- 更新日 : 2021年12月8日
2022年4月施行の改正個人情報保護法のポイントをわかりやすく解説
2015年に改正された個人情報保護法では、3年ごとに国際的動向・情報通信技術の進展・新たな産業の創出及び発展の状況等を考慮し、個人情報保護制度の見直しを行うことになりました。この3年ごと見直し規定に基づいて個人情報保護法が改正され、2022年4月に施行されます。この記事では改正のポイントをわかりやすく解説しますので、これらを踏まえてプライバシーポリシーや契約書を見直し、準備しておくことをおすすめします。
目次
個人情報保護法改正の背景
ここでは、個人情報保護法改正の背景について解説します。
個人情報保護の必要性の高まり
1980年頃から高度情報通信社会の進展に伴って民間事業者による個人情報の利用が活発化し、国民はその恩恵を受ける一方でプライバシー侵害などのリスクが浮上しました。1980年にはOECDから個人情報保護の8原則が打ち出され、国際的にも個人情報保護の必要性が高まりました。2003年には日本でも個人情報保護に関する基本理念を定め、個人情報を取り扱う事業者が順守すべき義務等を定めた個人情報保護法が制定されました。
個人情報の利活用の拡大に伴う法改正
制定から10年が経過し、情報通信技術はますます発展を続けています。行動ターゲティング広告など制定当時に想定されていなかったパーソナルデータの利活用が可能になり、国境を超えたデータ流通が活発化しました。このような環境の変化に対応するため、2015年に個人情報保護法が改正されました。
3年ごと見直し規定による改正
2015年の改正法では、個人情報の保護に関する国際的動向や情報通信技術の進展、それに伴う個人情報を活用した新たな産業の創出及び発展の状況等を踏まえ、3年ごとに制度の見直しをすることとされました(いわゆる3年ごと見直し規定)。2020年、3年ごと見直し規定に基づく法改正が初めて行われ、2022年4月1日に施行されます。
改正個人情報保護法に関する公布日・施行日
改正個人情報保護法に関する公布日・施行日は、以下のとおりです。
| 2003年5月30日 | 2003年5月30日 |
|
| 2015年9月9日 | 2017年5月30日 |
|
| 2020年6月12日 | 2022年4月1日 |
|
| 2021年5月19日 | 未定 |
|
2022年4月施行の改正個人情報保護法の概要
2022年4月施行の改正個人情報保護法では、国民の個人情報に対する意識の高まりや、技術革新を踏まえた個人情報の保護と利活用のバランス、越境データの流通増大に伴う新たなリスクへの対応等の観点から、制度の見直しが行われました。
本人の請求権の強化や個人情報取扱事業者の責務の追加などにより、個人情報保護を手厚くする一方、仮名加工情報を新設するなど情報の利活用を容易にし、イノベーションを促進する規定も置いています。以下、単に「改正法」という場合は、2022年4月施行の改正個人情報保護法を指すものとします。
改正個人情報保護法の各ポイントを詳しく解説
改正法のポイントは、大きく分けて6つあります。①本人の請求権の拡大、②事業者の責務の追加、③事業者の自主的な取り組みの推進、④データ利用活用の推進、⑤ペナルティの強化、⑥域外適用等の拡充です。それぞれについて、詳しく解説します。
ポイント①本人の請求権の拡大
改正前の個人情報保護法(旧法)では、本人が個人情報取扱事業者の保有個人データの利用停止や消去を請求できるのは、目的外利用されたときと不正の手段で取得されたときに限られ、また第三者提供の停止を請求できるのは、本人の同意なく第三者提供がなされたときに限られていました。
改正法では上記に加え、不適正な利用がなされたときも利用停止等が請求できることとされました(30条1項、16条の2)。
また、保有個人データを利用する必要がなくなったときや、保有個人データの漏えい等が生じたとき、その他保有個人データの取扱いにより本人の権利又は正当な利益が害されるおそれがあるときにも、利用停止等又は第三者提供の停止の請求ができるようになりました(30条5項)。
ただし、利用停止等や第三者提供の停止を行うことが困難な場合であって、本人の権利利益の保護のための代替措置が取られている場合はこの限りではないとして、個人情報取扱事業者の負担を軽減しています(30条6項ただし書)。
また、改正法では本人の個人情報取扱事業者に対する個人情報の第三者提供の記録(公益等が害されるものとして政令で定めるものを除く)の開示請求権が新設されました(28条5項)。
ポイント②事業者の責務の追加
改正法では個人情報取扱事業者に対し、個人データの漏えい等が発生した場合の報告義務及び本人に対する通知義務が新設されました(22条の2、1項)。ただし、他の個人情報取扱事業者から個人データの取扱いの委託を受けた場合は、委託元に通知すれば足りることとされました(22条の2、1項ただし書)。
