【2022年4月施行】 個人情報保護法改正とは?改正点を解説! (新旧対照表つき)
COPY LINKリンクをコピーしました。
改正個人情報保護法(2022年4月施行)のポイントを解説!!
「個人情報の保護に関する法律等の一部を改正する法律」(2020年6月12日公布)では、個人の権利利益の保護などを目的として、個人情報保護法が改正されました。改正ポイントは、6つです。
ポイント1
本人の権利保護が強化される
ポイント2
事業者の責務が追加される
ポイント3
企業の特定分野を対象とする団体の認定団体制度が新設される
ポイント4
データの利活用が促進される
ポイント5
法令違反に対するペナルティが強化される
ポイント6
外国の事業者に対する、報告徴収・立入検査などの罰則が追加される
それぞれのポイントを分かりやすく解説します。
各ポイントの末尾に、改正の要約を載せていますので、手っ取り早く改正の概要を知りたい方は、「改正の要約」のみご覧ください。
新旧対照表のダウンロードはこちらから
※この記事では、法令名を次のように記載しています。
- 個人情報保護法…改正後の個人情報保護法(平成15年法律第57号)
- 旧個人情報保護法…改正前の個人情報保護法(平成15年法律第57号)
【目次】
改正個人情報保護法(2020年6月公布)とは?
改正の目的
個人情報保護委員会は、平成27年の個人情報保護法の改正以来、社会・経済情勢の変化を踏まえて、令和元年1月に示した「3年ごと見直しに係る検討の着眼点」に即し、3年ごとに個人情報保護法の見直しを進めてきました。今回の改正は、3年ごと見直しの過程で、得られた共通の視点を反映したものです。
個人情報保護委員会は、以下の5つの共通の視点を示しています。
①個人の権利利益保護
情報を提供する個人の、自らの情報の取扱いに対する関心や、関与への期待が高まっており、個人情報保護法第1条の目的に掲げている「個人の権利利益を保護」するために必要十分な措置を整備することに配意しながら制度を見直す必要がある。
②保護と利用のバランス
平成27年改正法で特に重視された保護と利用のバランスをとることの必要性は、引き続き重要であり、個人情報や個人に関連する情報を巡る技術革新の成果が、経済成長等と個人の権利利益の保護との両面で行きわたるような制度を目指すことが重要である。
③国際的潮流との調和
デジタル化された個人情報を用いる多様な利活用が、グローバルに展開されており、国際的な制度調和や連携に配意しながら制度を見直す必要がある。
④外国事業者によるリスク変化への対応
海外事業者によるサービスの利用や、国境を越えて個人情報を扱うビジネスの増大により、個人が直面するリスクも変化しており、これに対応する必要がある。
⑤AI・ビッグデータ時代への対応
AI・ビッグデータ時代を迎え、個人情報の活用が一層多岐にわたる中、本人があらかじめ自身の個人情報の取扱いを網羅的に把握することが困難になりつつある。このような環境の下で、事業者が個人情報を取り扱う際に、本人の権利利益との関係で説明責任を果たしつつ、本人の予測可能な範囲内で適正な利用がなされるよう、環境を整備していくことが重要である。
今回の改正は、このような共通の視点を反映するために行われたものです。
公布日・施行日
改正の根拠となる法令名は、「個人情報の保護に関する法律等の一部を改正する法律」です。 公布日と施行日は、次のとおりです。
公布日│2020年6月12日
施行日│2022年4月1日
※ただし、改正のポイント5(法令違反に対するペナルティの強化)については、2020年12月12日施行
個人情報保護法改正の概要
改正のポイントは、以下6点です。以下、それぞれ解説します。
・ポイント1│本人の権利保護が強化される
・ポイント2│事業者の責務が追加される
・ポイント3│企業の特定分野を対象とする団体の認定団体制度が新設される
・ポイント4│データの利活用が促進される
・ポイント5│法令違反に対するペナルティが強化される
・ポイント6│外国の事業者に対する、報告徴収・立入検査などの罰則が追加される
改正のポイント
ポイント1│本人の権利保護が強化される
次の4点について、本人の権利保護が強化されました。
