法務

【最新版】改正個人情報保護法のポイントを弁護士が徹底解説!

【最新版】改正個人情報保護法のポイントを弁護士が徹底解説!

令和2年6月5日、国会で改正個人情報保護法が可決・成立しました。

個人情報保護法の内容は、ここ数年で大幅なアップデートが行われており、今後も定期的に改正されることが見込まれます。そのため法務担当者としては、最新の個人情報保護法の内容を常にキャッチアップすることが大切です。

この記事では、改正個人情報保護法によって変更されたルールや、新たに設けられたルールについて、弁護士が詳しく解説します。

スキフル遷移

令和2年改正個人情報保護法が成立した理由は?

【最新版】改正個人情報保護法のポイントを弁護士が徹底解説!の画像1

令和2年6月のタイミングで改正個人情報保護法が成立したのは、個人情報保護法を「3年ごとに見直す」というルールによります。

近年、インターネットの利用が急速に拡大し続けていることから、個人情報・個人データの利用状況も年々変化しています。

個人情報保護法の内容も、社会の変化に合わせた継続的なアップデートが必要です。そこで、個人情報保護法が平成27年成立の改正法により大きく改正された際に、同改正法の施行後3年ごとに内容を見直すことが規定されました。

同改正法は平成29年5月30日に施行されたため、ちょうど3年後に当たる令和2年が改正のタイミングとなったのです。今後も「3年ごとに見直す」ルールに従い、個人情報保護法は継続的に改正されていくことが見込まれます。

なお、個人情報保護法の見直しに当たっては、以下の事項を検討すべきものと定められています(平成27年成立改正個人情報保護法附則12条3項)。

【3年ごとに見直すポイント】

  • 個人情報の保護に関する国際的な動向
  • 情報通信技術の進展
  • 個人情報保護法を活用した新たな産業の創出および発展の状況

今回の令和2年改正個人情報保護法においても、上記の観点からさまざまなルールの変更・新設が行われました。

 

改正個人情報保護法の6つのポイント

【最新版】改正個人情報保護法のポイントを弁護士が徹底解説!の画像2

令和2年改正個人情報保護法では、大きく6つのカテゴリーに分類されるルールの変更・新設が行われています。

【令和2年の改正のポイント】

  • 本人の権利を強化
  • 事業者の義務を強化
  • 認定団体制度の利用可能性を拡大
  • データ利用に関するルールの新設|仮名加工情報・個人関連情報
  • 罰則規定の強化
  • 域外適用の範囲を拡大

 

近年ビッグデータの活用を中心として、個人データの利用価値が高まっています。その一方で、安易に個人データを利用した場合には、本人のプライバシーが侵害されるリスクが同時に高まっていることも事実です。

さらに、個人データ流通のグローバル化に合わせて、海外を経由する個人データのやり取りについても一定の規制を及ぼす必要が生じています。

これらの社会状況を踏まえて、令和2年改正個人情報保護法では、以下の法改正が行われました。

 

改正個人情報保護法のポイント:本人の権利を強化

個人データが本人の意図とは無関係に利用されてしまうおそれが強まっていることを受けて、本人が自分に関する個人データをコントロールする権利が強化されました。

具体的な権利強化の内容は、以下のとおりです。

  • 不正利用や不正取得の場合に限らず、本人の権利または正当な利益が害されるおそれがある場合にも、個人データの利用停止、消去、第三者提供の禁止を請求できるようになります(改正個人情報保護法30条5項、6項)。
  • 事業者による保有個人データの開示方法を本人が指定できるようになります(同法28条2項)。
  • 個人データの第三者提供記録の開示を請求できるようになります(同条5項)。
  • 6か月以内に消去する短期保存データ(Cookieなど)も、新たに開示請求や利用停止請求の対象となります(同法2条7項)。
  • 要配慮個人情報、不正取得された個人データ、他の事業者からオプトアウト方式により提供を受けた個人データについては、オプトアウト方式による第三者提供が不可となります(同法23条2項)

企業の法務担当者としては、これまでになかったパターンの開示請求などが行われる可能性があるので、社内規則や個人情報の取扱いに関するオペレーションの見直しが必要となるでしょう。

 

改正個人情報保護法のポイント:事業者の義務を強化

事業者による個人データの利用可能性が年々広がっていることを受けて、より責任ある個人データの利用を促すため、事業者の義務が強化されました。

具体的な義務強化の内容は、以下のとおりです。

  • 個人情報の漏えい・滅失・毀損などが発生した場合に、個人情報保護委員会に対する報告が一部義務化されます(改正個人情報保護法22条の2第1項)。この場合、原則として本人にも漏えいなどの事実について通知しなければなりません(同条2項)。
  • 違法または不当な行為を助長、誘発するおそれがある不適正な方法で個人情報を利用してはならないことが明文化されます(同法16条の2)。

事業者としては、特に個人情報保護委員会への報告義務との関係で、報告に関するフローを改めて整備することが必要です。どのような場合に報告が義務化されるかは、今後制定される個人情報保護委員会規則で定められる予定ですので、アナウンスがあり次第見直しに着手しましょう。

 

改正個人情報保護法のポイント:認定団体制度の利用可能性を拡大

適切に個人情報保護の取り組みを行う事業者に対する認定を、特定の部門ごとに行うことができるようになります(改正個人情報保護法47条2項)。

この改正により、さらに幅広い事業者が認定の対象となるため、事業者の間でいっそう個人情報保護の取り組みが促進されることが期待されます。

事業者としては、個人情報保護委員会の認定を受ければ、個人情報管理のしっかりした会社であるという印象を社会に与えることに繋がります。新しい要件の下で認定を受けることができないか、今一度検討してみるとよいでしょう。

 

