改正個人情報保護法について
令和4年4月1日施行の改正個人情報保護法について
個人情報保護法は平成27年の改正で、技術や社会情勢に変化に対応するために「3年ごとに見直す」ことが定められました。この定めに従い、昨年(令和2年)6月に改正個人情報保護法が成立し、周知期間を経て令和4年4月1日に全面施行されます(一部施行済み)。
改正法では、
・個人情報に関連する犯罪・事故の抑止
・本人の権利の拡大
・個人情報の利活用を図る
ことを目指しています。
しかし、この改正法には新しい個人情報に関する概念が登場するなど以前にもまして難解です。
弁護士による解説文書も間違っていることも多いので、ここで簡単に解説します。
主なポイントは以下の通りです。
① 個人の権利の拡大
② 事業者の責務
③ 認定個人情報保護団体について
④ 個人データ利活用について
⑤ 違反時のペナルティの重罰化
⑥ 法の域外適用・越境移転について
以下、事業者にとって重要なポイントを解説します。
① 個人の権利の拡大
従来、自分の個人情報の利用(例.DM送付)を止めて欲しいと思っても、事業者が違法取得や目的外利用など不法行為がなければ「利用停止請求権」自体がありませんでしたが、原則として利用停止請求ができるようになりました。
このような利用停止請求権の拡大など、いくつかの本人の権利の拡大に伴い、事業者も以下のような対応が必要になります。
・保有個人データ(開示等の請求に対応すべきもの)に短期消去予定のものも含む
・保有個人データの利用停止請求への対応
・保有個人データの開示について、電子的な方法も含める(CD,メール、ダウンロードなど)
=>事業者は対応が必要です
・名簿事業者は、本人から自分の個人情報をいつだれに売ったかの開示請求への対応
・名簿事業者は、他の名簿事業者から購入した名簿の転売禁止
(事業者は名簿購入時に転売された名簿ではないことを確認する義務を負う)
② 事業者の責務
・要配慮個人情報やクレジットカード情報の漏えい時には、個人情報保護委員会への報告を義務化(従来は、努力義務)
・報告は、速報3日以内、確報を30日以内にする
・個人情報の適正な取得に加えて、不適正な利用や不適正な利用の可能性のある利用法の禁止。
・保有個人データに関する事項の周知に、以下の事項を追加
- 事業者名に加え、事業者住所、代表者氏名 (共同利用の場合も)
- 安全管理措置の概要(公表により支障を及ぼすおそれがあるものを除く。)
- プロファイリングする場合にはその旨(個人情報取得時にも明示)
・共同利用する場合に、幹事社名だけでなく、代表者氏名・住所の通地も必要。
=>HPの修正が必要です
③ 認定個人情報保護団体について(省略)
④ 個人データ利活用について(利活用推進とともに、GAFA対策)
・「仮名加工情報」を創設。内部分析やAIに学習させるなど、仮名化し、かつ内部利用に限り利用目的変更の手続きなどを緩和
・「個人関連情報」(クッキーやIPアドレスなど個人情報ではない個人に関する情報)を創設。第三者提供する際、提供先で個人情報と組み合わせて活用する場合には、提供先が本人の同意を得るか、提供元が代理で同意を取得しておく。
⑤ 違反時のペナルティの重罰化
個人情報保護法にも刑罰があり、会社の個人情報を外部に横流ししたりすると「個人情報データベース提供罪」が適用され、罰金刑が課されましたが、今回の改正で法人罰(従業者が違法行為をした場合、違法行為を止めるための十分な措置(教育や誓約書)を十分に取っていなかった場合に連座)が重罰化されました。
・行為者:50万円以下の罰金 または 1年以下の懲役の併科
・法人 :1億円以下の罰金
この罰則の強化は、すでに令和2年12月12日から適用されています。
ちなみに、個人情報に限らない「不正競争防止法」での営業秘密摂取罪は、以下のようになっています。
・行為者:2000万円以下の罰金(海外重課3000万円) および/または 10年以下の懲役の併科
・法人 :5億円以下の罰金(海外重課10億円)
こちらの方が刑罰が重いので、実務ではこちらが使われるでしょう。
⑥ 法の域外適用・越境移転について
・国内の者の個人情報を外国で取り扱う外国事業者にも法を適用する
・外国にある第三者に個人データを提供(第三者提供・委託)する場合に本人の同意を得る場合(EU域以外や委託先審査をしていない場合)には、以下の事項も示す。
- 移転先の国 (例:AWS米国西部リージョンを利用しています)
- カントリーリスク(例:当該外国では「米国自由法」と「海外データ合法的使用明確化法(CLOUD法)」の適用を受けます)
- 情報参照先 (例:国立国会図書館海外立法考査局)
また、「保有個人データに関する事項の周知」内で安全管理にする事項として周知することが必要。
=>調査やHPの修正が必要です
【注意】法では「当該第三者による相当措置の実施に影響を及ぼすおそれのある当該外国の制度の有無及びその概要」を本人に情報提供をすることを求めています。そのため個人情報保護碁委員会は、参考情報を委員会HPで公表しました。
https://www.ppc.go.jp/personalinfo/legal/kaiseihogohou/#gaikoku
https://www.ppc.go.jp/files/pdf/201803_shogaikoku.pdf
しかし、2022/2/10公表の情報は「当該国では個人情報保護法がないから日本と同様の保護は期待できない」という程度の情報しかありません。上記のような「法律がないことによるリスク」どころではなく「リスクを及ぼす法制度」については全くカバーしておらず、法律の趣旨に合致しているとはいい難い状況です。(2022/2/16追記)
以上
補足 2021/12/14
12月1日総務省「プラットフォームサービスに係る利用者情報の取扱いに関するワーキンググループ(第8回)」において、新たなインターネット広告規制についての方針が出されました。
WEBの閲覧履歴やクリックしたことのある広告の情報を元に他のサイトに移っても類似広告が表示される「行動ターゲティング広告」に対する規制が検討されています。
インターネットのインフラ事業者などが、利用者のWEBの閲覧履歴を第三者に提供する場合、本人の同意が必要となるよう、電気通信事業法を来年にも改正する、ということです。
個人のWEBの閲覧履歴は個人関連情報であり、改正個人情報保護法では提供先で個人情報と結びつけて利用する場合に提供先が同意を取るのが原則ですが、総務省案では、提供元で同意を取ることを要求するようです。
ネット閲覧履歴提供「利用者の同意必要」…総務省、企業に義務付けへ
https://www.yomiuri.co.jp/economy/20211201-OYT1T50349/
「プラットフォームサービスに係る利用者情報の取扱いに関するワーキンググループ(第8回)」
https://www.soumu.go.jp/main_sosiki/kenkyu/platform_service/02kiban18_02000175.html