・短期保有データの保有個人データ化
・保有個人データの開示請求のデジタル化
・利用停止・消去請求権、第三者への提供禁止請求権の要件緩和
・個人データの授受についての第三者提供記録の開示請求権
以下、それぞれ解説します。
短期保有データの保有個人データ化
個人情報保護法では「保有個人データ」を定義していますが、旧法では、6か月以内に消去されるデータは、「保有個人データ」に含まれないとされていました。
すなわち、旧法では、保有個人データについて、「個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって」、「その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの」または「1年以内の政令で定める期間内に消去することとなるもの」以外のもの、と定義されていました(旧個人情報保護法2条7項)。そして、「1年以内の政令で定める期間」とは、6か月とされていました(旧個人情報保護法施行令5条)。
しかしながら、短期間で消去されるものであっても、消去されるまでの短い間に漏えいなどが発生すれば、それが瞬時に拡散し、本人によっては回復困難な損害が生じる可能性もあります。
そこで、今回の改正では、旧個人情報保護法2条7項の「又は一年以内の政令で定める期間以内に消去することとなるもの」という文言が削除され、これにより、 6か月以内に消去される短期保有データについても「保有個人データ」に含まれることになりました。
もっとも、旧法下においても、プライバシーマークの審査基準とされている「JIS Q 15001個人情報保護マネジメントシステム」においては、6か月以内に削除されるデータも開示請求などに対応すること、が定められておりました。そのため、プライバシーマークを遵守している場合は、改正による影響はあまりないものといえます。
旧法│6か月以内に消去する短期保存データは、「保有個人データ」に含まれない。
新法│6か月以内に消去する短期保存データも、「保有個人データ」に含まれるようになる。
保有個人データの開示請求のデジタル化
本人は、個人情報取扱事業者に対して、保有個人データの開示を請求することができます(旧個人情報保護法28条)。請求を受けて、個人情報取扱事業者は、原則として保有個人データを開示しなくてはなりませんが、この開示は、書面による交付が原則とされていました(同法28条2項、同法施行令9条)。
しかし、情報量が膨大である場合、書面による交付が適さない場面があります。また、保有個人データが動画や音声データのように、そもそも書面による交付に適さないデータもあります。
そこで、開示請求で得た保有個人データの利用等における本人の利便性向上の観点から、今回の改正により、本人は、電磁的記録の提供による方法など、「本人の指定する方法による開示」を請求することができることになり(個人情報保護法28条1項)、個人情報取扱事業者は、本人が請求した方法によって開示する義務を負うとされました(同法28条2項)。
一方で、事業者の負担軽減の観点より、その方法による開示に多額の費用を要するような場合など、本人が指定した方法による開示が困難であるような場合は、書面の交付による方法での開示も認められています(同法28条2項かっこ書き)。
旧法│個人情報取扱事業者による保有個人データの開示は、原則として書面の交付による方法とされている。
新法│本人は、電磁的記録の提供による方法など個人情報取扱事業者の開示方法を指定でき、個人情報取扱事業者は、原則として本人が請求した方法によって開示する義務を負う。
利用停止・消去請求権、第三者への提供禁止請求権の要件緩和
今回の改正では、本人が、保有個人データの利用停止・消去・第三者への提供の停止を請求できる要件を緩和し、本人の権利保護をより強化しました。
まず、旧法では、本人が、保有個人データの利用停止・消去を請求できる場面は、次の場合に限定されていました(旧個人情報保護法30条1項)。
・個人情報を目的外利用したとき(同法16条違反のとき)
・不正の手段により取得したとき(同法17条違反のとき)
また、第三者の提供の停止を請求できる場面は、次の場合に限定されていました(同法30条3項)。