改正個人情報保護法のポイント:データ利用に関するルールの新設|仮名加工情報・個人関連情報

ビッグデータに含まれる個人データの利用を想定して、個人に関する情報のカテゴリーがさらに細分化され、各カテゴリーに属する情報の取り扱いに関するルールが整理されました。

具体的な改正の内容は、以下のとおりです。

  • 「個人情報」「匿名加工情報」に加えて、両者の中間に当たる「仮名加工情報」のカテゴリーが新設されます(改正個人情報保護法2条9項)。
  • 個人に関する情報であって、「個人情報」「仮名加工情報」「匿名加工情報」のいずれにも該当しないものが「個人関連情報」と定義されます。個人関連情報は、原則として個人情報保護法の規制対象外ですが、提供先において個人データとして取得されることが想定される場合は、提供に関して本人の同意が必要です。

企業の法務担当者の中には、平成30年施行の改正法で「匿名加工情報」の規定が追加されたことに対応して、社内規則などの見直しを行ったばかりという方も多いかと思います。しかし今回の法改正に合わせて、「仮名加工情報」と「個人関連情報」の取り扱いのルールを追加する必要がありますので、改めて社内規則などの見直しを行いましょう。

 

改正個人情報保護法のポイント:罰則規定の強化

個人情報保護法による規制の実効性を高めるため、以下のとおり、事業者に対する各罰則規定が強化されました。

  • 個人情報保護委員会からの是正命令に違反した事業者に対する罰則が、従来の「6月以下の懲役または30万円以下の罰金」から、「1年以下の懲役または100万円以下の罰金」へと引き上げられます(改正個人情報保護法83条)。
  • 個人情報保護委員会からの報告要請に応じず、または虚偽報告をした事業者に対する罰則が、従来の「30万円以下の罰金」から、「50万円以下の罰金」へと引き上げられます(同法85条)。
  • 法人による個人情報保護法違反に対する罰則が、従来は個人と同じであったのに対して、改正法によって上限が1億円まで大幅に引き上げられます(同法87条1項1号)。

事業者としては、個人情報保護委員会の指示に誠実に従わないと、思わぬ巨額の罰金を科されてしまうおそれがあります。万が一個人情報保護法違反を指摘されてしまった場合は、真摯に自社のオペレーションの見直しを行いましょう。

 

改正個人情報保護法のポイント:域外適用の範囲を拡大

インターネットを通じて個人データを国外送信することが容易になったことを受けて、外国事業者に対する個人情報保護法の域外適用の範囲が以下のとおり拡大されました。

  • 日本国内にある者を本人とする個人情報などを取り扱う外国事業者に対して、個人情報保護委員会が報告を求めたり、命令を行ったりできるようになります(改正個人情報保護法75条)。
  • 国内の事業者が、外国事業者に対して個人データを提供する場合、第三者提供に関する本人の同意を取得する際に、その外国における個人情報保護の制度などに関する情報提供が義務付けられます(同法24条2項)。さらに国内の事業者は、外国事業者においても、日本の個人情報保護法に基づく事業者の義務に相当する措置が実施されるように、必要な措置を講じなければなりません(同条3項)。

特に海外企業との取引を行う企業は、契約書中の個人情報保護に関する規定が、日本の個人情報保護法の規制内容をカバーしているかどうか、今一度チェックする必要があります。この点、法務担当者の精緻なレビューが求められるでしょう。

 

令和2年改正個人情報保護法はいつから施行される?

【最新版】改正個人情報保護法のポイントを弁護士が徹底解説!の画像3

令和2年改正個人情報保護法は、同年6月12日の公布後2年以内とされていますが、具体的な施行日は未定です。

現段階では、改正個人情報保護法の細目を定める政令・委員会規則・ガイドラインの内容が未だ固まっていません。今後は改正個人情報保護法の施行に向けて、これらの内容が段階的に公表されていくことになります。

実際に各事業者が取るべき対応についても、今後制定される政令・委員会規則・ガイドラインの内容に大きく影響を受けますので、政府・個人情報保護委員会による情報のアップデートを引き続き注視する必要があるでしょう。

 

個人情報保護の重要性は増すばかり|今後の法改正に注意

【最新版】改正個人情報保護法のポイントを弁護士が徹底解説!の画像4

今回の令和2年改正個人情報保護法では、ビッグデータを中心とする情報利用の拡大・グローバル化などに対応するため、さまざまなルールの改正が行われました。

個人情報保護の重要性は、直近数十年で飛躍的に高まっており、特にここ数年はその傾向が顕著といえます。企業などの法務担当者としては、最新の個人情報保護法を踏まえた適切な実務対応を行うことが、コンプライアンスの観点から非常に重要です。

そのためには、政府・個人情報保護委員会の公表資料や、改正個人情報保護法の条文などを丁寧に分析し、さらに政令・委員会規則・ガイドラインの内容も押さえておく必要があります。

大変な作業ではありますが、ご自身が所属する企業や顧客を守るためにも、ぜひプロフェッショナルとしての知識を身につけてください。

Back Office Magazine
管理部門・士業事務所特化のハイクラス転職サービスSKIFULL
弁護士阿部 由羅(あべ ゆら)
記事の作成・監修者 阿部 由羅(あべ ゆら)
ゆら総合法律事務所 代表弁護士

西村あさひ法律事務所にて不動産取引・金融法務・一般企業法務等を中心に従事。その後、外資系金融機関法務部にてプライベートバンキング・投資銀行業務などを担当。退職後に現事務所設立・同代表。一般民事から企業法務まで幅広く取り扱う。民法改正・個人情報保護法関連・一般企業法務への対応多数。共著書に『債権法実務相談』(西村あさひ法律事務所編)。東京大学法学部卒業・同法科大学院修了。
https://abeyura.com/

タイトルとURLをコピーしました