個人情報保護法の改正で経営者が注意すべきポイントとは?
法務


いよいよ2022年4月1日から改正個人情報保護法が施行されます。近年ICTの急速な進歩によって企業は個人情報を簡単に入手できるようになりましたが、企業にとってそれはメリットばかりではありません。これまでにも何度となく企業による個人情報漏えいの問題が世間を騒がせてきました。

それに伴い企業に対する消費者の目も日に日に厳しさを増しているのは事実です。今回は改正法の施行で経営者が注意すべきポイントについてご紹介します。

この記事の目次

改正の背景

2003年に施行されたこの法律は、これまでにも何度となく改正が行われてきました。2015年に行われた改正で3年ごとの制度見直し規定が盛り込まれ、今回の法改正に至っています。ただ、法改正の背景はこれだけではありません。

法改正に至った大きな理由のひとつに挙げられるのが、世論における消費者保護意識の高まりです。近年悪徳業者による個人情報入手手段はますます巧妙化しており、大企業からのメールやサイトも簡単に信用することはできなくなっています。

また、企業による個人情報漏えいの問題も後を絶ちません。そうなると世論の消費者保護意識が高まるのも当然の結果といえるでしょう。今回の法改正は、これに対応した形ともいえます。

改正における変更点

今回の法改正における主な変更点は以下の6つです。ではそれぞれの項目についてみていきましょう。

①個人の権利保護強化

現在は、本人による事業者への情報利用の停止や消去を請求する権利は目的外で利用されたときと不正に入手したときなど限定的となっています。しかし今回の改正ではそれらに加え、個人の権利又は正当な利益が害されるおそれがある場合にも利用の停止や消去を請求することが可能に。また、事業者に対して第三者に提供した情報の開示を本人が請求できる権利も追加されています。

②事業者の守るべき責務の範囲拡大

現行法では努力義務とされている、情報が漏えいした場合の報告などが今回の改正では個人情報保護委員会への報告と本人への通知が義務化されました。また、事業者に対して不適正な方法での情報利用を禁止する内容も明文化され、守るべき責務の範囲が拡大しています。

③事業者による自主的な取り組みの推進

今回の改正では、企業の特定分野や部門を対象とする団体も認定団体として登録できるようになっています。現行法でも民間団体を活用して情報保護を行う「認定団体制度」は存在しますが、事業者における全ての部門が対象。今回登録できる認定団体の幅が広がったことにより、事業者に対して自主的な取り組みを推進しています。

④データ利活用の促進

特定の個人を識別することができないように個人情報を加工した情報のことを「匿名加工情報」といい、旧法ではこの加工をすることにより企業活動に利用できるようになっています。そして今回の改正で新設されることとなったのが「仮名加工情報」という制度です。

仮名加工情報とは、他の情報と照合しない限り、特定の個人を識別できないように個人情報を加工したもの。匿名加工情報との違いは、他の情報と照合するれば特定の個人を識別できる点です。つまり今回の改正では、個人情報の利用による事業者の開示・利用停止請求への対応等の義務が緩和された形になります。

ただし、仮名加工情報取扱事業者の内部分析目的の利用に限定することや第三者提供が制限されるなどの条件付きです。これによってより詳細な分析が可能となり、医療や研究開発などへの応用といったイノベーションの促進が期待されています。

⑤事業者への罰則強化

今回の改正における大きなポイントのひとつといえるのが、事業者に対する罰則の強化です。中でも法人に対する罰金刑は大幅に強化。措置命令違反と個人情報データベース等の不正流用に対する罰金が、これまでは個人と同じ50万円以下の罰金でしたが改正により1億円以下の罰金へと変更されました。

⑥外国の事業者への適用拡充

これまでは外国の事業者への法律の適用は一部の条項のみでした。今回の改正で日本に住んでいる人の個人情報を取り扱う外国の企業に対しても報告の義務化や命令を含む権限の行使も可能になります。

経営者に求められる対応

ここまでは改正による主な6つの変更点についてご紹介してきましたが、これらの変更点に対して経営者にはどのような対応が求められるのでしょうか?

①情報漏えい時の業務フロー見直し

今回の改正では、個人情報が漏えいした場合の個人情報保護委員会への報告と本人への通知が義務化されました。それに伴い万が一個人情報が漏えいした場合の業務フローを見直しておく必要があります。

まずは現行の自社対応の規定をよく確認し、法改正に対応できるような業務フローの改訂が必要です。

②開示方法の多様化への対応

個人情報の開示請求が行われた場合、現在の対応は書面の交付による回答が原則。しかし今回、電磁的記録データでの交付も請求者本人の選択により可能となった点は、改正による大きな変更点のひとつです。そのため書面での交付はもちろんのこと、テキストデータやPDFでの交付もできるように事業者としては準備しておく必要があります。

③Cookie情報取り扱いの見直し

Cookie情報とは、Webサイトを表示した際にユーザーのブラウザに保存される閲覧履歴などの情報のこと。これ自体は個人情報ではありませんが、他の情報と組み合わせることによって個人を特定できてしまいます。つまりこの情報は個人情報の一部になり得るということです。

自社のWebサイトでCookieを利用し、Cookie情報と個人情報を組み合わせて利用する場合は、本人の同意を得ることが必要となります。

まとめ

今回は改正法の施行で経営者が注意すべきポイントについてご紹介しました。改正法の施行は目前まで迫っています。企業にとって個人情報の利用は今や必要不可欠です。 今回の改正では、特に法人に対する罰金刑が大幅に強化されています。

取得した情報を不適正な目的で使用しないことはもちろんですが、どんなに情報の漏えいに注意していたとしても、いつ自分たちの身に不正アクセスなどの被害が及ぶとも限りません。情報漏えいの可能性がゼロではない以上、法律の施行までに経営者には対応策の準備が求められています。
個人情報の保護について
専門家に相談する

記事のキーワード*クリックすると関連記事が表示されます

情報漏えい 改正法 個人情報保護

メルマガ登録(毎週水曜配信)

SHARES LABの最新情報に加え、
経営に役立つ法制度の改正時事情報などをお送りします。

この記事もおすすめです

令和2年5月策定ガイドラインに沿った特定活動(インターンシップ)ビザ申請について
相続した土地を手放したいなら「相続土地国庫帰属制度」を検討しましょう
【SHARES LAB】SHARES事務局厳選記事 vol.1「特に多く読まれている記事 法務編」
資金調達における社債の活用
属人的株式と種類株の活用方法とは
個人情報の保護について 専門家に相談する