・本人の同意なく第三者に提供した場合(同法23条1項違反のとき)
・本人の同意なく外国にある第三者に提供した場合(同法24条違反のとき)
新法では、 本人は、次のような3つの場面においても、利用停止・消去・第三者提供の停止を請求できるようになりました(個人情報保護法30条5項)。
①個人情報取扱事業者が、保有個人データを利用する必要がなくなったとき
②保有個人データの漏えい等が生じたとき
③その他、保有個人データの取扱いにより、本人の権利又は正当な利益が害されるおそれがあるとき
一方で、事業者側の負担軽減の観点より、利用停止等の措置を行うことが困難な場合であって、かつ、本人の権利利益が保護されるような代替措置が取られているような場合には、利用停止等の措置を行う必要がないことも定められました(個人情報保護法30条6項ただし書)。本人の権利保護を図りつつ、事業者側の負担をも考慮した規定になっています。
利用停止・消去請求について
旧法│利用停止・消去請求ができる場合は、次の場合に限定されていた。
・個人情報を目的外利用した場合(旧個人情報保護法16条)
・不正の手段により取得した場合(同法17条)
新法│次の場合も、請求できるようになった。
・違法又は不当な行為を助長し又は誘発するおそれがある方法で利用した場合
・保有個人データを、事業者が利用する必要がなくなった場合
・保有個人データの漏えい等が生じた場合(個人情報保護法22条1項)
・その他、保有個人データの取扱いにより、本人の権利利益が害されるおそれがある場合
第三者提供の停止請求について
旧法│第三者提供の停止請求ができる場合は、次の場合に限定されていた。
・本人の同意なく第三者に提供した場合(旧個人情報保護法23条1項)
・本人の同意なく外国にある第三者に提供した場合(同法24条1項)
新法│次の場合も請求できるようになった。
・保有個人データを、事業者が利用する必要がなくなった場合
・保有個人データの漏えい等が生じた場合(個人情報保護法22条1項)
・その他、保有個人データの取扱いにより、本人の権利利益が害されるおそれがある場合
個人データの授受についての第三者提供記録の開示請求権
旧法では、本人は、事業者が作成した第三者提供記録の開示請求ができませんでした。
また、第三者提供を受ける者も、同じく、法令で定められた記録を作成しなければなりません。
このように、個人データの第三者提供に係る記録(個人情報保護法25条1項)と個人データの第三者提供を受ける際の確認の記録(同法26条3項)のことをあわせて、「第三者提供記録」といいます。
第三者提供記録の作成を義務付けることによって、①不正の手段によって取得された個人情報が転々流通することを防止し、また、②個人情報の流通に係るトレーサビリティの確保を図ること、が期待されています。
これは、不正な手段による情報の流通を防止するための監督機関によるトレーサビリティであり、本人による追跡可能性を考慮したものではありませんでした。
そこで、今回の改正により、本人は、第三者提供記録の開示を請求できることになりました。
すなわち、本人の開示請求を定めた個人情報保護法28条1項から3項までの規定を、同法25条1項と26条3項に基づき作成される第三者提供記録について準用すると定めており、第三者提供記録が、本人による開示請求の対象となりました(個人情報保護法28条5項)。
なお、「その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの」は開示の対象から除かれます(同法28条5項かっこ書)。
旧法│第三者提供記録は、本人による開示請求の対象ではなかった。
新法│第三者提供記録が、本人による開示請求の対象となった。
ポイント2│事業者の責務が追加される
事業者の責務が追加された事項は、次の2点です。
・漏えい時の報告義務
・不適正な利用の禁止
漏えい時の報告義務
今回の改正で、事業者の責務として、個人データの漏えい等の発生時における、個人情報保護委員会に対する報告義務が新たに追加されました(個人情報保護法22条の2)。
