個人情報保護法の改正と必要な対応
タイトル..
個人情報保護法の改正と必要な対応
個人情報保護法は3年ごとに見直されることとされており、その改正法が頻繁に施行されています。
近年の個人情報保護法の改正の履歴とこれに伴う必要な対応は以下のとおりです。
1.2024年4月1日施行の個人情報保護法施行規則の改正内容について
(1)漏洩等の報告・通知義務の対象拡大
2024年4月1日施行の個人情報保護法施行規則では、漏えい等の報告・通知義務の対象が一定の要件を満たす「個人情報」にまで拡大されました。
改正前の漏えい等の報告・通知義務の対象は「個人データ」(個人データとは、個人情報データベース等を構成する個人情報をいいます。)に限られていました。
しかし、ウェブスキミング(ECサイトなどに不正プログラムを設置し、ユーザーが入力フォーム等に入力する個人情報を不正に取得する手法)で漏えい等する情報は、個人情報取扱事業者の個人情報データベース等に組み込まれる前の個人情報であり、これが漏えい等しても報告・通知義務の対象にはなりませんでした。
そこで、漏えい等の報告・通知義務の対象である個人データの定義に「当該個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、個人データとして取り扱われることが予定されているものを含む。」が加えられ、個人情報取扱事業者の個人情報データベース等に組み込まれる前の個人情報も報告・通知義務の対象となり、ウェブスキミングによる漏えい等の被害が報告・通知される環境が整えられました。
(2)安全管理措置の対象拡大
漏えい等の通知・報告義務の対象が拡大されたことに伴い、個人情報取扱事業者が講じるべき安全管理措置の一環として、個人情報取扱事業者が個人データとして取り扱うことを予定している個人情報(個人情報取扱事業者が取得し、又は取得しようとしている個人情報)の漏えい等を防止するために必要かつ適切な措置も含まれることになりました。
《必要な対応》
・ホームページのプライバシーポリシー(個人情報保護方針)などで保有個人データの安全管理措置を本人の知り得る状態に置く対応をしている場合は、上記の一定の要件を満たす個人情報も安全管理措置の対象に含める旨を追記します。 ・上記の一定の要件を満たす個人情報が漏えい等するケースはウェブスキミングに限られず、従業員が個人情報データベース等に格納する前の個人情報を記載した書面が第三者により盗まれたといった場合も漏えい等の報告・通知義務が生じますので、社内規程を修正し、また、社内に周知しておくことが必要です。 ・業務委託先が個人情報データベース等に組み込まれる前の個人情報を取り扱うことが想定される場合は、受託者において報告対象となる事態が発生した場合に、受託者が委託者に対して報告義務を負う対象を、今回の改正内容に合わせて修正しておくことが必要です。 |
2.2022年4月1日施行の個人情報保護法の改正内容について
(1)公表事項の追加
2022年4月1日施行の個人情報保護法では、個人情報取扱事業者が公表等すべき事項として以下の事項が追加されました。
①個人情報取扱事業者の住所及び法人にあっては代表者の氏名
②今回の改正法により追加された第三者提供記録の開示請求等に応じる手続
③保有個人データの安全管理措置
また、法令上規定されているわけではありませんが、個人情報保護委員会が公表しているガイドラインに改訂があり、「本人から得た情報から、本人に関する行動・関心等の情報を分析する場合、個人情報取扱事業者は、どのような取扱いが行われているかを本人が予測・想定できる程度に利用目的を特定しなければならない。」とされたため、AIによる個人情報の分析結果をマーケティングに利用している場合は、当該利用目的をできる限り特定して公表することが求められます。
《必要な対応》
・ホームページのプライバシーポリシー(個人情報保護方針)などに上記公表事項を追加します。 ・公表等している利用目的が具体的かつ明確になっているかを確認し、抽象的な利用目的になっている場合はこれを修正します。 |
(2)保有個人データの開示方法の電子化
旧法下では、保有個人データの開示は原則として書面の交付によることとされていました。
2022年4月1日施行の個人情報保護法では、個人情報取扱事業者は、保有個人データの開示の請求を受けたときは、電磁的記録の提供による方法、書面の交付による方法その他個人情報取扱事業者の定める方法のうち本人が請求した方法により、当該保有個人データを開示しなければならなくなりました。ただし、個人情報取扱事業者は、開示請求を受け付ける方法として、本人に過重な負担とならない範囲で、その手続を定めることができます。
《必要な対応》
電磁的記録の提供による方法については、個人情報取扱事業者がファイル形式や記録媒体などの具体的な方法を定めることができるため、これを事前に定め、ホームページなどに掲載している開示請求等の手続の案内や社内対応マニュアルを改定します。 |
(3)保有個人データの利用停止及び消去並びに第三者への提供禁止の請求権の要件緩和
保有個人データの利用停止と消去を請求するときの要件について、旧法と新法の関係を整理すると次のとおりです。
※「旧」:旧法からある要件 「新」:新法で追加された要件
【利用停止及び消去の要件】
旧 ①本人の同意なく目的外利用されているとき(旧法16条/新法18条違反)
旧 ②不正の手段により取得されたとき(旧法17条/新法20条違反)
旧 ③本人の同意なく要配慮個人情報が取得されたものである
新 ④不適正な利用が行われているとき(新法19条違反)
新 ⑤利用する必要がなくなったとき
新 ⑥本人が識別される保有個人データの漏洩等が生じたとき(法26条第1項本文の事態が生じたとき)
新 ⑦本人の権利または正当な利益が害されるおそれがあるとき