なお、本人への通知が困難な場合であって、本人の権利利益の保護のための代替措置が取られている場合はこの限りではないとして、個人情報取扱事業者の負担が軽減されています(22条の2、2項ただし書)
また、改正法では個人情報取扱事業者の個人情報の不適正な利用の禁止義務が明文化されました。不適正な利用とは、違法又は不当な行為を助長し、又は誘発するおそれがある方法による利用を指します(16条の2)。
ポイント③事業者の自主的な取り組みの推進
旧法においても、本人や関係者からの個人情報取扱いに関する苦情の処理や、個人情報等の適正な取扱いに関する情報の提供、その他個人情報等の適正な取扱いの確保に関して必要な業務を自主的に行う民間団体を「認定個人情報保護団体」として認定する制度がありました。
旧法では、認定個人情報保護団体の業務は個人情報取扱事業者のすべての分野(部門)を対象とする必要がありましたが、改正法では特定の分野(部門)だけを対象にできるようになりました(47条1項、2項)。これにより、事業者の自主的な個人情報保護への取り組みを推進しています。
ポイント④データ利活用の促進
- 仮名加工情報
旧法では、個人を特定できないように個人情報を加工した場合でも、加工前の情報と同等に厳格な規制の対象となっていました。改正法では、イノベーションを促進する観点から氏名等を削除して、他の情報と照合しない限り個人を特定できないように個人情報を加工した場合は(仮名加工情報)、仮名加工情報取扱事業者の内部分析目的の利用に限定する等を条件に、開示・利用停止請求への対応等の義務を緩和しました(2条9項、10項、35条の2、35条の3)。
- 提供先で個人データとなる情報の第三者提供
提供元では個人データに該当しないものの、提供先において他の情報と照合することにより、容易に個人を特定することができる情報(個人関連情報)があります。
例えば、Cookieなどのような識別子情報とそれに紐づく閲覧履歴や購入履歴などの個人情報ではない情報がこれに当たります。改正法では個人関連情報を第三者提供する場合、提供元が提供先に対して本人の同意を得ていること等を確認する義務を新設しました(26条の2第1項)。
ポイント⑤ペナルティの強化
改正法において、措置命令違反、報告義務違反、個人情報データベース等の不正流用をした個人及び法人に対する罰則が重くなりました。措置命令に違反した個人に対しては、「6か月以下の懲役又は30万円以下の罰金」から「1年以下の懲役又は100万円以下の罰金」に、報告義務違反に対しては「30万円以下の罰金」から「50万円以下の罰金」に強化されました。
また、法人に対する罰金刑は旧法では個人と同じでしたが、改正法では措置命令違反と個人情報データベース等の不正流用については「1億円以下」に引き上げられました。
なお、個人情報データベース等の不正流用の個人に対する罰則(1年以下の懲役又は50万円以下の罰金)に変更はなく、報告義務違反に対する法人の罰則は個人と同じ「50万円以下の罰金」となっています(83、85、87条)。
これらの罰則については、2020年12月12日に施行されています。
ポイント⑥域外適用等の拡充
旧法でも一部の条項が外国の事業者に適用されていましたが、外国の事業者は報告徴収・命令および立入検査などの対象ではありませんでした。改正法では、日本国内にある者に係る個人情報等を取り扱う外国事業者を報告徴収・命令の対象とし、罰則も適用されることになりました(75条)。
また、個人情報取扱事業者が外国にある第三者に個人データを提供する場合、移転先事業者における個人情報の取扱いに関する制度等について本人への情報提供義務などが規定され、個人情報の保護を手厚くしました(24条2項、3項)。
個人情報保護法改正前後の条文を新旧対照表で比較
ここでは、個人情報保護法改正前後の条文を新旧対照表で比較します。
| (定義) 第二条 9 この法律において「仮名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報をいう。 一 第一項第一号に該当する個人情報 当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。 二 第一項第二号に該当する個人情報 当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。 |
| (新設) |
| ポイント④データ利活用の促進 |
| 10 この法律において「仮名加工情報取扱事業者」とは、仮名加工情報を含む情報の集合物であって、特定の仮名加工情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の仮名加工情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの(第三十五条の二第一項において「仮名加工情報データベース等」という。)を事業の用に供している者をいう。ただし、第五項各号に掲げる者を除く。 |