旧法では、個人データの漏えい等の発生時の、個人情報保護委員会に報告する法的義務はありませんでした。しかしながら、諸外国では、漏えい等が発生した際には報告が義務とされている国も多い一方で、日本においては企業の個別対応に委ねる状況でした。このような状況を受けて、今回の改正では漏えい等が発生した際の報告義務が定められました。
個人情報取扱事業者は、「その取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたとき」、に「個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を個人情報保護委員会に報告しなければならない」と定められました(同法22条の2)。
ただし、他の個人情報取扱事業者から個人データの取り扱いの委託を受けた場合は、漏えい等の事態が発生した旨を委託者である事業者に通知すれば、この報告義務は免除されます(同法22条の2第1項)。
また、個人情報取扱事業者は、漏えい等が発生した際には、本人に通知する義務も課されます(同法22条の2第2項)。
ただし、本人への通知が困難かつ本人の権利利益の保護のために必要な代替措置をとっている場合には、通知義務は免除されます(同法22条の第2項ただし書)。
旧法│個人情報取扱事業者による、個人情報の漏えい等の発生時の個人情報保護委員会への報告、本人への通知は法定の義務ではなかった
(「個人データの漏えい等の事案が発生した場合等の対応について」(平成29年個人情報保護委員会告示第1号)告示参照)。
新法│個人情報取扱事業者は、個人情報の漏えい等の発生時は、個人情報保護委員会に報告し、本人に通知する義務を負う(個人情報保護法22条の2)。
不適正な利用の禁止
今回の改正では、個人情報取扱事業者について、個人情報の不適正な利用の禁止が定められました(個人情報保護法16条の2)。
旧法では、個人情報の不適正な利用の禁止、つまり、違法・不当な行為を助長・誘発するおそれがある方法によって個人情報を利用することが、明文で禁止されていませんでした。
そのため、旧個人情報保護法の規定に照らして違法ではないとしても、違法又は不当な行為を助長し、又は誘発するおそれのある方法により個人情報を利用するなど、本法の目的である個人の権利利益の保護に照らして、適切でない方法で個人情報が利用されている事例が存在しました。
このような背景から、今回の改正では、個人情報取扱事業者が不適正な方法で個人情報を利用することが禁止されました。不適正な方法で個人情報を利用した場合、利用停止等(個人情報保護法30条)の対象になります。
旧法│違法・不当な行為を助長・誘発するおそれがある方法による個人情報の利用、について明文で禁止されていなかった。
新法│違法・不当な行為を助長・誘発するおそれがある方法による個人情報の利用、が明文で禁止された。
ポイント3│企業の特定分野を対象とする団体の認定団体制度が新設される
旧法では、認定団体制度は、対象事業者の全ての分野における個人情報等の取扱いを対象とする団体に対して認定を行う制度でした。
今回の改正では、対象事業者の特定の「事業の種類その他業務の範囲」に限定した個人情報の取扱いを対象とする団体を認定することが可能となりました。
個人情報の取扱いに関する苦情の処理、事業者への個人情報の適正な取り扱いに関する情報の提供、などを行う法人などの団体は、個人情報保護委員会の認定を受けて、「認定個人情報保護団体」となることができます。
事業単位での認定団体を認めることによって、さらに認定団体の活用が進み、特定の事業を対象に活動する団体による、専門性を生かした個人情報の保護のための取り組みなどが期待されます。
旧法│認定団体制度は、事業者の全ての分野における個人情報等の取扱いを対象とする団体の認定を行っていた。
新法│認定団体制度において、事業者の特定の事業における個人情報の取扱いを対象とする団体を認定することが可能となった。
ポイント4│データの利活用が促進される
データの利活用を促進する観点からは、次の2点が改正されました。
・「仮名加工情報」について事業者の義務を緩和
・提供先で個人データとなることが想定される場合の確認義務を新設
仮名加工情報について義務を緩和
