令和2年改正の重点とは？改正個人情報保護法を徹底解説

2022年4月1日から、改正個人情報保護法が施行されることになっています。個人情報保護法は令和2年と令和3年に改正されており、目まぐるしく内容が移り変わっているため、情報が整理できていない方も多いのではないでしょうか。

今回は改正個人情報保護法を解説します。

改正個人情報保護法とは？

改正個人情報保護法が成立したのは平成27年で、平成29年5月30日から全面施行されました。施行後3年ごとに内容を見直す規定があったことも影響し、平成29年からちょうど3年後、令和2年に改正されています。

令和2年の改正の背景として挙げられるのは、情報通信技術の発展です。膨大な量のデータを扱うビックデータ社会に移行し、個人情報をより適切に扱う必要が出てきました。また越境ECのような海外マーケティングも盛んになり、「国境を越えて個人情報をどのように保護していくのか」が重要になった側面もあります。

令和2年改正の重点としては、以下の6項目が挙げられます。

・個人の権利に関すること

・事業者側の責務に関すること

・事業者の自主的な取り組みに関すること

・データの利用や活用に関すること

・ペナルティに関すること

・域外適用や越境移転に関すること

また先ほども触れたように、個人情報保護法は令和2年改正だけでなく、令和3年改正もあります。しかし令和3年改正は、主に行政機関や独立法人に関するもので、事業者を対象とした改正ではありません。次の項目から、令和2年改正の詳細を解説します。

個人の権利に関すること

令和2年改正では、従来の書面以外にも、デジタルデータで開示を請求できるようになりました。また従来は対象に含まれていなかった、事業者における個人データの第三者提供記録も開示が請求できるように変更されています。

これまで、6ヶ月以内に消去される短期保存データは、開示請求の対象ではありませんでした。しかし令和2年改正によって、この短期保存データも、「開示・利用停止の対象となる保有個人データ」に含まれることになっています。

それから個人情報保護法には、例外的に個人データを第三者に提供できる制度（オプトアウト制度）が用意されています。今回の法改正では、このオプトアウト制度の規制が強化され、第三者に提供できない情報が増えました。

事業者の責務に関すること

事業者側の責務としては、漏えい等報告の義務化が行われています。漏えいの事実が発覚し、個人の権利利益を害する可能性が発生した場合は、「個人情報保護委員会への報告」と「本人への通知」が義務となりました。

また新設されたものとしては、不適正な方法による利用の禁止が設定されています。これは違法行為を助長するような形で、個人情報を利用してはならないルールです。上記は「違法行為を営む第三者に個人情報を提供する」など、相当悪質なケースを想定しています。

事業者の自主的な取り組みに関するもの

事業者の自主的な取り組みに関するものとしては、認定個人情報保護団体制度の充実が挙げられます。これは認定団体の話で、企業に大きく関係する話ではありませんが、簡単にいえば「企業の特定分野だけを認定できる」制度です。

たとえば従来の認定団体は、企業を認定する際に、その企業に含まれるすべての分野を認定していました。しかし法改正によって、「〇×会社の広報部門」など、分野に絞って認定できるようになっています。これによって、分野ごとの個人情報保護が可能です。

データの利用や活用に関すること

データの利用や活用に関することとしては、まず「仮名加工情報」の創設があります。文字通り個人情報を加工したもので、他の情報と照合しない限り、特定の個人を識別できないようになっています。これは、イノベーションを促進する観点から導入されるものです。

たとえば医療や製作分野における研究は、いくつかの個人データを使用しますが、開示請求にいちいち対応していると研究効率が落ちてしまいます。こうした内部分析に限定して、開示・利用停止請求への対応義務を緩和しました。

ちなみに仮名加工情報は、匿名情報とは別物です。匿名情報は特定の個人を一切識別できず、復元もできません。一方で仮名加工情報は、「対照表と照合すれば本人を識別できる程度」まで加工された情報となります。

ペナルティに関すること

ペナルティのあり方としては、まず委員会による命令違反や、委員会に対する虚偽報告などの「法定刑の引き上げ」がなされました。さらに罰金については、個人（行為者）よりも法人の罰金刑の最高額が高く設定されています。

たとえば「個人情報保護委員会からの命令への違反」の場合、行為者の罰金額は100万円以下、法人の罰金額は1億円以下（改正後）となっています。

域外適用や越境移転に関すること

域外適用は、日本国内に居住する人の個人情報を取り扱っている外国事業者に対して、個人情報保護委員会が権限行使できるものです。つまり外国事業者に対する日本の法の適用に関することなので、日本の事業者や個人には関係ありません。

また越境移転に関するものとしては、外国にある第三者への個人データを提供する際に、個人情報を充実させる旨が定められています。

まとめ

今回は改正個人情報保護法を解説しました。時代の移り変わりによって、法律の内容も変わってきます。昨今では情報通信技術の発展が大きな影響を及ぼしており、これからもますます新しい内容が盛り込まれていくでしょう。

企業側は、法改正に際して個人データ取り扱い状況の把握やプライバシーポリシーの改定など、さまざまな前準備が求められます。今一度社内の体制を見直してみるとよいでしょう。