令和4年(2022年)改正個人情報保護法「事業者の責務」について注意点を解説
2022年4月から改正個人情報保護法が施行されました。個人情報保護法は個人情報の有用性に配慮する一方で個人の権利利益を保護するべく、個人情報の適切な取扱いの確保を目的としています。では具体的に改正個人情報保護法の施行でどのような点が変わるのでしょうか。今回は個人の権利のあり方と事業者の責務について解説します。
この記事の目次
個人情報保護法の改正と経緯
2003年に成立し、2005年に全面施行された個人情報保護法は、施行後10年が経過した2015年に、「情報通信技術の発展により、制定当時には想定されなかったパーソナルデータの利活用が可能になったため」として改正され、2017年に全面施行されました。
この2017年改正法には、「国際的動向、情報技術の進展、新産業の創出と発展の状況を勘案して、施行後3年ごとに実態に沿った内容に見直しを行う」という「3年ごと見直し規定」が盛り込まれました。
2017年施行個人情報保護法改正法附則における関係規定(抜粋)
(検討)第12条
(略)
2 政府は、この法律の施行後三年を目途として、個人情報の保護に関する基本方針の策定及び推進その他の個人情報保護委員会の所掌事務について、これを実効的に行うために必要な人的体制の整備、財源の確保その他の措置の状況を勘案し、その改善について検討を加え、必要があると認めるときは、その結果に基づいて所要の措置を講ずるものとする。
3 政府は、前項に定める事項のほか、この法律の施行後三年を目途として、個人情報の保護に関する国際的動向、情報通信技術の進展、それに伴う個人情報を活用した新たな産業の創出及び発展の状況等を勘案し、新個人情報保護法の施行の状況について検討を加え、必要があると認めるときは、その結果に基づいて所要の措置を講ずるものとする。
4,5(略)
6 政府は、新個人情報保護法の施行の状況、第一項の措置の実施の状況その他の状況を踏まえ、新個人情報保護法第二条第一項に規定する個人情報及び行政機関等保有個人情報の保護に関する規定を集約し、一体的に規定することを含め、個人情報の保護に関する法制の在り方について検討するものとする。
令和4年(2022年)改正個人情報保護法は、この「3年ごと見直し規定」に基づく初めての法改正です。
令和4年(2022年)改正個人情報保護法の概要
個人情報保護法の2022年改正は、以下の6点について、行われます。
- 個人の権利の在り方
- 事業者の守るべき責務の在り方
- 事業者による自主的な取組を促す仕組みの在り方
- データ利活用の在り方
- ペナルティの在り方
- 法の域外適用・越境移転の在り方
本記事では、改正点の1と2について、解説します。
関連記事:令和4年(2022年)改正個人情報保護法「ペナルティ」について解説
個人の権利の在り方
個人の権利の在り方については、以下の5点が改正されました。
利用停止・消去等の個人の請求権の拡充(第30条)
現行法では利用停止・消去等の個人の請求権については「個人情報を目的外利用したとき」や「不正の手段により取得したとき」といった法違反の場合に限定していました。ですが、改正法では、「保有個人データを取扱事業者が利用する必要がなくなった場合」「漏えい等が生じた場合」「本人の権利又は正当な利益が害されるおそれがある場合」においても、利用停止・消去・第三者提供の停止を請求できるようになりました。
保有個人データの開示方法(第28条)
本人であれば、個人情報取扱事業者に対して、保有個人データの開示を請求することができます。請求を受けて、個人情報取扱事業者は、原則として保有個人データを開示しなくてはなりません。現行法では保有個人データの開示は原則書面により行われていました。しかし、情報量が膨大である場合、書面による交付が適さない場面があり、さらに、保有個人データが動画や音声データのように、そもそも書面による交付に適さないデータもあります。そこで改正法では、本人は、電磁的記録の提供による方法など、「本人の指定する方法による開示」を請求することができることになりました。個人情報取扱事業者は、本人が請求した方法によって開示する義務を負うこととなりました。
個人情報を取り扱う企業は、デジタルデータによる開示請求への対応する体制を早期に構築することが求められます。