旧法では、事業者が、自社内部で利用するために、個人情報を加工して個人を特定できない情報に変換した場合でも、変換後の情報も個人情報に該当するため、以下の対応をしなければなりませんでした。
・利用目的を特定(個人情報保護法15条)
・目的外利用の禁止(同法16条)
・取得時の利用目的の公表(同法18条)
・データ内容の正確性の確保(同法19条)
個人を特定できないように変換した情報は、個人の権利利益の侵害のおそれは低いにもかかわらず、通常の個人情報と同様に取り扱わなければならないことについて、データの利活用の観点から疑問が生じていました。
そこで、データの利活用を促進する観点から、「仮名加工情報」制度が新設されました。「仮名加工情報」については、通常の個人情報に比して、事業者の義務が緩和されることとなりました。
改正された条項について、解説します。
「仮名加工情報」に関する規定は、個人情報保護法35条の2以降の、第4章2節以下にあります。
仮名加工情報は、個人情報保護法2条9項で定義されています。
仮名加工情報は、2条1項1号の1号個人情報と2条1項2号の2号個人情報について、記述の一部の削除、個人識別符号の全部の削除などの措置が講じられて、他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報をいいます(個人情報保護法2条9項)。
仮名加工情報の作成などにおける事業者の義務は、個人情報保護法35条の2で定められています。
「仮名加工情報」にあたる場合、事業者は、個人情報保護法の一定のルールの適用を免れることになります。
仮名加工情報、仮名加工情報である個人データおよび仮名加工情報である保有個人データについては、漏えい等の報告義務(同法22条の2)や、開示請求(同法28条)、利用停止等(同法30条)の適用対象外となります(同法35条の2第9項)。
このように、仮名加工情報にあたる場合、事業者の義務が一部免除されることになり、負担軽減につながります。
提供先で個人データとなることが想定される場合の確認義務を新設
旧法では、提供元では個人データではないものの、提供先で個人データとなることが想定される場合の規制はありませんでした。
今回の改正により、このような場合に、提供元は、提供先に、本人の同意が得られているか等の確認義務を負うことになりました。
すなわち、個人関連情報データベース等を構成する「個人関連情報」を、第三者が個人データとして取得する場合には、提供元の事業者は、本人の同意が得られているか等を確認する必要があります。
「個人関連情報」とは、「生存する個人に関する情報であって、個人情報、仮名加工情報、匿名加工情報のいずれにも該当しないもの」(個人情報保護法26条の2第1項)をいいます。たとえば、Cookieなどのような識別子情報があげられます。
旧法下では、Cookieなどのような情報の第三者提供についての規制はありませんでした。しかし、Cookieなどのような情報は、他の情報と照合することにより容易に特定の個人を識別することができる場合があります。
DMP(Data Management Platform)と呼ばれるプラットフォームが普及してきている中、個人情報ではないデータを、提供先において他の情報と照合することで個人データとなることを知りつつ、本人の同意などを得ずに第三者へ提供するというような事例が見られていました。
大きな問題となった「リクナビ問題」では、提供元であるリクルートキャリア社において、特定の個人を識別しないとする方式で内定辞退率を算出し、提供先である利用企業でにおいては特定の個人を識別できることを知りながら、第三者提供に係る同意を得ずに内定辞退率を利用企業に提供していたとされています。
改正された条項を解説します。
まず、「個人関連情報取扱事業者は、提供先の第三者が、個人関連情報を個人データとして取得することが想定される場合には、第三者が本人が識別される個人データとして情報を取得することについて本人の同意が得られていることなどの確認をしないで、個人関連情報を第三者に提供してはならない」旨が、定められました(同法26条の2第1項本文)。
この他にも、個人関連情報取扱事業者は、確認に係る事項などの記録の作成・保存義務(同法26条の2第3項・新法26条3項、4項)などの義務を課されます。
