令和4年4月～改正個人情報保護法

2020年6月に公布された「個人情報の保護に関する法律等の一部を改正する法律(通称：改正個人情報保護法)」

一部はすでに施行されていますが、2022年4月1日から本格的に施行されます。

これにより、個人の権利・事業者の義務(外国事業者含む)等が強化されます。

┗(｀・ω・´)┛ﾌﾝﾇｯ!

まずは復習から！

個人情報保護法とは

個人情報保護法（正式名称：個人情報の保護に関する法律）は、2003年5月に成立・2005年4月に施行されました。

上記にあるように、個人情報保護法は「個人情報の有用性と個人の権利・利益の保護とのバランスを図るための法律」です。

当時はインターネットが急速に発達し、個人情報を活用した便利なサービスがどんどん生み出されていました。

一方で国民の間では、個人情報を不必要に利用されること・または漏洩されてしまうこと等への不安が広がっていたため、この法律が定められました。

個人情報とは

簡単に言うと、「生存する個人に関する情報」であって、「特定の個人を識別することができるすべての情報」のことを指します。

例えば「氏名」「生年月日と氏名の組合せ」「顔写真」「個人識別符号(※)」等が個人情報に該当します。
※「個人識別符号」とは・・・指紋データ、パスポート番号、免許証番号、マイナンバー等、その情報だけで特定の個人を識別できる文字・番号・記号・符号等のこと

※なお、マイナンバーを含む個人情報のことを特定個人情報と言います。

個人情報の一部になりますが、特定個人情報の利用範囲は、「社会保障・税・災害対策」のみに限定されています。

個人情報とは異なり、原則として本人の同意があったとしても、個人番号利用事務*¹・個人番号関係事務*²以外で特定個人情報を利用してはいけません。

*¹個人番号利用事務…行政機関等が、社会保障、税及び災害対策に関する特定の事務において、保有している個人情報の検索、管理のために個人番号を利用すること
*²個人番号関係事務…事業者が法令に基づき、従業員等の個人番号を給与所得の源泉徴収票、支払調書、健康保険・厚生年金保険被保険者資格取得届等の書類に記載して、行政機関等及び健康保険組合等に提出する事務のこと

ﾍｪ~_〆(・∀・*)

改正ポイント

今回の改正内容からピックアップして5点お伝えします！

1⃣本人の権利が強化

これまでは個人情報を不正に取得したり、当初の目的とは違う目的に利用された場合にしか、利用停止・消去の請求ができませんでした。

また、第三者に提供された個人情報の利用停止・消去の請求に関しては、本人の同意なく第三者(外国も含む)に提供された場合に限られていました。

_φ(◎-◎ー)ﾔｸｿｸｶﾞﾁｶﾞｳﾖ~ｯﾃﾄｷﾈ

今回の改正により、下記のような場面でも個人情報の利用停止・消去・第三者への提供の停止を請求できるようになります。

⇒事業者が保有個人データを利用する必要がなくなったとき

⇒個人情報の漏えいが生じたとき

⇒個人情報の取り扱いにより、本人の権利または正当な利益が害される恐れがあるとき

2⃣事業者の責務の追加

改正法の施行後に一定の基準を満たす個人情報の漏えいが発生した場合には、漏えいさせてしまった事業者に対して下記の報告・告知の義務が生じます。

⇒個人情報保護委員会への報告

⇒漏えい対象となった被害者本人への告知

3⃣仮名加工情報という概念の誕生

仮名加工情報とは、今回の改正から新しく加わる概念です。

これまで個人を全く特定できないように加工した”匿名加工情報”というものはありました。

それに対し仮名加工情報とは、個人情報を加工して他の情報と照合しない限り特定の個人を識別できないようにした情報のことです。

個人情報と比較すると「利用目的の変更ができる」「漏えい時の報告義務がない」など、規制がゆるく設けられています。

4⃣罰則の強化(こちらのみ令和2年12月12日施行済み)

特筆すべきは法人への罰則強化です。

これまでは法人への罰金額は30～50万円以下だったのですが、「個人情報保護委員会からの命令違反」「個人情報データベース等の不正提供」においては最大1億円まで引き上げられています。

【出典】令和２年 改正個人情報保護法について ｜個人情報保護委員会

Σ(° x °U)ｲﾁｵｸｴﾝ!!

5⃣外国の事業者に対する法律の適用

これまでは国内の事業主のみに、報告徴収・立入検査の規定が適用されていました。
改正後は、日本国内に住んでいる人の個人情報を取り扱う外国の事業者も、上記のような罰則の対象となります。

また、外国にある第三者に個人データを提供するには、これまで下記3つの要件があったのですが、内容が強化されます。

【外国にある第三者に個人データを提供できる要件】
1.本人の同意を得ること　⇒本人の同意を得る際に、本人に対しては下記の情報を共有しなければならなくなります。

2.基準に適合する体制を整備した事業者であること　⇒提供元から提供先に対しての措置義務が設けられました。

3.日本と同等の水準の個人情報保護制度を有している国であること

上記の基準の他にも「個人情報保護委員会に相当する独立した外国執行当局が存在しているか」や「日本と連携及び協力が可能であると認められる国であること」等も加えて判断され、現時点ではEU諸国と英国が該当しています。

【出典】法令･ガイドライン等 ｜個人情報保護委員会

 

上手く活用すれば、個人にとっても企業にとっても有益な”個人情報”。
こうして守ってもらえる法律が整備されていると安心ですね！

*-ω-)*´ω`)ｳﾝｳﾝ♪

 

＊·‥… ━━━ ＊·‥…━━━＊‥…━━━ ＊‥…━━━ ＊‥…━━━ ＊‥…━━━ ＊
この内容は公開日時点のものです。
当ホームページに掲載されている情報の正確性については万全を期しておりますが、情報のご利用は利用者の責任の範囲とさせていただきます。
＊·‥… ━━━ ＊·‥…━━━＊‥…━━━ ＊‥…━━━ ＊‥…━━━ ＊‥…━━━ ＊