| (新設) |
| ポイント④データ利活用の促進 |
| (不適正な利用の禁止) 第十六条の二 個人情報取扱事業者は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない。 |
| (新設) |
| ポイント①本人の請求権の拡大 ポイント②事業者の責務の追加 |
| (漏えい等の報告等) 第二十二条の二 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を個人情報保護委員会に報告しなければならない。ただし、当該個人情報取扱事業者が、他の個人情報取扱事業者から当該個人データの取扱いの全部又は一部の委託を受けた場合であって、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を当該他の個人情報取扱事業者に通知したときは、この限りでない。 2 前項に規定する場合には、個人情報取扱事業者(同項ただし書の規定による通知をした者を除く。)は、本人に対し、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を通知しなければならない。ただし、本人への通知が困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。 |
| (新設) |
| ポイント②事業者の責務の追加 |
| (外国にある第三者への提供の制限) 第二十四条 個人情報取扱事業者は、外国(本邦の域外にある国又は地域をいう。以下同じ。)(個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるものを除く。以下この条及び第二十六条の二第一項第二号において同じ。)にある第三者(個人データの取扱いについてこの節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置(第三項において「相当措置」という。)を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者を除く。以下この項及び次項並びに同号において同じ。)に個人データを提供する場合には、前条第一項各号に掲げる場合を除くほか、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。この場合においては、同条の規定は、適用しない。 2 個人情報取扱事業者は、前項の規定により本人の同意を得ようとする場合には、個人情報保護委員会規則で定めるところにより、あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報を当該本人に提供しなければならない。 3 個人情報取扱事業者は、個人データを外国にある第三者(第一項に規定する体制を整備している者に限る。)に提供した場合には、個人情報保護委員会規則で定めるところにより、当該第三者による相当措置の継続的な実施を確保するために必要な措置を講ずるとともに、本人の求めに応じて当該必要な措置に関する情報を当該本人に提供しなければならない。 |
| (外国にある第三者への提供の制限) 第二十四条 個人情報取扱事業者は、外国(本邦の域外にある国又は地域をいう。以下同じ。)(個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるものを除く。以下この条において同じ。)にある第三者(個人データの取扱いについてこの節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者を除く。以下この条において同じ。)に個人データを提供する場合には、前条第一項各号に掲げる場合を除くほか、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。この場合においては、同条の規定は、適用しない。 2(新設) 3(新設) |
| ポイント⑥域外適用等の拡充 |
