個人情報保護法の改正について(令和4年4月1日施行)
Q.
この4月から個人情報保護法が改正されたと聞いています。
その内容と会社として新たに対応が必要になることがあれば教えてください。
A. 個人情報保護法については、令和2年6月5日に「個人情報の保護に関する法律等の一部を改正する法律」が成立(同年6月12日に公布)し、今年の4月1日から全面的に施行されています。
(一部の改正事項については既に施行されているものもあります)
具体的な改正ポイントについて
具体的な改正ポイントは、次の6つになります。
6つの改正ポイント
①個人の請求権などの拡充
②事業者の責務の追加
③各企業が部門単位で集結する認定団体制度の新設
④個人情報データの利活用の促進
⑤法令違反に対する罰則の強化
⑥外国の事業者に対する罰則の適用
個人情報を取り扱いの注意点
改正は多岐に渡りますが、個人情報を取り扱う会社(事業者)側として特に注意すべきは、「②事業者の責務の追加」と「⑤法令違反に対する罰則の強化」ではないかと思います。
前者については、事業者が個人情報を漏えいさせてしまったような場合には、原則として、個人情報保護委員会(内閣府の外局)への報告と該当する個人への通知が義務になったこと、また、後者については、罰金が「50万円以下または30万円以下」から「1億円以下または50万円以下」に引き上げられていますので注意が必要です。
さらに詳しく…
個人情報保護法の改正ポイント
上記で挙げた個人情報保護法の改正ポイントについてもう少し解説すると、次のような内容になります。
①個人の請求権などの拡充
改正前
個人側から、個人情報の利用停止や消去などを請求できるのは、不正取得などの法律違反があった場合(それを証明することも必要)などに限られていました。
改正後
上記の請求については、個人の権利や利益が害される恐れがある場合にも請求できるようになるなど、個人側からの請求権が拡充されました
②事業者の責務の追加
改正前
事業者において個人情報の漏えいなどがあった場合には、個人情報保護委員会への報告は努力義務であり、本人に通知することは努力義務ですらありませんでした。(個人情報保護法に規定なし)
改正後
個人の権利や利益を害する恐れがある場合(一定数以上の個人情報データの漏えい、一定の類型に該当する場合に限定)には、個人情報保護委員会への報告と本人への通知が義務になりました。
③各企業が部門単位で集結する認定団体制度の新設
改正前
個人情報の保護については、業界団体などがガイドラインを策定するなど、民間団体での個人情報保護に関する自主的な取り組みが行われています。政府はこうした民間団体を「認定個人情報保護団体」として認定することで、民間団体による個人情報の保護の推進を図ってきました。この「認定個人情報保護団体」については、同じような業種の企業(各企業における全部門を含む)が集結した団体が対象とされていました。
改正後
この「認定個人情報保護団体」について、企業の中で同じような業務に従事する部門単位で集結した民間団体も認定を受けることが可能となりました。
④個人情報データの利活用の促進
改正前
個人情報のうち、氏名や住所を削除し、生年月日を生年月までに加工したような「当該個人情報を復元することができないようにした情報」は、「匿名加工情報」と定義され、特定された利用目的外での利用や第三者へ提供することが可能でした。(しかしながら、この「匿名加工情報」の加工基準は細かく定められているため、事業者における個人情報データの利活用の鈍化につながっていると言われていました。)
改正後
個人情報のうち、氏名などを削除しただけのような「他の情報と照合しない限り特定の個人を識別することができないようにした情報」が新たに「仮名加工情報」と定義され、当初の利用目的から変更した内部利用などが認められるようになりました。
⑤法令違反に対する罰則の強化
法令違反に対する罰則についてはさらに強化されていますが、改正前と改正後の違いは次の表とおりです。
| 違反の内容 | 懲役刑 | 罰金刑 | |||
|---|---|---|---|---|---|
| 改正前 | 改正後 | 改正前 | 改正後 | ||
| 個人情報保護委員会からの命令違反 | 行為者 | 6月以下 | 1年以下 | 30万円以下 | 100万円以下 |
| 法人等 | — | — | 30万円以下 | 1億円以下 | |
| 個人情報データベースの不正提供など | 行為者 | 1年以下 | 1年以下 | 50万円以下 | 50万円以下 |
| 法人等 | — | — | 50万円以下 | 1億円以下 | |
| 個人情報保護委員会 への虚偽報告など | 行為者 | — | — | 30万円以下 | 50万円以下 |
| 法人等 | — | — | 30万円以下 | 50万円以下 | |
※この改正については、既に令和2年12月12日から施行されています。
⑥外国の事業者に対する罰則の適用
改正前
個人情報保護委員会の、日本国内にいる者の個人情報を取り扱う外国の事業者に対する権限は、指導や助言、勧告といった限定的かつ強制力のないものでした。
改正後
個人情報保護委員会は、上記の外国の事業者についても罰則によって担保された報告徴収や命令を行えることとなり、命令に従わない場合には公表することもできるようになりました。
以上、今年の4月1日から施行されている改正個人情報保護法について説明しましたが、上記で説明した改正事項はあくまでその一部となります。改正事項の詳細については、個人情報保護委員会のホームページでご確認ください。
法改正等対応に困ったら… 鹿児島の社会保険労務士に相談する!
当事務所では、定期的に法改正情報等、労務問題や就業規則改訂に関与する情報の提供を行っています。
補助金・助成金活用、労務相談などお気軽にご相談ください。
各種ご相談、お問い合わせはこちら↓