【2022年4月施行】改正個人情報保護法とは

2022年4月1日に「個人情報の保護に関する法律等の一部を改正する法律」（以下、改正個人情報保護法）が施行されます（罰則強化に関しては既に2020年12月12日より施行）

今回の改正により、事業者はどのような影響を受けることになるのでしょうか。
自社のホームページに記載されている「個人情報保護方針」を変える必要があるのでしょうか？

そこでこの稿では、2022年改正個人情報保護法のポイントをわかりやすく解説します。

個人情報保護法改正の6つのポイント

今回の改正のポイントは以下6点、それぞれ解説していきます。

1. 本人の権利保護の強化
2. 事業者の責務の追加
3. 企業の特定分野を対象とする認定団体制度の新設
4. データ利用活用の推進
5. 法令違反に対するペナルティの強化
6. 域外適用の強化等

①本人の権利保護の強化

１，利用停止・消去請求権、第三者提供禁止請求権の緩和

【概要】

本人による利用停止やデータの消去などの請求は、違反が証明できる場合に限られていましたが、改正後は「本人の権利又は正当な利益が害されるおそれがあるとき」や「個人データを利用する必要がなくなった時」場合にも、可能となりました。

【解説】

改正前
本人が、保有個人データの利用停止・消去を請求できるのは（30条1項）。
・目的外利用（16条）
・不正取得（17条）
第三者の提供停止を請求できるのは
・本人の同意なく第三者に提供した場合（23条1項）
・本人の同意なく要配慮個人情報を取得した場合（23条2項）
・本人の同意なく外国にある第三者に提供した場合（24条）

改正後
改正前に加え以下のケースに該当する場合も、利用停止・消去・第三者提供の停止を請求できるようになりました（新30条5項）。
・利用する必要がなくなったとき
・漏えい等が生じたとき(新22 条の 2第一項)
・本人の権利又は正当な利益が害されるおそれがあるとき

但し、個人情報取扱事業者が利用停止等の措置を行うことが困難な場合で、かつ、代替措置が取られた場合には、事業者側の負担軽減の観点から例外として免除されます。

 

【まとめ】

２，保有個人データの開示請求のデジタル化

【概要】

個人情報取扱事業者は、保有個人データを本人に提供する際には、書面による交付が原則でしたが、今回の改正により、デジタルデータ等「本人の指定する方法による開示」を請求することができるようになりました。

【解説】

個人情報取扱事業者は、本人の請求（旧28条第１項）を受けた場合に、「遅滞なく」開示される予定の保有個人データは、原則として「書面」で行われることになってました（旧28条第2項）

しかし、デジタル化の進展により、大量のデータをはじめ動画や音声データなど、書面での提供が難しいケースが増えてきました。

そこで、今回の改正により、個人情報取扱事業者は、電磁的記録の提供による方法など本人が請求した方法により開示する義務を負うことになりました（新28条1項、2項）
電磁的記録とは、CD-ROM、電子メール、Webサイトからダウンロードする等のデジタルデータが想定されてます。

【まとめ】

保有個人データの提供方法は書面の他にデジタルデータも可能となりました。

３，第三者提供記録の開示請求権

【概要】

個人情報取扱事業者は、個人データの第三者提供する際の記録が義務付けされてましたが、本人がその記録開示を請求できるようになりました。

【解説】

個人情報取扱事業者は、個人データの第三者提供する際の記録（提供年月日、第三者の氏名又は名称等）の作成義務（旧25条1項）及び、第三者提供を受ける際にも記録の作成義務がありましたが（旧26条3項）、本人はその開示請求権に関して法の定めがありませんでした。

もともと第三者提供記録の作成義務には以下のような2つの狙いがありました。
①不正手段で取得された個人情報の流通の抑制
②個人情報のトレーサビリティの確保

但し、これらの記録は監督機関の個人データ流通を追跡しやすくするためのものでしかありませんでしたが、今回の改正により、本人も第三者提供記録の開示を請求できるようになりました（新28条5項）

【まとめ】

４、短期保有データの保有個人データ化

【概要】

6か月以内に消去する短期保有データも保有個人データに含めることになり情報開示や停止等の対象となりました。

【解説】

「保有個人データ」とは、個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる個人データであって、その存否が明らかになることにより公益その他の利益が害されないものです。（第2条第7項）
簡単に言うと、事業者が保有し管理している個人データのことだと考えてよいでしょう。

