個人情報保護法は、頻繁に改正される法律の一つです。
また、個人情報保護法の適用対象となるか否かに取り扱う個人情報の数の制限は設けられていないため、事実上すべての事業者が個人情報保護法の改正に対応しなければなりません。
では、企業が知っておくべき個人情報保護法の最近の改正には、どのようなものがあるのでしょうか?
また、今後も個人情報保護法が改正される予定はあるのでしょうか?
今回は、企業への影響の大きい2022年施行分の改正を中心に、個人情報保護法の改正について弁護士がくわしく解説します。
目次
<メディア関係者の方>取材等に関するお問い合わせはこちら
個人情報保護法の概要
そもそも、個人情報保護法とはどのような法律なのでしょうか?
はじめに、個人情報保護法の基本と改正の考え方について解説します。
個人情報保護法とは
個人情報保護法とは、個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする法律です(個人情報保護法1条)。
「個人情報の保護」だけを闇雲に追及しているのではなく、個人情報の有用性にも配慮されていることがポイントです。
個人情報を保護するために遵守すべきルールが定められている一方で、個人情報を一定程度加工して個人が復元できなくなった「匿名加工情報」は第三者提供にあたって本人同意が不要であるなど、個人情報の有用性を前提とした規定も多く設けられています。
個人情報保護法には「3年ごとの見直し」ルールがある
個人情報保護法は、施行後3年ごとに施行状況について検討し、必要があると認めるときは所用の措置を講ずることとされています(いわゆる3年ごと見直し)。
なぜなら、個人情報の保護に関する国際的動向や情報通信技術の進展、それに伴う個人情報を活用した新たな産業の創出・発展など、個人情報を取り巻く環境の変化は目まぐるしいものであるためです。
そのため、企業は個人情報保護法に一度対応すれば完璧ということはなく、その後も適宜改正法に対応していなかければなりません。
改正への対応でお困りの際は、弁護士へご相談ください。
近年における個人情報保護法の改正
個人情報保護法の近年の改正には、どのようなものがあるのでしょうか?
ここでは、近年の主な改正の概要について解説します。
2020年(令和2年)改正分
近年でもっとも重要な個人情報保護法の改正は、2020年(令和2年)に成立し2022年(令和4年)4月1日に施行された改正です。
この改正はすべての事業者に影響するものであり、避けて通ることはできません。
この改正による主なポイントは、後ほどくわしく解説します。
2021年(令和3年)改正分
もっとも新しい個人情報保護法の改正は、2021年(令和3年)に成立し、2022年(令和4年)4月1日に施行(地方公共団体等に適用される規定は2023年(令和5年)4月1日に施行)された改正です。
しかし、この改正が影響するのは主に国や行政機関などであり、多くの事業者にとってさほど影響があるものではありません。※1
そのため、以後は2020年(令和2年)改正分を中心に解説します。
※1 個人情報保護委員会:令和3年 改正個人情報保護法について(官民を通じた個人情報保護制度の見直し)
個人情報保護法改正ポイント1:漏えい等発生時の通知の義務化
ここからは、2020年(令和2年)に成立し2022年に施行された改正に焦点をあてて改正のポイントを解説します。
個人情報保護法改正ポイントの1つ目は、重要な漏えい等が発生した際における報告と通知の義務化です。
漏えい等発生時に企業に求められる対応
個人情報保護法の改正により、一定の漏えい等が発生した場合における報告・通知義務が新設されました。
一定の漏えい等が生じた場合、企業は原則として次の2つの対応をしなければなりません(同26条)。
- 個人情報保護委員会へ報告すること
- 本人に対して通知すること
ただし、本人への通知が困難な場合であり、かつ本人の権利利益を保護するために必要なこれに代わるべき措置をとるときには、例外的に本人への通知は不要となります。
個人情報保護委員会への報告などが求められる「漏えい等」とは
個人情報保護法での「漏えい等」とは、個人データの漏えい、滅失、毀損をいいます。
「漏えい」だけが義務の対象となるわけではないことには注意が必要です。
ただし、改正法の施行後であっても、すべての漏えい等について個人情報保護委員会への報告などが必要となるわけではありません。
個人情報保護委員会への報告や本人への通知が必要となるのは、次のいずれかに該当する事態が生じ、または生じたおそれがある場合です(同26条、個人情報保護法施行規則7条)。
- 要配慮個人情報が含まれる個人データの漏えい等
- 不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等
- 不正の目的をもって行われたおそれがある個人情報取扱事業者に対する行為による個人データの漏えい等
- 個人データに係る本人の数が1,000人を超える漏えい等
なお、「不正の目的」の主体は従業員などに限定されません。
そのため、外部からの不正アクセスにより漏えい等が生じた場合は、原則としてこの報告や通知が必要な漏えい等に該当します。
個人情報保護法改正ポイント2:外国企業へのデータ提供時における情報提供義務の整備
個人情報保護法改正ポイントの2つ目は、外国企業への個人データ提供時における情報提供義務の整備などです。
ここでは、外国にある第三者に個人データを提供する場合における改正後の対応をケースごとに解説します。
日本同等の水準国の場合
第三者が所属する国が、EUなど個人情報の保護について日本と同等の水準にある国である場合には、外国にある第三者であるからといって特別な措置は必要ありません(同28条1項)。
日本国内の第三者提供の場合と同様に、原則として本人の同意を得るかオプトアウト方式による措置を講じることで第三者提供が可能です。
基準に適合した事業者の場合
第三者が所属する国が個人情報の保護について日本と同等の水準にある国でない場合であっても、その提供先の第三者が基準に適合した事業者である場合は、日本国内の第三者提供の場合と同様の方法で第三者提供が可能です。
