2022年05月27日

個人情報保護法の改正をチェックしていますか？

令和２年６月１２日に個人情報の保護に関する法律等の一部を改正する法律（令和２年改正）が制定され、

令和４年４月１日から全面施行となりました。

さらに令和３年５月１２日に「デジタル社会の形成を図るための関係法律の整備に関する法律」が制定され、個人情報保護制度の

官民一元化や学術研究に関する適用除外の精微化を内容とした個人情報保護法の改正がありました（令和３年改正）。

中小事業者に関わりが大きいのは令和２年改正であり、その改正項目は相当数にわたりますが、

本コラムではそのうちのいくつかをピックアップして紹介します。

 

１．個人情報に関する本人の関与を強化するための利用停止、消去等の個人の請求権の要件の緩和

令和２年改正は、本人の保有個人データへの関与を強化する観点からいくつか改正をしています。

本人が個人情報取扱事業者に対し保有個人データの利用停止・消去等を請求できる事由を拡充したのがその一つです。

「利用する必要がなくなった場合」、「当該本人の権利又は正当な利益が害されるおそれがある場合」などの事由を追加しています。

前者の例として、事業者がダイレクトメールを送付する目的で名簿屋等から個人情報を取得してダイレクトメールを送付した場合に、

本人からの求めを受けてダイレクトメールの送付を停止したとき、後者の例として、事業者が本人を識別する

保有個人データを利用し、本人に対するダイレクトメールを送付した場合に、平穏な生活を害されたくないことを理由として、

本人から送付の停止を求める意思を表示されたにも関わらず、その遺志に反して、繰り返しダイレクトメールを送付する場合などが挙げられています。

 

２つめに、本人による保有個人データの開示方法について（旧法は原則書面の交付）、電磁的記録の提供を含め、

本人が指示できるようになりました。

大規模なシステム改修が必要で電磁的記録による提供が困難であったり、業務を妨害するような請求方法であるなど

例外的な事情がない限り、本人の指定する方法によって提供を行う必要があります。

 

3つめに、平成２７年改正で義務付けられた第三者提供記録の作成・保存が義務付けられていましたが、

令和２年改正により、この第三者提供記録を、本人が、事業者間の第三者提供を適切に把握して適切に権利行使ができるように、

第三者提供記録の開示を請求できるとことになりました。

 

その他、従前、保有個人データの定義から１年以内の政令で定める期間以内に消去することとなる保有個人データ

「短期保存データ」を除外する規定がありましたが、令和２年改正により削除され、オプトアウト規制の強化もなされています。

 

２．　事業者の守るべき責務の在り方について

漏えい等が発生した場合に、個人情報保護委員会への報告及び本人への通知を義務付けられました。

報告対象は、「個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるもの」とされ、

同規則では、①要配慮個人情報が含まれる個人データ、②不正に利用されることにより財産的被害が生じるおそれがある個人データ、

③不正の目的をもって行われたおそれがある個人データ、④個人データに係る本人の数が千人を超える漏えい等、が発生し、

又は発生したおそれがある事態と規定されており、これらに該当する事態が発生した、発生するおそれがある場合には、

同規則に基づいた報告をしなければなりません。

 

３．ペナルティの強化

個人情報保護委員会による命令違反・委員会に対する虚偽報告等の法定刑が引き上げられ、命令違反等の罰金について、

法人と個人の資力格差等を勘案して、法人に対しては行為者よりも罰金刑の最高額が引き上げられました（最高額は１億円）。

 

 

本稿で取り上げた改正事項の他に、データの利活用に関する施策の在り方、事業者による自主的な取組を促す仕組みの在り方という

観点からの改正もなされています。後者の改正事項では、法定の公表事項を充実させる改正がされました。

また、改正を踏まえ総務省の「個人情報の保護に関する法律についてのガイドライン」も改正がされております。

 

皆様は、個人情報の取扱規程・プライバシーポリシーの改訂、本人からの権利行使にかかる対応の体制整備など、

近年の法改正をキャッチアップしているでしょうか。