ここで問題視されたのが、旧法が「政令の定めにより6か月以内に消去する個人データは保有個人データではない」としている点でした。

しかし、たとえ6か月以内の短期間であっても、それが消去されるまでの間に漏えいなどが発生すれば、本人によっては修復しがたい損害が生じる可能性があります。

そこで今回の改正では、旧2条7項の「一年以内の政令で定める期間以内に消去することとなるもの」という文言が削除されました。
そのため、政令で定める期間である6か月以内に消去される短期保有データであっても「保有個人データ」に含まれることになり、本人からの開示や利用停止等の請求対象となりました。

【まとめ】

５、オプトアウト規定の強化

【概要】

オプトアウト手続きによる第三者提供がより厳しくなりました。

【解説】

2017年以前、オプトアウトは対象に限定なく幅広く認められていましたが、 2017年の法改正で「要配慮個人情報」が新設され（23条2項）、今回の改正で更に禁止対象が拡大しました。

今回の改正では要配慮個人情報に加えて以下の場合にもオプトアウトの禁止対象としました。

1. 不正な手段で取得した個人データ（新17条1項）
2. オプトアウト手続きにより取得された個人データ（新23条2項）

不正取得した場合に加えて、オプトアウト規定で取得した個人データをさらにオプトアウトで第三者提供することが禁止となりました。

また、オプトアウト手続により第三者提供する事業者が、個人情報保護委員会に届け出る際、当該事業者の氏名・住所や三者に提供される個人データの方法等が追加されます。

これらの強化策は、名簿業者により個人データが不正流通された時など、本人がオプトアウトすることが困難な状況、つまり後から個人情報の利用停止をすることが困難な状況、を防ぐために設けられたものといえるでしょう。

 

【まとめ】

②事業者の責務の追加

情報漏洩報告の義務化

【概要】
個人情報が漏えいした時、個人情報保護委員会と本人の両者に対して報告するのが義務となりました。

【解説】
これまで個人情報の漏えいを個人情報保護委員会に報告するのは「努力義務」、本人への通知は「望ましい」とされるにすぎませんでした。

そのため、積極的に対応しない事業者も存在していたため、発生したインシデントを正確に把握することが難しい状況でした。

一方、諸外国では個人情報の漏えいが発生した時の報告義務が一般化されつつあります。
例えば、EUの一般データ保護規則（以下、GDPR）では、漏えいなどのインシデントが発生した場合、委託元はGDPRに定められている監督機関への72時間以内の届け出義務を負う事になっています(GDPR第33条)。

このような状況を踏まえ、今回の改正では、以下のように個人情報が漏洩した際には、個人情報保護委員会への報告する（新22条の２第1項）とともに、本人にも報告することが、共に義務化されました。（新22条の2第2項）。

1. 要配慮個人情報
2. 不正アクセスによる漏えい
3. 財産的被害のおそれのある漏えい
4. 大規模な漏えい（1000件以上が目安）

ただし、本人に対する通知義務に関しては、事業者の負担軽減策として、「連絡先が不明など、本人への通知が困難な場合であり、本人の権利利益を保護するための代替措置を取っている場合」には、報告義務は免除されます。

【まとめ】

個人情報保護委員会がまとめた以下の表が分かりやすいので抜粋しておきます。

 

　　出典：個人情報保護法 令和２年改正及び令和３年改正案について（個人情報保護委員会）（参照はこちらから）

不適正な方法による利用の禁止

【概要】

今回の改正で、個人情報の不適正な利用が禁止されます。

【解説】

これまで、個人情報の不適正な利用の禁止に関する条文が無かった為に、違法とまでは言えないまでも、不適切な方法で個人情報が利用されるケースがありました。

今回の改正により、個人情報取扱事業者は、形式的には個人情報保護法の規定に違反しなくても、違法または不当な行為を助長し、または誘発するおそれがある方法（※）により個人情報を利用した場合は、利用停止等（30条）の対象となるなど、個人情報保護委員会の行政処分の対象となり得ます（新16条の2）

