令和4年(2022年)改正個人情報保護法「ペナルティ」について解説
2022年4月から改正個人情報保護法が施行されました。 2022年改正個人情報保護法 「事業者の責務」について注意点を解説に続いて、今回はデータ活用のあり方やペナルティについて解説します。
この記事の目次
令和4年(2022年)改正個人情報保護法の概要
個人情報保護法の2022年改正は、以下の6点について、行われます。
- 個人の権利の在り方
- 事業者の守るべき責務の在り方
- 事業者による自主的な取組を促す仕組みの在り方
- データ利活用の在り方
- ペナルティの在り方
- 法の域外適用・越境移転の在り方
「2022年改正個人情報保護法 「事業者の責務」について注意点を解説」では、改正点の(1)(2)について、解説しました。ここでは、改正点の(3)(4)(5)(6)について、解説します。
事業者による自主的な取組を促す仕組みの在り方
事業者による自主的な取組を促す仕組みの在り方については、業務実態の多様化やIT技術の進展に伴い、民間団体が特定分野における個人データの取扱いに関する自主ルールを策定していくことや、積極的に対象事業者に対して指導等を行っていくことの重要性が増加しています。
個人情報保護法では、個人情報保護委員会の他に、民間団体を利用した情報保護を図っており、認定団体制度が設けられています。個人情報の取扱いに関する苦情の処理、事業者への個人情報の適正な取り扱いに関する情報の提供等を行う法人などの団体は、個人情報保護委員会の認定を受けて、「認定個人情報保護団体」となることができますが、改正法では、認定団体制度について、企業の特定分野(部門)を対象とする団体を認定団体として認定できるようになりました(第47条2項)。事業単位での認定団体を認めることによって、さらに認定団体の活用を進め、特定の事業を対象に活動する団体による、専門性を生かした個人情報の保護を進展させるための取り組みです。
データ利活用の在り方
データ利活用の在り方については、以下の2点が改正されました。
「仮名加工情報」を創設し、義務を緩和(第2条9項)
現行法では、個人情報を単に仮名化した情報は、引き続き「個人情報」であり、事業者は個人情報の取扱いに関する各種の義務を負うことになっていますが、この「仮名化された個人情報」については、一定の安全性を確保しつつ、データとしての有用性を、加工前の個人情報と同等程度に保つことにより、匿名加工情報よりも詳細な分析を比較的簡便な加工方法で実施し得るものとして、利活用しようとするニーズが高まっています。
これを受けて、改正法では、イノベーションを促進する観点から、氏名等を削除した「仮名加工情報」を創設し、内部分析に限定する等を条件に、開示・利用停止請求への対応等の義務を緩和することとなりました。
創設された仮名加工情報とは、「他の情報と照合しない限り、特定の個人を識別することができないように個人情報を加工して得た個人に関する情報」のことを指します。例えば、「氏名・年齢・年月日・時刻・金額・店舗」を、「仮ID・年齢・年月日・時刻・金額・店舗」に加工したものです。想定される活用例としては、「当初の利用目的には該当しない目的や、該当するか判断が難しい新たな目的での内部分析」(医療・製薬分野等における研究や不正検知・売上予測等の機械学習モデルの学習)、「利用目的を達成した個人情報について、将来的に統計分析に利用する可能性があるため、仮名加工情報として加工した上で保管」が、あげられています。
なお、仮名加工情報の作成方法に関しては、最低限の規律として、
- 特定の個人を識別することができる記述等(例:氏名)の全部又は一部を削除(置換を含む。以下同)すること
- 個人識別符号の全部を削除すること
- 不正に利用されることにより、財産的被害が生じるおそれのある記述等(例:クレジットカード番号)を削除すること
という措置を講じることが、求められています。
提供先において個人データとなることが想定される情報の確認義務付け(第26条の二)
現行法では、提供元で個人データに該当しない情報であれば、提供先において個人データとなることが想定された場合でも規制の対象にはならないのですが、改正法では、提供元で個人データに該当しないものの、提供先において個人データとなることが想定される情報の第三者提供について、本人の同意が得られていること等の確認を義務付けることとなりました。
