2020年6月に可決・公布された改正個人情報保護法は、2022年4月に施行されることとなっています。従って、法改正への対応をしなくてはならない事業者は、遅くとも今年度末までに準備を進めておく必要があります。本稿では、主な改正内容と、個人情報取扱事業者が注意すべき事項について解説します。
主な改正ポイントは4つ
改正の主なポイントは以下の4つです。
- 個人の権利保護の強化
- 事業者の責務の追加
- データの利活用の促進
- 法令違反に対する罰則の強化
個人の権利保護の強化
まず、個人の権利保護の強化については、 (1)個人情報の利用停止・消去請求権、第三者への提供禁止請求権の要件が緩和(拡大)され、個人の権利又は正当な利益が害されるおそれがある場合も請求が可能となります。 (2)保有個人データの開示方法として、電磁的記録(文字データのほか、動画や音声データ)も含めて本人が指示できるようになります。 (3)6か月以内に消去する短期保存データについても保有個人データに含めることとし、本人による開示・利用停止請求の対象となります。 (4)本人は、第三者提供記録の開示を請求できるようになります。
このため、必要に応じて規定・手順や取り扱いフロー等の見直しと社内での周知を行うほか、特に(2)(3)については、保有個人データの見直しが必要になります。
個人情報取扱事業者の責務が追加される
今回の改正で、事業者の責務として、個人データの漏えい等の発生時における、個人情報保護委員会に対する報告および本人への通知義務が新たに追加されました。要配慮個人情報の漏えい、不正アクセスによる漏えい、財産的被害のおそれのある漏えいのほか、1,000件以上の大規模な漏えいが対象となります。
また、不適正な取得だけでなく、違法・不当な行為を助長するなどの不適切な方法によって個人情報を利用してはならないことが明確化されました。
規定・手順等により、報告対象となる個人データの漏えい等発生時の対応を明確にしておくとともに、不適切な利用がないかを確認しておくことも必要です。
データの利活用がしやすくなる
「他の情報と照合しない限り、特定の個人を識別することができないように個人情報を加工して得た個人に関する情報」として「仮名加工情報」が新設されました。
例えば、氏名をID等に加工した仮名加工情報については、漏えい等の報告義務や、開示・利用停止等の請求対象外となるほか、利用目的の変更も可能となり、組織内でのデータ活用がしやすくなります。
法令違反に対する罰則が強化される
法令違反の増加を抑止するために、以下の2点について罰則が強化されました。
1つは、個人情報保護委員会による措置命令・報告義務違反の罰則です。行為者に対する法定刑は、措置命令違反については1年以下の懲役または100万円以下の罰金(旧法では6か月以下の懲役または30万円以下の罰金)、報告義務違反については50万円以下の罰金(旧法では30万円以下の罰金)に引き上げられています。
さらに法人に対しては新たに罰金制度が設けられました。措置命令違反・データベース等の不正利用に対し、1億円以下という高額な罰金が科される可能性がありますので、注意が必要です。
(本情報は、経済月報2021年9月号の「相談コーナー」に掲載した記事に加筆修正したものです)