これらの規定は、昨今の急速なデータ分析技術の向上等を背景に、潜在的に個人の権利利益が侵害されるような個人情報の利用形態がみられるようになってきたというのが背景にあります。

 

【まとめ】

③企業の特定分野を対象とする認定団体制度の新設

【概要】

これまでの認定団体制度は、対象事業者の全ての分野が対象だったため使い勝手が悪い場合がありました。今回の改正では「企業の特定分野（部門）」を対象とする団体を認定できるようになりました。

【解説】

認定個人情報保護団体とは、個人情報保護委員会、個人情報取扱事業者、本人との間で、以下の業務を行う仲介団体です。

1. 個人情報の取扱いに関する苦情の処理
2. 事業者への個人情報の適正な取り扱いに関する情報の提供

個人情報取扱事業者は、これらの認定個人情報保護団体に加入することによって、上記の業務を仲立ちをしてもらってました。

旧法における「認定個人情報保護団体」は銀行、電気通信、医療、小売り業など業種別にはなっているものの、企業の全部門が対象でした。

しかし、デジタル化が進展する中で、次第に個々の業務の専門性が求められるようになり、仲介する側もされる側も利用しずらいものとなってました。

今回の改正では、対象事業者の特定の「事業の種類その他業務の範囲」に限定した認定団体が認められたことにより（新47条2項）、より専門性を生かした取り組みが可能となり認定団体の活用が進む事が期待されてます。

 

【まとめ】

個人情報保護委員会がまとめた以下の図が分かりやすいので、このケースで説明しましょう。

これまで金融系認定団体はそれぞれの銀行の全ての部門をカバーする必要がありましたが、改正法では以下の図のように複数の銀行の「広報部門」のみを横ぐしでカバーする団体も認められるようになりました。
これにより「広く浅く」ではなく「専門分野」ごとのきめ細かな対応が可能となります。

　　出典：個人情報保護法 令和２年改正及び令和３年改正案について（個人情報保護委員会）（参照はこちらから）

④データ利用活用の推進

データの利活用を促進する観点からは、次の2点が改正されました。

• 「仮名加工情報」が新設され、事業者の義務が緩和されました。
• 「個人関連情報」が新設され、提供先で個人データとなることが想定される場合の確認義務が規定されました。

「仮名加工情報」

【背景】

これまでは、2015年の改正で新たに追加された「匿名加工情報」は、個人情報の加工の程度を高めることにより個人を特定できないように作成してましたが（つまり個人情報ではなくなる）、逆にこれでは使い勝手が悪く、その利用に制限がかかってました。

例えば、事業者の組織内部の運用の範囲内で、デジタル化した個人情報をビックデータとして分析する場合には個人情報の仮名化を行うケースが増えてきました。
つまり、データとしての有用性を個人情報と同程度に保ちつつ、匿名加工情報よりも有効な分析を簡便な方法で利活用しようとするニーズが高まっております。

そこで、仮名化された個人情報による分析の有用性と、それにより個人の権利利益が侵害されるリスクのバランスを考慮して、一定の要件の下、個人情報の利活用を拡大するのが、今回の改正で仮名加工情報を新設した狙いとなります。

【匿名加工情報とは】

「仮名加工情報」とは「他の情報と照合しない限り、特定の個人を識別することができないように個人情報を加工して得た個人に関する情報」です（新2条9項）。

仮名加工情報に加工する事業者は、個人情報保護委員会規則第18条の7各号に定める以下の基準に従う必要があります。

1. 特定の個人を識別することができる記述等の全部又は一部の削除又は復元にするための規則性を有しない置換
2. 個人識別符号全部の削除又は復元にするための規則性を有しない置換
3. 不正に利用されることにより財産的被害が生じるおそれのある記述等の削除又は復元にするための規則性を有しない置換