第三者提供記録の本人による開示請求(第28条5項)
個人情報取扱事業者は、個人データを第三者に提供する際に、法令で定められた記録を作成しなければならず、第三者提供を受ける者も、法令で定められた記録を作成しなければなりません。この個人データの第三者提供に係る記録と個人データの第三者提供を受ける際の確認の記録のことをあわせて、「第三者提供記録」といいます。
現行法では、本人は、事業者が作成した第三者提供記録の開示請求ができませんでしたが、改正法では、本人は、第三者提供記録の開示を請求できることになり、本人による追跡可能性を考慮したものとなりました。
短期保存データを保有個人データに含める(第2条7項)
現行法では、保有個人データは、「個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって」、「その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの」または「1年以内の政令で定める期間内に消去することとなるもの」以外のもの、と定義されており、「1年以内の政令で定める期間」とは、6か月とされていました。
しかし、短期間で消去されるものであっても消去されるまでの間に漏えいなどが発生する可能性があることから、改正法では、6か月以内に消去される短期保有データについても「保有個人データ」に含むことになりました。
オプトアウト規定の範囲限定(第23条2項)
オプトアウト規定とは、「本人の求めがあれば事後的に停止することを前提に、提供する個人データの項目等を公表等した上で、本人の同意なく第三者に個人データを提供できる制度」ですが、現行法では、要配慮個人情報のみが対象外となっていました。
改正法では、第三者に提供できる個人データの範囲を限定し、「不正取得された個人データ」、「オプトアウト規定により提供された個人データ」についても対象外とすることになりました。
事業者の守るべき責務の在り方
事業者の守るべき責務の在り方については、以下の2点が改正されました。
漏えい等報告の義務化(第22条2項)
現行法では漏えい等の報告は法令上の義務でないため、積極的に対応しない事業者が一部に存在し、事業者が公表しなかった場合には、個人情報保護委員会は事案を把握できないまま、適切に対応できない可能性がありました。改正法では、漏えい等が発生し、個人の利益権利を害する恐れが大きい場合には、個人情報保護委員会への報告及び本人への通知が義務化されました。
漏えい等報告の義務化の対象事案には、件数に関わりなく対象となる「要配慮個人情報の漏えい」「不正アクセス等による漏えい」「財産的被害の恐れがある漏えい」と、1000件を超える「大規模な漏えい」があげられています。
不適切な方法による利用の禁止(第16条2項)
急速なデータ分析技術の向上等を背景に、潜在的に個人の権利利益の侵害につながることが懸念される個人情報の利用の形態がみられるようになり、消費者の懸念が高まっています。これを受けて、改正法では、違法又は不当な行為を助長する等の不適正な方法により個人情報を利用してはならない旨を、明確化することになりました。
「違法又は不当な行為を助長する等の不適正な方法」とは、「違法行為を営む第三者に個人情報を提供すること」や「裁判所による公告等により分散して公開されている個人情報について、差別が誘発されるおそれがあることが十分に予見できるにもかかわらず、それを集約してデータベース化し、インターネット上で公開すること」といったような、相当程度悪質なケースが想定されています。
まとめ
この記事では、改正点の1と2について、解説しました。改正点の3、4、5、6については、別記事で解説します。
関連記事:令和4年(2022年)改正個人情報保護法「ペナルティ」について解説
当事務所による対策のご案内
モノリス法律事務所は、IT、特にインターネットと法律の両面に高い専門性を有する法律事務所です。改正されたばかりの個人情報法は注目を集めており、リーガルチェックの必要性はますます増加しています。当事務所では知的財産に関するソリューション提供を行っております。下記記事にて詳細を記載しております。
カテゴリー: IT・ベンチャーの企業法務