2021.07.27

2022年4月施行の改正個人情報保護法とは?押さえるべきポイントを解説

2005年に成立した個人情報保護法は、社会環境の変化やITの進歩、個人情報に関する問題を基に法改正が行われています。
そして2020年6月個人情報保護法改正が発表され、2022年4月の施行が決定しました。今回の改正内容や動向は、個人情報を扱う多くの企業が留意しておく必要があります。
そこで本記事では、2022年4月に施行される個人情報保護法について押さえておくべきポイントを解説します。

この記事のポイント!
  • 2020年6月に個人情報保護法が改正され、2022年4月に施行される
  • 改正では「仮名加工情報」「個人関連情報の第三者提供での本人同意等確認義務」が新設
  • 個人はデータ利用停止や開示などの請求がしやすくなった
  • 罰則やペナルティも強化され、企業は個人情報の扱いにおける責務が重くなった

個人情報保護法とは?

個人情報保護法とは、企業が個人情報を扱う有用性に配慮しつつ、情報を所有する個人の権利利益を保護するための法律です。また企業が個人情報を活用できるよう配慮する一方で、情報元である個人のプライバシーを守ることを目的としています。

個人情報保護法の改正

2005年に成立した個人情報保護法ですが、2015年までは改正なしに施行されてきました。その後、個人情報に対する意識の変化やIT技術の進化を踏まえて、2015年に初の改正を実施。
以降3年ごとに見直すことが決定され、2020年6月に2回目の改正が成立。2022年4月から施行が予定されています。また2022年春の施行に向けて2020・2021年は準備期間とされ、法令や規制、ガイドラインなどの整備が進められています。
また、個人情報保護委員会は改正理由について下記のように記述しています。

■平成27年改正個人情報保護法に設けられた「いわゆる3年ごと見直し」に関する規定(附則第12条)に基づき、個人情報保護委員会において、関係団体・有識者からのヒアリング等を行い、実態把握や論点整理等を実施。

■自身の個人情報に対する意識の高まり、技術革新を踏まえた保護と利活用のバランス、越境データの流通増大に伴う新たなリスクへの対応等の観点から、今般、個人情報保護法の改正を行い、以下の措置を講ずることとしたもの。

個人情報の保護に関する法律等の一部を改正する法律(概要)

仮名加工情報とは?

2020年の個人情報保護法改正では、新たに「仮名加工情報」が新設されました。仮名加工情報とは個人が識別できる情報を削除、あるいは情報を置き換えて加工している情報のこと。他の情報と照合しない限り、個人が特定できないように仮名化されています。

仮名加工情報によるデータの利活用について

仮名加工情報という概念の登場は、企業がデータを活用しやすくする方針でもあります。これまでは個人情報保護の観点で「匿名加工情報」が用いられてきましたが、情報の加工程度の難しさやデータ精度の面から扱いにくい課題がありました。
そこで企業のデータ利活用の精度を向上しつつ、個人情報も守れるとして仮名加工情報が登場したのです。匿名ではなく仮名化されている情報であれば、加工前の個人情報と同程度のデータの有用性があるため、精度の高いデータ分析が実施できます。

その一方で、仮名加工情報はあくまで個人に関する情報に分類されます。そのため法令や共同利用の場合を除き、基本的に第三者への提供は禁止されています。よって企業内での仮名加工情報の利活用はできますが、他社へ提供可能な統計データとして広く活用することは想定されていないのがポイントです。

個人関連情報とは?

2020年の個人情報改正では仮名加工情報に加えて、「個人関連情報の第三者提供での本人同意等確認義務」が新設されました。個人関連情報とは生存する個人の情報であり、それだけでは個人を特定できない粒度の情報です。たとえば、以下のようなデータは個人関連情報にあたります。

  • Cookie情報
  • IPアドレス
  • 契約者・端末固有IDなどの識別子情報
  • 位置情報、閲覧履歴、購買履歴などインターネットの利用によるログ情報

同意取得が必要になる状況とは?

今回の法改正では、提供先が個人関連情報を個人データとして取り扱うことが想定される際、本人の同意が必要であるとされました。
例として、個人に関する情報を扱っているサービス・事業者に対し第三者提供を行う場合が挙げられます。このような場合、Webサイトやアプリなどのインターネットサービスにアクセスしたユーザーに対し、クッキーやトラッキングの許可を求めるポップアップを表示することで、本人への同意を求める必要があります。
またユーザーが同意することでCookieやIPアドレス、ログ情報などは第三者に提供され、広告配信やデータ分析などに活用できます。

個人権利保護強化に伴う利用停止権等の拡充について

仮名加工情報の登場により企業はデータ活用がしやすくなった一方で、個人の権利に対する保護も強化されています。ここでは個人権利保護強化に伴う、主な改正内容をみてきます。

①利用停止や消去等の請求が簡単に

個人情報を保有する企業に対して、個人が情報の利用停止や消去など、請求できる要件が緩和されました。現行法では不正取得や目的外利用があった場合に請求できますが、改正法では情報漏えいがあった場合や企業が個人データを利用する必要がなくなった場合にも請求が認められます。