【仮名加工情報の利用に付随する規定】
ここでは全ての仮名加工情報共通に適用される規定を紹介します。
（実際には個人情報となるかどうかで更に詳細な規定があります）

1. 削除情報等に関する安全管理措置義務（新35条の2第2項）
   仮名加工情報は、削除情報等と照合することにより個人情報に復元できるため、削除情報等の漏洩を防止するために定められた義務です。
2. 識別目的での照合禁止（新35条の2第7項）
   本人を識別することを目的として仮名加工情報を他の情報と照合することは禁止されています。
3. 連絡先等の情報の利用の禁止（新35条の2第8項）
   仮名加工情報に住所、電話番号含まれる場合、本人に連絡をしたり、住居へ訪問する目的でこれらの情報を利用してはなりません。
   これは、仮名加工情報が、内部分析に限って利用することを想定しているため、内部分析以外の利用を禁止するのが狙いです。

匿名加工情報

ここで、旧法で規定されている「匿名加工情報」に関してもあらためて説明しておきます。

「匿名加工情報」とは、以下のような加工をした情報であり（2条9項）、この状態が保証される限り「個人情報」として扱う必要はありません。。

1.  次の措置を講じて特定の個人を識別することができないように加工すること
   ・個人情報に含まれる記述等の一部を削除するか、復元することのできる規則性を有しない方法によって置き換えること
   ・個人識別符号の全部を削除するか、復元することのできる規則性を有しない方法によって置き換えること
2. もとの個人情報に復元することができないようにすること

以下に両者を比較した表を掲載しておきます。

個人関連情報

もう一つ新設されたのが「個人関連情報」です。
「個人関連情報」とは、「生存する個人に関する情報であって、個人情報、仮名加工情報、匿名加工情報のいずれにも該当しないもの」と定義されてます（新26条の2）。
具体的には以下のような情報の中で特定の個人が識別できないものを想定してます。

• Cookie情報
• IPアドレス
• 端末固有ID
• 位置情報、ログ情報などの個人に関わる情報で

「個人関連情報」は、デジタル化の進展により第三者の提供先で他の情報と関連付けることにより個人データを悪用するケース（例えば「リクナビ問題」、後述）が出てきたことからその取扱いを明確にするために出てきた概念と考えられます。

「個人関連情報」を第三者へ提供する場合は、提供元における記録義務があります。
具体的には、以下の項目を記録し、原則３年保存しなくてはなりません（新26条の2）。

• 本人の同意を確認した旨
• 外国にある提供先への場合、外国の名称、外国における個人情報保護制度、提供先が講ずる個人データ保護措置など、必要な情報提供が行われていることを確認した旨
• 個人関連情報を提供した年月日
• 提供先の氏名・名称・住所・代表者氏名
• 提供する個人関連情報の項目を具体的に記載する（例えば、ウェブサイトの閲覧履歴、購入履歴、年齢・性別などの情報項目）

「個人関連情報」は、EUの「eプライバシー規則（案）」を意識したものになっているようですが、実際にApple社の「Safari」では2020年3月にはサードパーティcookieを既にブロックしてますし、Google Chromeでも2023年までにそれに代替する手段を構築することを宣言していますので自然な流れだと言えるでしょう。

⑤ペナルティーの強化

昨今、違法、不当な事案が増加する中、個人情報保護委員会では事業者の実態を把握するきっかけとなる報告徴収（報告させること）や立入検査の実効性を高める必要があると指摘されてました。
特に法人に対しては行為者と同額の罰金を科したとしても、旧法の罰金額では十分な抑止効果は期待できないのではないかという疑問の声にこたえるために、今回の改正で法定刑が個人・法人共に引き上げられました。

特に法人の罰金刑の上限額が大きく引き上げらております。
例えば

• 個人情報保護委員会による措置命令に対する違反
  旧法:30万円以下の罰金
  新法：1億円以下の罰金
• 個人情報データベース等の不正提供
  旧法：50万円以下の罰金
  新法：最大1億円の罰金

 

⑥域外適用の強化等

これまで外国の事業者に行使できる権限は、指導及び助言並びに勧告のような強制力を伴わない権限にとどまっていたため、域外の事業者における漏えい等の事案に対して個人情報保護委員が適切に対処できない場合がありました。

改正法では、日本国内にいる個人に対する物品又は役務の提供に関連して個人情報等を取り扱う外国の事業者を、罰則によって担保された①報告徴収や②立入検査、③命令に関する規定の対象とできるようになりました（新40条,新75条）。
今回の改正により、日本人の個人情報を扱う、域外の事業者の不適切な取扱いに対して、より実効的な措置を実施することが期待されます。