| (個人関連情報の第三者提供の制限等) 第二十六条の二 個人関連情報取扱事業者(個人関連情報データベース等(個人関連情報(生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいう。以下同じ。)を含む情報の集合物であって、特定の個人関連情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の個人関連情報を容易に検索することができるように体系的に構成したものとして政令で定めるものをいう。以下この項において同じ。)を事業の用に供している者であって、第二条第五項各号に掲げる者を除いたものをいう。以下同じ。)は、第三者が個人関連情報(個人関連情報データベース等を構成するものに限る。以下同じ。)を個人データとして取得することが想定されるときは、第二十三条第一項各号に掲げる場合を除くほか、次に掲げる事項について、あらかじめ個人情報保護委員会規則で定めるところにより確認することをしないで、当該個人関連情報を当該第三者に提供してはならない。 一 当該第三者が個人関連情報取扱事業者から個人関連情報の提供を受けて本人が識別される個人データとして取得することを認める旨の当該本人の同意が得られていること。 二 外国にある第三者への提供にあっては、前号の本人の同意を得ようとする場合において、個人情報保護委員会規則で定めるところにより、あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報が当該本人に提供されていること。 2 第二十四条第三項の規定は、前項の規定により個人関連情報取扱事業者が個人関連情報を提供する場合について準用する。この場合において、同条第三項中「講ずるとともに、本人の求めに応じて当該必要な措置に関する情報を当該本人に提供し」とあるのは、「講じ」と読み替えるものとする。 3 前条第二項から第四項までの規定は、第一項の規定により個人関連情報取扱事業者が確認する場合について準用する。この場合において、同条第三項中「の提供を受けた」とあるのは、「を提供した」と読み替えるものとする。 |
| (新設) |
| ポイント④データ利活用の促進 |
| (開示) 第二十八条 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データの電磁的記録の提供による方法その他の個人情報保護委員会規則で定める方法による開示を請求することができる。 2 個人情報取扱事業者は、前項の規定による請求を受けたときは、本人に対し、同項の規定により当該本人が請求した方法(当該方法による開示に多額の費用を要する場合その他の当該方法による開示が困難である場合にあっては、書面の交付による方法)により、遅滞なく、当該保有個人データを開示しなければならない。ただし、開示することにより次の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。 一 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合 二 当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合 三 他の法令に違反することとなる場合 3 個人情報取扱事業者は、第一項の規定による請求に係る保有個人データの全部若しくは一部について開示しない旨の決定をしたとき、当該保有個人データが存在しないとき、又は同項の規定により本人が請求した方法による開示が困難であるときは、本人に対し、遅滞なく、その旨を通知しなければならない。 4(略) 5 第一項から第三項までの規定は、当該本人が識別される個人データに係る第二十五条第一項及び第二十六条第三項の記録(その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるものを除く。第三十二条第二項において「第三者提供記録」という。)について準用する。 |
| (開示) 第二十八条 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データの開示を請求することができる。 2 個人情報取扱事業者は、前項の規定による請求を受けたときは、本人に対し、政令で定める方法により、遅滞なく、当該保有個人データを開示しなければならない。ただし、開示することにより次の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。 一 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合 二 当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合 三 他の法令に違反することとなる場合 3 個人情報取扱事業者は、第一項の規定による請求に係る保有個人データの全部又は一部について開示しない旨の決定をしたとき又は当該保有個人データが存在しないときは、本人に対し、遅滞なく、その旨を通知しなければならない。 4(略) 5(新設) |
| ポイント①本人の請求権の拡大 |
