合することにより容易に特定の個人を識別することができる場合があります。

DMPと呼ばれるプラットフォームが普及してきている中、個人情報ではないデータを、提供先において他の情報と照合することにより個人情報とされることをあらかじめ知りながら他の事業者の提供するような事例が見られていました。代表的な例としてあげられるのがリクナビ問題です。リクルート社は、登録者の内定辞退率について、特定の個人を識別しないような方式で算出した上で、第三者提供にかかる同意を得ないまま利用企業に提供していました。特定の個人を識別しないような方式で算出されており、個人データとはならず第三者提供の同意は必要ないことになります。しかし、提供されたデータは、提供先において特定の個人を識別できるようなものとなっていました。そして、リクルート社は提供先の企業が、提供されたデータから特定の個人を識別することを知った上でデータを提供していました。個人情報保護委員会の勧告には、このようなスキームは、第三者提供に関する旧個人情報保護法23条の趣旨を潜脱するものと示されていました。

今回の改正では、このような提供元においては個人情報には該当しないものの、提供先においては個人データとして扱われることが予想されるような場合に、個人の権利利益の保護を図るために規制を課しました。

改正された条項を解説します。新個人情報保護法26条の2は、個人関連情報取扱事業者(提供元)と第三者(提供先)に対して、それぞれに義務を課しました。

まず、個人関連情報取扱事業者は、①提供先の第三者が、個人関連情報を個人データとして取得することが想定される場合には、②個人情報保護委員会規則に定める確認を提供する第三者に行わないまま、個人関連情報を第三者に提供してはならない旨が、定められました(同法26条の2第1項本文)。CookieやIPアドレス等の個人関連情報が、提供先で個人データとして用いられることが想定される場合に、個人関連情報取扱業者の第三者への確認義務を課したものです。この他にも、個人関連情報を取扱う事業者は、記録の作成・保存義務(新法26条の2第3項・新法26条3項、4項)などの義務を課されます。

また、提供先も、個人関連情報を取得する際には、本人の同意を取得しなければなりません(同法26条の2第1項1号)。なお、外国にある第三者の場合には新法26条の2第1項2号、新法26条の2第2項の準用する新法24条3項がそれぞれ適用されます。

以上のように、今回の改正では個人関連情報を新たに設けられ、提供元においては個人情報ではないものの、提供先において個人データとして使用されるリクナビ問題のような事例の抑止が期待されています。

ポイント5│法令違反に対するペナルティが強化される

ペナルティが強化されたのは、以下の2点です。
・措置命令・報告義務違反の罰則について法定刑を引き上げた
・法人の代表者に対する罰金刑を引き上げた強化

措置命令・報告義務違反の罰則について法定刑を引き上げた

今回の改正において、措置命令・報告義務違反の罰則について法定刑が引き上げられました。これにより、制裁の実効性が上がり、命令違反や虚偽報告の抑止が期待されます。
個人情報保護法83条は、42条2項・3項違反(個人情報保護委員会の措置命令)に違反した場合には、1年以下の懲役又は100万円以下の罰金に処することを定めました。旧法下では、42条2項・3項に違反した場合には6月以下の懲役又は30万円以下の罰金(旧個人情報保護法84条)であり、今回の改正で重罰化が行われたことになります。
また、個人情報保護法85条は、同法40条1項および同法56条の規定に違反した場合の法定刑について、50万円以下の罰金としました。虚偽報告等の報告義務違反に対応した罰則であり、旧法では30万円以下の罰金であったところ、今回の改正により重罰化がなされました。

改正点の要約

旧法│罰則は、それぞれ以下のとおりであった。
・措置命令(42Ⅱ、Ⅲ)の違反の罰則︓6 か月以下の懲役又は30 万円以下の罰金
・報告義務(40)違反の罰則︓30 万円以下の罰金
新法│それぞれ以下のとおり強化された。
・措置命令(42Ⅱ、Ⅲ)違反の罰則︓1 年以下の懲役又は100 万円以下の罰金
・報告義務(40)違反の罰則︓50 万円以下の罰金

法人の代表者に対する罰金刑を引き上げた

今回の改正においては、重罰化による抑止効果期待を目指し、法人の代表者に対する罰金刑を引き上げました。個人情報保護法87条1項は、法人に対して同法87条1項各号に掲げる罰金を科すとしました。旧法の下では、法人に対する罰金の額については行為者等と同じ法定刑でした。しかし、改正により、同法83条および同法84条に違反した場合には1億円以下の罰金とし、法人への高額な罰金制度を導入しました。

改正点の要約

旧法│法人の代表者等が①措置命令版(83)、②個人情報データベース等不正流用(84)をした場合、各条の罰金刑(100 万円以下/50 万円以下)が課せられた。
新法│これらの者の罰金刑を1 億円以下に引き上げた。

ポイント6│外国の事業者に対する、報告徴収・立入検査などの罰則が追加される

個人情報保護法74条は、外国の事業者への域外適用について示したものです。今回の改正では、域外適用の範囲が変更されました。

すなわち、外国の事業者も、罰則によって担保された報告徴収・命令の対象となることになりました。旧法の下では、報告徴収や立入検査、命令に関する規定が外国の事業者に対して認められていませんでした。このため、個人情報保護委員会の行使できる権限は指導や助言、勧告のような強制力を伴わないものでした。

今回の改正により、強制力を持ち罰則により担保された報告徴収・命令の対象になることが新法75条により定められ、より実効的な権利保護ならびに執行の確保が期待されます。

改正点の要約

旧法│日本国内にある者の個人情報を取り扱う外国事業者に対して、委員会は、報告徴収・立入検査(40)などの強制力を伴う権限はなく、指導・勧告に限られた。
新法│報告徴収・立入検査などの強制力を伴う権限を行使できる。


【解説つき】改正前と改正後の条文を新旧対照表で比較

それでは、改正点について、条文を確認しましょう。解説つきの新旧対照表をご用意しました。 以下のページからダウンロードできます。

新旧対照表のダウンロードはこちらから

 個人情報保護法の新旧対照表 (解説つき)

ムートン先生
ぜひ、業務のお供に!ご活用いただけると嬉しいです!

〈サンプル〉
新旧対照表
新旧対照表

参考文献

関連キーワード

関連記事

無料資料ダウンンロード