個人情報保護法の改正
杉野由和2020年の改正個人情報保護法は、原則として2022年4月1日(法定刑引上げは2020年12月12日、法23条2項は2021年10月1日)から施行されます。
改正の主要ポイントは、①個人の権利の強化、②事業者の責務の強化、③事業者による自主的取組の強化、④データ利活用の見直し、⑤罰則の強化、⑥域外適用の拡大です。
1.個人の権利の強化
・本人が事業者に対して個人データの利用停止・消去を請求できる場合として、目的外使用・不正取得の場合(16条、17条)に加えて、不適正利用禁止違反の場合(16条の2)、利用する必要がなくなった場合、重大な漏洩等が発生した場合(22条の2第1項)及び本人の権利又は正当な利益が害されるおそれがある場合が追加されました(30条1項、5項)。
・事業者から第三者に対する個人データの提供の停止を請求できる場合として、第三者提供義務違反の場合(30条3項)に加えて、利用する必要がなくなった場合、重大な漏洩等が発生した場合(22条の2第1項)及び本人の権利又は正当な利益が害されるおそれがある場合が追加されました(30条5項)。
・但し、多額の費用を要する等の理由で利用停止・消去・第三者提供停止が困難な場合において、事業者が本人の権利利益を保護するために必要な代替措置を講じるときは、この限りではありません(30条6項)。
・本人が事業者に対して保有個人データの開示を請求できる方法として、書面の交付に加えて、電磁的記録(CD-ROM、電子メール、ウェブサイト等)の提供によることも可能となりました(28条1項)。但し、多額の費用を要する等の理由で電磁的記録の提供によることが困難な場合は、この限りではありません(28条2項)。
・本人への開示・訂正・利用停止等の対象となる「保有個人データ」には6ヶ月以内に消去することとなるものが除外されていましたが、6ヶ月以内に消去されることとなる短期保有データも保有個人データに含まれることになりました(2条7項)。
・第三者提供記録(個人データの第三者提供の際に提供する側と提供される側で作成する記録(25条1項、26条3項))についても、公益その他の利益が害される場合(施行令9条)を除き、本人による開示請求の対象になりました(28条5項)。
・オプトアウト規定(*)により第三者に提供できる個人データから、要配慮個人情報、不正取得された個人データ及びオプトアウト規定により提供された個人データが除外されました(23条2項)。
(*)本人の求めがあれば事後的に停止することを前提に、提供する個人データの項目等を公表等した上で、本人の同意なく第三者に個人データを提供できる制度。
2.事業者の責務の強化
・個人データの漏洩等が発生し個人の権利利益を害するおそれが大きい場合(*)は、事業者は個人情報保護委員会に報告し、且つ本人に通知しなければなりません(22条の2第1項)。但し、本人に対する通知については、通知が困難な場合において事業者が本人の権利利益を保護するために必要な代替措置を講じるときは、この限りではありません(22条の2第2項)。また、事業者が個人データの取扱の委託を受けた場合において事業者が個人データの漏洩等を委託者に通知したときは、この限りではありません(22条の2第1項)。
(*)要配慮個人情報の漏洩等、財産的被害のおそれのある漏洩等、不正目的によるおそれのある漏洩等、1000件を超える漏洩等又はそれらのおそれ(施行規則6条の2)
・事業者の個人情報を適正に取得する義務(17条)に加えて、違法又は不当な行為を助長し又は誘発するおそれがある方法による個人情報の利用(「不適正利用」)が禁止されました(16条の2)。
・事業者が公表しなければならない事項として、安全管理のために講じた措置(*)が追加されました(27条1項4号)。
(*)組織的安全管理措置、人的安全管理措置、物理的安全管理措置、技術的安全管理措置、外的環境の把握等(施行令8条1号)
3.事業者による自主的取組の強化
・民間の認定個人情報保護団体が特定の事業の種類その他業務の範囲に限定した個人情報を対象とする場合も認められるようになりました(47条2項)。
4.データ利活用の見直し
・事業者が個人データには該当しないが提供先において個人データとして取得されることが想定される情報(「個人関連情報」)を第三者に提供する場合は、(原則として提供先が)本人の同意を得ていること等を確認しなければなりません(26条の2)。
・「仮名加工情報」(他の情報と照合しない限り特定の個人を特定できないように個人情報を加工して得た個人に関する情報)(2条9項)及び仮名加工情報である個人データ・保有個人データについては、目的外利用禁止(15条2項)、漏洩等の報告(22条の2)、保有個人データ事項の公表(27条)、保有個人データの開示・訂正・利用停止等(28条乃至34条)の規定が適用されないこととなりました(35条の2第9項)。
5.罰則の強化
・措置命令(42条2項、3項)違反の法定刑が6月以下の懲役又は30万円以下の罰金から1年以下の懲役又は100万円以下の罰金に引き上げられました(83条)。
・報告義務(40条1項、56条)違反の法定刑が30万円以下の罰金から50万円以下の罰金に引き上げられました(85条)。
・法人が83条及び84条に違反した場合は1億円以下の罰金を科されることになりました(87条1項)。
6.域外適用の拡大
・外国にある第三者に個人データを提供するためには、①本人の同意を得ること、②第三者が基準に適合する体制を整備していること、又は③日本と同等の水準の個人情報保護制度を有する外国であることのいずれかが必要です。今回の改正により、①については、同意取得時に所在国の名称・当該外国における個人情報保護制度・移転先が講ずる個人情報保護措置に関する情報を本人に提供しなければならず、②については、移転先における適正取扱の実施状況等の定期的確認及び移転先における適正取扱に問題が生じた場合の対応等の必要な措置をしなければならず、本人の求めに応じて必要な措置に関する情報を提供しなければなりません(24条2項、3項)。 ・国内にある者に対する物品役務の提供に関連して国内にある者を本人とする個人情報等を外国において取り扱う事業者も、罰則により担保された報告徴収・命令・立入検査等(40条)の対象となりました(75条)。