ユーザーデータを大量に集積し、それを瞬時に結合して個人データとする技術が発展・普及したことにより、提供先において個人データとなることをあらかじめ知りながら非個人情報として第三者に提供するという、個人情報保護法の趣旨を潜脱するスキームが横行しつつあります。こうした本人関与のない個人情報の収集方法が広まることが懸念されるためです。
ペナルティについて
ペナルティの在り方については、以下の2点が改正されました。
委員会による命令違反・委員会に対する虚偽報告等の法定刑の引き上げ(第83条、第87条等)
法に違反する事案が増加する中で、報告徴収や立入検査を行う事案は増加しており、事業者の実態を把握する端緒となる報告徴収や立入検査の実効性を高める必要があるとして、改正法では、法定刑が引き上げられました。
行為者による「個人情報保護委員会からの命令への違反」は、現行法では6月以下の懲役または30万円以下の罰金でしたが、改正法では1年以下の懲役または100万円以下の罰金になり、「個人情報データベース等の不正提供等」は1年以下の懲役または50万円以下の罰金そのままですが、「個人情報保護委員会への虚偽報告等」が現行法では30万円以下の罰金であったのが、改正法では50万円以下の罰金となりました。
法人に対する罰金刑の引き上げ(第84条、第85条等)
現行法では、法人に対する罰金の額については行為者と同じ法定刑でしたが、法人と個人の資力格差等を勘案して、改正法では、命令違反等の罰金について、法人に対しては行為者よりも罰金刑の最高額を引き上げる(法人重科)こととなりました。法人に対して、行為者と同額の罰金を科したとしても、罰則として十分な抑止効果は期待できないという判断です。
法人による「個人情報保護委員会からの命令への違反」は、現行法では行為者と同額の30万円以下の罰金でしたが、改正法では1億円以下の罰金になり、「個人情報データベース等の不正提供等」は現行法では行為者と同額の50万円以下の罰金でしたが、改正法では1億円以下の罰金になりました。ただし、「個人情報保護委員会への虚偽報告等」は現行法では行為者と同額の30万円以下の罰金であったのが、改正法でもやはり行為者と同額の50万円以下の罰金となっています。
法の域外適用・越境移転の在り方
法の域外適用・越境移転の在り方については、以下の2点が改正されました。
域外適用の強化(第75条)
現行法では、域外適用の対象となる外国の事業者に行使できる権限は、指導及び助言並びに勧告のような強制力を伴わない権限にとどまっていましたが、外国における漏えい等の事案に対して、委員会が適切に対処できないおそれがあるため、改正法では、日本国内にある者に対する物品または薬務の提供に関連した個人情報等を取り扱う外国事業者を、罰則によって担保された報告徴収・命令の対象とし、個人情報保護委員会の権限行使を強化することとなりました。
移転先事業者における個人情報の取扱いに関する本人への情報提供の充実(第78条)
一部の国において国家管理的規制がみられるようになっており、個人情報の越境移転の機会が広がる中で、国や地域における制度の相違は、個人やデータを取り扱う事業者の予見可能性を不安定なものとし、個人の権利利益の保護の観点からの懸念が生じています。
これに対し、外国にある第三者への個人データの提供時に、移転先事業者における個人情報の取扱いに関する本人への情報提供の充実等を求めることとし、外国にある第三者に個人データを提供できる要件として、現行法では「本人の同意」であった要件に「同意取得時に、移転先国の名称、移転先国における個人情報の保護に関する制度の有無等について本人に情報提供」を義務付け、「基準に適合する体制を整備した事業者」であった要件に、「移転先事業者の取扱い状況等の定期的な確認+本人の求めに応じて関連情報を提供」を義務付けました。
まとめ
「3年ごと見直し規定」に基づく初めての法改正である2022年の個人情報保護法改正は、利用停止・消去等の拡充、不適正利用の禁止、越境移転に係る情報提供の充実、「仮名加工情報」の創設等が行われ、個人の権利利益の保護と活用の強化、越境データの流通増大に伴う新たなリスクへの対応、AI・ビッグデータ時代への対応等が図られることとなりました。
当事務所による対策のご案内
モノリス法律事務所は、IT、特にインターネットと法律の両面に高い専門性を有する法律事務所です。改正されたばかりの個人情報法は注目を集めており、リーガルチェックの必要性はますます増加しています。当事務所では知的財産に関するソリューション提供を行っております。下記記事にて詳細を記載しております。
カテゴリー: IT・ベンチャーの企業法務