ただし、この場合には移転先における適正な取扱い状況について移転元企業が定期的に確認する必要があるほか、移転先において適正な取扱いに問題が生じた場合は、移転元企業が適切な対応をしなければなりません。
また、本人から求めがあった場合には、必要な措置等に関する情報を提供することが必要です(同3項)。
その他の事業者の場合
提供先の第三者が個人情報の保護について日本と同等の水準にある国になく、また一定の基準に適合していない場合、本人から外国にある第三者への提供に関する同意を取得するにあたって次の情報を提供しなければなりません。
- 移転先の所在国の名称
- その外国における個人情報の保護に関する制度
- 移転先の事業者が講じる個人情報保護に関する措置
これらの情報が提供されなければ、本人が第三者提供に同意する否か適切な判断をするのが困難となるためです。
個人情報保護法改正ポイント3:個人関連情報の新設
個人情報保護法の改正により、「個人関連情報」が新設されました。
ここでは、個人関連情報の概要と取り扱いのルールについて解説します。
個人関連情報とは
個人関連情報とは、生存する個人に関する情報であって、個人情報、仮名加工情報、匿名加工情報のいずれにも該当しないものです(同2条7項)。
たとえば、次のものなどがこれに該当します。
- Cookieなどの端末識別子を通じて収集された、ある個人のウェブサイト閲覧履歴
- ある個人の商品購買履歴やサービス利用履歴
- ある個人の位置情報(ただし、特定個人を識別できる程度に蓄積された位置情報は、個人関連情報ではなく個人情報に該当する)
個人関連情報の取り扱いルール
個人関連情報は個人情報には該当しないため、取り扱いルールが緩和されます。
ただし、提供先の第三者が個人関連情報を個人データとして取得することが想定されるときは、原則として、提供先において本人の同意が得られていることなどを提供元事業者が確認しなければなりません(同31条1項)。
つまり、A社がB社に個人関連情報を提供しようとする場合、B社がこれをもともと保有している個人データなどと結び付けるなど個人データとして取得するのであれば、B社はあらかじめ本人の同意を得る必要があります。
そして、提供元であるA社としては、B社が本人の同意を得ていることを確認しなければならないということです。
個人情報保護法改正ポイント4:仮名加工情報の新設
個人情報保護法の改正により、「仮名加工情報」が新設されました。
ここでは、仮名加工情報の概要と匿名加工情報との違いなどについて解説します。
仮名加工情報とは
改正によって新設された「仮名加工情報」とは、一定の措置を講じ、他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報です(同2条5項)。
一定の措置とは、次の措置を指します。
- 氏名、生年月日などの記述や他の情報との容易な照合により特定個人を識別できる個人情報:その個人情報に含まれる記述等の一部を削除することや、復元できない方法で他の記述等に置き換えること
- 個人識別符号が含まれる個人情報:個人識別符号の全部を削除することや、復元できない方法で他の記述等に置き換えること
匿名加工情報との違い
仮名加工情報と似たものに、匿名加工情報があります。
匿名加工情報とは、一定の措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、その個人情報を復元することができないようにしたものです(同2条6項)。
仮名加工情報と似ているものの、匿名加工情報では「復元できないようにする」ことまでが要求される点で異なります。
仮名加工情報の取り扱いルール
仮名加工情報に該当する場合、次の義務の対象から除外されます。
- 利用目的の変更の制限(同17条第2項)
- 漏えい等の報告義務及び本人通知義務(同26条)
- 保有個人データに関する事項の公表等、保有個人データの開示・訂正等・利用停止等への対応等(同32条から39条)
ただし、仮名加工情報は内部でのマーケティングへの活用などが想定されているものであり、第三者への提供はできません。
第三者提供をする場合は、個人データのまま本人の同意など所定の措置を講じたうえで行うか、匿名加工情報としたうえで行う必要があります。
なお、匿名加工情報の場合、第三者提供に制限はなく、本人の同意も不要です。
【2024年9月】個人情報保護法今後の改正予定
個人情報保護委員会では、「いわゆる3年ごと見直し」について、2023年11月から具体的な検討が進められています。
2024年6月、「個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理」がまとめられ、同年9月、パブリック・コメントの結果も公表されました。
2024年9月現在、中間整理を踏まえた意見集約を行い具体的な方向性を得るために、有識者検討会が開催されています。
関心のある方は、個人情報保護委員会のウェブサイトを確認するとよいでしょう。
まとめ
個人情報保護法の改正について、2020年公布(2022年4月1日施行)分を中心に解説しました。
この改正は多岐にわたり、特に漏えい等の報告・通知義務の新設は影響が大きいでしょう。
また、外国にある第三者への個人データについての規定が整備され、外国企業に個人データを移転する際にはこれまで以上に注意を払わなければなりません。
一方で、個人関連情報や仮名加工情報に関する規定が創設されたことで、適切な加工を施すことにより、情報をマーケティングなどへ活用しやすくなりました。
この改正法はすでに施行されているものの、なかには対応が間に合っていない事業者様もいることでしょう。
対応できていない事業者様は早期に弁護士へ相談し、プライバシーポリシーの改訂など改正個人情報保護法への対応を急がなければなりません。
Authense法律事務所では、企業法務に特化した専門チームを設けており、個人情報保護法の改正対応についても多くのサポート実績があります。
個人情報保護の改正へ対応できておらずお困りの事業者様や、自社における個人情報保護法の改正対応に問題がないか確認したい事業者様は、Authense法律事務所までお気軽にご相談ください。