【第三者提供の停止の要件】
旧 ①本人の同意なく第三者に提供したとき(旧法23条1項/新法27条1項違反)
旧 ②本人の同意無く外国にある第三者に提供したとき(旧法24条/新法28条違反)
新 ③利用する必要がなくなったとき
新 ④本人が識別される保有個人データの漏洩等が生じたとき(法26条第1項本文の事態が生じたとき)
新 ⑤本人の権利または正当な利益が害されるおそれがあるとき
《必要な対応》
保有個人データの利用停止及び消去並びに第三者への提供禁止の請求を受けたときに使用する社内対応マニュアルを改訂します。 |
(4)第三者提供記録の開示請求の追加
第三者提供記録とは、個人情報取扱事業者が個人データを提供し、または受領するときに作成することが義務付けられている記録です。
旧法下では、本人が個人情報取扱事業者に対して第三者提供記録の開示を請求することは認められていませんでした。
新法下では、この第三者提供記録の開示を請求することができるようになりました。
《必要な対応》
ホームページなどに掲載している開示請求等の手続の案内や社内対応マニュアルに、第三者提供記録の開示に関する事項を追加します。 《注意》これまで第三者提供記録の作成が十分でなかった個人情報取扱事業者は、第三者提供記録の作成から対応していく必要があります。 |
(5)短期保有データの廃止
旧法下では、6ヶ月以内に消去されるデータ(短期保有データ)は「保有個人データ」に含まれておらず、個人情報保護法上の保有個人データに関する規制が適用されていませんでした。
新法下では、短期保有データに関する規定は削除されました。
《必要な対応》
・ホームページのプライバシーポリシー(個人情報保護方針)などに掲載している保有個人データの利用目的について、今までは短期保有データに関する利用目的であることを理由に挙げていなかったものがないかを見直します。・保有個人データの開示請求等の手続の対象に今までの短期保有データも含めるように社内対応マニュアルを改定します。 |
(6)漏洩時の報告義務及び通知義務
旧法下では、個人データの漏洩等が発生したときに個人情報保護委員会に報告する法的義務はありませんでした。
新法下では、個人データの漏洩等が発生したときに、一定の場合を除いて、個人情報保護委員会へ報告することが義務化されました。同時に、本人に通知することも義務化されました。
《必要な対応》
個人データの漏洩等が発生したときの社内対応マニュアルを作成します。また、社内研修を実施し、個人データの漏洩等が発生したときの対応体制を社内に周知します。 |
(7)仮名加工情報制度の新設
仮名加工情報とは、個人情報を、その区分に応じて次に掲げる措置を講じて他の情報と照合しない限り特定の個人を識別することができないように加工して得られる個人に関する情報をいいます。
①「当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別できるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含みます。)」である個人情報の場合:当該個人情報に含まれる記述等の一部を削除すること
②個人識別符号が含まれる個人情報の場合:当該個人情報に含まれる個人識別符号の全部を削除すること(この措置を講じた上で、まだなお①の個人情報であった場合には、同号に該当する個人情報としての加工を行う必要があります。)
旧法下では、「仮名加工情報」という情報の分類はありませんでした。
新法下では、仮名加工情報制度が新設され、個人情報ではない仮名加工情報については利用目的による制限や利用目的の公表に関する義務が緩和され、主に個人情報取扱事業者内部での利用がしやすくなるとともに、漏洩等の報告等や本人からの開示等の請求などに関する義務も緩和されました。
《必要な対応》
仮名加工情報を適切に加工し、利用し、安全管理措置を整備・実施できるように社内対応マニュアルを作成します。また、社内研修を実施し、仮名加工情報に関するルールを社内に周知します。 |
(8)個人関連情報制度の新設
個人関連情報とは、生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいいます。たとえば、ウェブのCookieが代表的な例になります。
旧法下では、「個人関連情報」という情報の分類はありませんでした。
新法下では、提供元にとっては個人関連情報ですが、提供先において個人データとなることが想定されるものを第三者提供するときは、本人の同意が得られていること等の確認が必要になりました。
《必要な対応》
個人関連情報を第三者提供しているか否かを確認し、第三者提供している場合には本人の同意が取られていること等の確認に関する対応マニュアルを作成します。また、社内研修を実施し、個人関連情報に関するルールを社内に周知します。 |
(9)違反時の罰則強化
新法下では、違反時の罰則が強化されます。
項目 | 対象 | 旧法 | 新法 |
個人情報保護委員会の措置命令違反 | 個人 | 6ヶ月以下の懲役または30万円以下の罰金 | 1年以下の懲役または100万円以下の罰金 |
法人 | 30万円以下の罰金 | 1億円以下の罰金 | |
虚偽報告等の報告義務違反 | 個人 | 30万円以下の罰金 | 50万円以下の罰金 |
法人 | 30万円以下の罰金 | 50万円以下の罰金 | |
個人情報データベース等の不正使用 | 個人 | 50万円以下の罰金 | 1年以下の懲役または50万円以下の罰金 |
法人 | 50万円以下の罰金 | 1億円以下の罰金 |
(10)その他
以上の他に、新法では、個人情報の不適正な利用の禁止に関する規定の新設、事業者の特定の分野を対象とする団体の認定団体制度の新設、外国の事業者に対する報告徴収・立入検査等の対象化が行われました。