②保有データ開示が電磁的記録でも対応出来る必要あり

改正前は企業が保有する個人データを開示する際は、書面での対応とされていました。さらに書面以外でのデータ開示を求められても、請求された側が同意しなければ別の方法で開示する必要がありませんでした。
しかし今回の改正により請求者本人は、書面以外に電磁的記録での開示請求が可能になります。電磁的記録での開示が難しい場合には書面でも可能ですが、電磁的記録での開示に対応できるよう準備が求められます。

③第三者提供記録の開示請求が可能

現行法では、第三者提供記録は監督機関からの要請で開示することを想定していました。つまり第三者機提供記録を開示するのは、問題が生じた時のみでした。
しかし改正により基本的な開示対象でなかった第三者提供記録は、問題が生じなくとも本人が開示請求できるようになります。

④短期保存データも開示請求が可能

これまでは6ヶ月以内に削除する短期保存データは保有個人データとして扱われず、開示請求の対象外でした。しかしIT化が進む中で、短期保存データであっても漏洩などで拡散されるリスクは変わらないとして、今回の改正で開示対象となりました。
そのため短期保存データであっても紙やエクセルなどで個人データを管理している場合は、管理体制の見直し・改善が求められます。

⑤オプトアウト規定の厳格化

オプトアウト手続きとは、事前に利用目的を公表した上でユーザーが拒否できることを前提に、個人データを第三者に提供できる仕組みです。これまではオプトアウト手続きを用いることで、個人情報を持つ本人が拒否しない限り、第三者への個人情報提供を認めるものとされていました。
しかし今回の改正によりオプトアウト規定が厳格化され、不正取得された個人データやオプトアウト手続きで取得した個人データには、オプトアウト手続きが利用できなくなります。

責務の強化に伴う罰則・ペナルティの強化について

個人情報保護を強化する目的から、今回の改正で罰則やペナルティも強化されます。主な内容は個人情報保護委員会への報告義務、措置命令や報告義務違反に対する法定刑や罰金刑の引き上げです。以下で改正内容についてみていきます。

①漏洩後の本人通知義務

現行法では個人情報漏洩による本人への通知は努力義務であり、必須ではありません。そのため企業は、漏洩したことを隠すことも可能です。
しかし改正により漏洩が本人の権利利益を侵害する恐れがある場合は、本人と個人情報保護委員会への報告が義務づけられます。現段階では報告期限などの縛りがないため、具体的な実施内容は今後の動きに注目する必要があります。

②不適正な個人情報利用の禁止が明確化

現在の個人情報保護法では、個人情報の不適切な利用について明確化がなされていません。そのため個人の権利利益が侵害される恐れのある個人情報の利用であっても、事業者側であらかじめ特定した利用目的の範囲内であれば違法とはみなされないのが現状です。
しかし今改正では、違法行為に値する業者へのデータ提供や個人の権利利益を害する恐れのある個人情報利用の禁止が明文化されます。
具体的にどのような利用が禁止されるかはまだ発表されていない状況ですので、今後発表されるガイドラインなどの資料を確認することが重要です。

外国事業者に関するリスク管理と海外にある第三者への提供の制限

今回の改正により、報告徴収や立入検査、命令などに関する規定が外国事業者に対しても適用されます。つまり個人情報保護委員会が権限を行使できる範囲が外国事業者にまで広がり、リスク管理がより徹底されるということです。さらに海外にある第三者への個人データ共有の要件が強化され、外国事業者への情報提供も制限されます。

GDPRに相当する特定の国(EU)以外の国へ委託する際の注意点

海外にある第三者への個人データの提供については、(1)日本と同水準の個人情報保護の精度を有している地域(代表的な例としてEU)、(2)それ以外の地域で必要とされる対応が分かれています。
(1)については、国内事業者と同様の対応で提供が可能ですが、提供先が個人情報保護のためにどのような対応をしているのかを本人に周知し、かつ対応を継続するためのアクションを講じる必要があるとされています。
一方(2)については、「海外の事業者へ個人データを提供すること」に対する同意を改めて取得する必要があります。その際、本人が正しく判断できるよう、提供先の国名や法制度の概要、プライバシポリシー等の提供が義務付けられることとなりました。
こちらも具体的なガイドラインはまだ発表されていませんが、現地法の理解を今まで以上に深めていく必要があるといえるでしょう。

まとめ

今回は2022年施行の個人情報保護法改正について、押さえるべきポイントをお伝えしました。
個人情報に対する社会的意識やITの進歩により、個人情報の扱いについても変化が激しくなっています。今回の改正内容はまだ具体的な部分が明確になっていないものもありますが、今後公表されるガイドラインや法令に則って、企業は然るべき準備・対策を講じる必要があります。
企業の信頼を損なわず、個人の権利利益を尊重したサービスが提供できるよう、個人情報保護法への理解を深めましょう。