第17回 改正個人情報保護法の全面施行について

JAMPコンプラチーム

株式会社日本資産運用基盤グループのJAMPフィナンシャル・ソリューションズは、金融商品取引業者様及びその登録を目指しておられる方々向けに、当局の動向などをまとめた「JAMPコンプラ・メルマガ」を発信しています。

今回は来月令和4年4月1日から全面施行されます令和2年6月12日に公布された改正個人情報保護法のお話です。

 

改正法においては本人が利用停止等又は第三者提供の停止の請求ができる場合が拡大されるなど、個人情報取扱事業者の責務が追加されています。

施行まで1月を切った今、この改正を踏まえて、事業への影響や対応すべき内容を整理し、プライバシーポリシーや社内規程などを見直し、改正法に則して個人情報の取扱いやセキュリティ強化ができるよう準備しておく必要があります。

 

―個人情報保護法の成立から今回の改正まで―

■2003年 個人情報保護法成立(2005年全面施行)

■2015年 個人情報保護法改正(2017年全面施行)

■2017年 現行の個人情報保護法について、国際的動向、情報通信技術の進展、新産業の創出・発展の状況について意見の分析やヒアリングを実施し、3年ごとに実態に沿った内容に見直しを行うことが規定として盛り込まれました。

■2020年 個人情報保護法改正(2022年4月1日全面施行予定)

2017年の3年ごとに実態に沿った内容に見直しを行うこととした規定を踏まえて、個人情報の有用性に配慮しつつ個人の権利利益を保護するため、個人情報の適切な取扱い確保を図る政府機関・個人情報保護委員会が、国内外の状況分析や関係者のヒアリングを実施し、2020年に改正されました。

見直し規定に基づく法改正が初めて行われ2022年4月1日に施行されます。

 

―改正個人情報保護法のポイントについてー

個人の権利のあり方

●個人のデータ利用停止等の請求権 

個人データについて、利用停止や消去等を請求する場合の対象要件が緩和されることになりました。

改正前の個人情報保護法(旧法)では、本人が個人情報取扱事業者の保有個人データの利用停止や消去を請求できるのは、目的外利用されたときと不正の手段で取得されたときに限られ、また第三者提供の停止を請求できるのは、本人の同意なく第三者提供がなされたときに限られていました。

改正後は、違法又は不当な行為を助長し、又は誘発するおそれがある方法などにより不適正な利用がなされたときの利用停止および不正取得された個人データ以外にも、個人データの利用停止・消去の請求が可能となります。

●データの開示方法 

電磁記録の提供を含めて請求者本人によって開示方法を選択できるようになります。

●第三者提供記録の開示請求

個人情報を第三者に提供する際義務づけられている「第三者提供記録」を、本人が開示請求できるようになります。

●短期保存データの取扱い

取得から6カ月以内に消去するデータ(短期保存データ)も保有個人データに含め、保存期間に関わらず個人情報を持つ事業者に対して利用停止や開示を請求可能となります。

●オプトアウト規定の厳格化

改正前では、要配慮個人データに該当する個人データがオプトアウトの対象外とされておりました。改正法では、要配慮個人データに該当する個人データに加えて、不正な手段で取得された個人データ、オプトアウト規定により取得した個人データもオプトアウトによる第三者提供の対象外とする、第三者に提供できる個人データの範囲を限定するよう変更が加えられました。

また、オプトアウトによる第三者提供について、事業者の届出義務が新設され、オプトアウトを行う場合には、個人情報保護委員会に届出をする新たな規制が加えられています。

※オプトアウト規定とは、個人データを第三者提供する際には、原則として本人の同意が必要になりますが、あらかじめ本人に対して、第三者への提供が利用目的であること、提供される個人データの項目、提供方法、本人の求めがあれば事後的に停止することなど事前に本人に通知し、または知り得る状態に置いていれば、本人の同意なく第三者に個人データを提供できる制度です。(個人情報保護法 現行法第23条第2項)

 

事業者の守るべき責務の在り方 

●問題発生時の通知義務

事業者は情報漏えいや個人の利益損害のおそれがある問題が発生した場合、個人情報保護委員会および本人への通知が義務化されました。

●不適正な個人情報利用の禁止

違法、または不当な行為を助長、誘発するおそれのある不適正な方法により個人情報を利用してはならないと義務化されました。

 

事業者による自主的な取組を促す仕組みの在り方

個人情報保護法では、個人情報保護委員会の他に、民間団体を利用した情報保護を図っており、認定団体制度を設けていますが、認定団体制度について、企業の特定分野(部門)を対象とする団体を認定団体として認定できるようになりました。

 

データ利活用の推進

●仮名加工情報

個人情報の氏名を削除するなどして仮名加工した情報を「仮名加工情報」と新たに定義し、利用に条件を付けたうえで、開示・利用停止請求について個人情報ほど厳密な取り扱いをしなくてもよいとされました。

●第三者によって利活用される情報

データ取得時には個人データに該当しないものの、第三者に提供することで個人データとして用いられることが想定される情報を取得する際、本人の同意が得られていることの確認が義務付けられました。

 

ペナルティの強化

●個人情報保護委員会による命令違反・委員会に対する虚偽報告等の法定刑が引き上げられました。

●命令違反等の罰金について、法人と個人の資力格差等を考慮し、法人に対しては行為者よりも罰金刑の最高額を引き上げられました。

外国事業者への罰則追加 外国事業者であっても、日本国内の者に関係する個人情報を扱う場合、罰則で担保された報告徴収・命令対象となります。外国事業者においては、自国の名称や個人情報保護に関係する制度の有無などを個人データ提供者に対して通告しておく義務が発生するようになります。

 

この記事が気に入ったらサポートをしてみませんか?