なお、外国にある第三者への提供の場合には個人情報保護法26条の2第1項2号、同法26条の2第2項の準用する同法24条3項がそれぞれ適用されます。
ポイント5│法令違反に対するペナルティが強化される
ペナルティが強化されたのは、以下の2点です。
・措置命令・報告義務違反の罰則について法定刑を引き上げた
・法人に対する罰金刑を引き上げた
措置命令・報告義務違反の罰則について法定刑を引き上げた
今回の改正において、措置命令・報告義務違反の罰則について法定刑が引き上げられました。これにより、制裁の実効性が上がり、命令違反や虚偽報告の抑止が期待されます。
個人情報保護法83条は、同法42条2項・3項違反(個人情報保護委員会の措置命令)に違反した場合には、1年以下の懲役又は100万円以下の罰金に処することを定めました。旧法下では、42条2項・3項に違反した場合には6月以下の懲役又は30万円以下の罰金(旧個人情報保護法84条)であり、今回の改正で重罰化が行われたことになります。
また、個人情報保護法85条は、同法40条1項および同法56条の規定(虚偽報告等の報告義務違反)に違反した場合には、50万円以下の罰金に処することを定めました。旧法下では、30万円以下の罰金であり、今回の改正により重罰化がなされました。
旧法│罰則は、それぞれ以下のとおりであった。
・措置命令(42条2項、3項)の違反の罰則︓6 か月以下の懲役又は30 万円以下の罰金
・個人情報データベース等の不正流用:1年以下の懲役又は50万円以下の罰金
・報告義務(40条)違反の罰則︓30 万円以下の罰金
新法│それぞれ以下のとおり強化された。
・措置命令(42条2項、3項)違反の罰則︓1 年以下の懲役又は100 万円以下の罰金
・個人情報データベース等の不正流用:1年以下の懲役又は50万円以下の罰金
・報告義務(40条)違反の罰則︓50 万円以下の罰金
*個人情報データベース等の不正流用については変化なし。
法人に対する罰金刑を引き上げた
今回の改正においては、重罰化による抑止効果期待を目指し、法人に対する罰金刑を引き上げました。
旧法下では、法人に対する罰金の額については行為者等と同じ法定刑でした(旧個人情報保護法87条)。しかし、個人情報保護法87条1項は、個人情報保護法83条および同法84条に違反した場合には、法人に対して1億円以下の罰金を科すとし、法人への高額な罰金制度を導入しました。
旧法│法人への罰則は、それぞれ以下のとおりであった。
・措置命令(42条2項、3項)の違反の罰則:30万円以下の罰金
・個人情報データベース等の不正流用:50万円以下の罰金
・報告義務(40条)違反の罰則:30万円以下の罰則
新法│それぞれ以下のとおり強化された。
・措置命令(42条2項、3項)違反の罰則:1億円以下の罰金
・個人情報データベース等の不正流用:1億円以下の罰金
・報告義務(40条)違反の罰則:50万円の罰則
ポイント6│外国の事業者に対する、報告徴収・立入検査などの罰則が追加される
個人情報保護法75条は、外国の事業者への域外適用について示したものです。今回の改正で75条が改正され、域外適用の範囲が変更されました。
すなわち、日本国内にある者に係る個人情報などを取り扱う外国の事業者も、罰則によって担保された報告徴収・命令および立入検査などの対象となりました。
旧法の下では、報告徴収や立入検査、命令に関する規定が外国の事業者に対しては適用されていませんでした。このため、個人情報保護委員会の行使できる権限は指導や助言、勧告のような強制力を伴わないものに限られていました。
今回の改正により、外国の事業者の不適切な取扱いに対して、より実効的な措置を実施することが期待されます。
旧法│日本国内にある者の個人情報を取り扱う外国の事業者は、報告徴収・立入検査(40条)などの対象ではなかった。
新法│日本国内にある者の個人情報を取り扱う外国の事業者も、報告徴収・立入検査(40条)などの対象となった。
【解説つき】改正前と改正後の条文を新旧対照表で比較
それでは、改正点について、条文を確認しましょう。解説つきの新旧対照表をご用意しました。 以下のページからダウンロードできます。
新旧対照表のダウンロードはこちらから
〈サンプル〉