| (利用停止等) 第三十条 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データが第十六条若しくは第十六条の二の規定に違反して取り扱われているとき、又は第十七条の規定に違反して取得されたものであるときは、当該保有個人データの利用の停止又は消去(以下この条において「利用停止等」という。)を請求することができる。 2~4(略) 5 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データを当該個人情報取扱事業者が利用する必要がなくなった場合、当該本人が識別される保有個人データに係る第二十二条の二第一項本文に規定する事態が生じた場合その他当該本人が識別される保有個人データの取扱いにより当該本人の権利又は正当な利益が害されるおそれがある場合には、当該保有個人データの利用停止等又は第三者への提供の停止を請求することができる。 6 個人情報取扱事業者は、前項の規定による請求を受けた場合であって、その請求に理由があることが判明したときは、本人の権利利益の侵害を防止するために必要な限度で、遅滞なく、当該保有個人データの利用停止等又は第三者への提供の停止を行わなければならない。ただし、当該保有個人データの利用停止等又は第三者への提供の停止に多額の費用を要する場合その他の利用停止等又は第三者への提供の停止を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。 |
| (利用停止等) 第三十条 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データが第十六条の規定に違反して取り扱われているとき又は第十七条の規定に違反して取得されたものであるときは、当該保有個人データの利用の停止又は消去(以下この条において「利用停止等」という。)を請求することができる。 2~4(略) 5(新設) 6(新設) |
| ポイント①本人の請求権の拡大 |
| (仮名加工情報の作成等) 第三十五条の二 個人情報取扱事業者は、仮名加工情報(仮名加工情報データベース等を構成するものに限る。以下同じ。)を作成するときは、他の情報と照合しない限り特定の個人を識別することができないようにするために必要なものとして個人情報保護委員会規則で定める基準に従い、個人情報を加工しなければならない。 2 個人情報取扱事業者は、仮名加工情報を作成したとき、又は仮名加工情報及び当該仮名加工情報に係る削除情報等(仮名加工情報の作成に用いられた個人情報から削除された記述等及び個人識別符号並びに前項の規定により行われた加工の方法に関する情報をいう。以下この条及び次条第三項において読み替えて準用する第七項において同じ。)を取得したときは、削除情報等の漏えいを防止するために必要なものとして個人情報保護委員会規則で定める基準に従い、削除情報等の安全管理のための措置を講じなければならない。 3 仮名加工情報取扱事業者(個人情報取扱事業者である者に限る。以下この条において同じ。)は、第十六条の規定にかかわらず、法令に基づく場合を除くほか、第十五条第一項の規定により特定された利用目的の達成に必要な範囲を超えて、仮名加工情報(個人情報であるものに限る。以下この条において同じ。)を取り扱ってはならない。 4 仮名加工情報についての第十八条の規定の適用については、同条第一項及び第三項中「、本人に通知し、又は公表し」とあるのは「公表し」と、同条第四項第一号から第三号までの規定中「本人に通知し、又は公表する」とあるのは「公表する」とする。 5 仮名加工情報取扱事業者は、仮名加工情報である個人データ及び削除情報等を利用する必要がなくなったときは、当該個人データ及び削除情報等を遅滞なく消去するよう努めなければならない。この場合においては、第十九条の規定は、適用しない。 6 仮名加工情報取扱事業者は、第二十三条第一項及び第二項並びに第二十四条第一項の規定にかかわらず、法令に基づく場合を除くほか、仮名加工情報である個人データを第三者に提供してはならない。この場合において、第二十三条第五項中「前各項」とあるのは「第三十五条の二第六項」と、同項第三号中「、本人に通知し、又は本人が容易に知り得る状態に置いて」とあるのは「公表して」と、同条第六項中「、本人に通知し、又は本人が容易に知り得る状態に置かなければ」とあるのは「公表しなければ」と、第二十五条第一項ただし書中「第二十三条第一項各号又は第五項各号のいずれか(前条第一項の規定による個人データの提供にあっては、第二十三条第一項各号のいずれか)」とあり、及び第二十六条第一項ただし書中「第二十三条第一項各号又は第五項各号のいずれか」とあるのは「法令に基づく場合又は第二十三条第五項各号のいずれか」とする。 7 仮名加工情報取扱事業者は、仮名加工情報を取り扱うに当たっては、当該仮名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該仮名加工情報を他の情報と照合してはならない。 8 仮名加工情報取扱事業者は、仮名加工情報を取り扱うに当たっては、電話をかけ、郵便若しくは民間事業者による信書の送達に関する法律(平成十四年法律第九十九号)第二条第六項に規定する一般信書便事業者若しくは同条第九項に規定する特定信書便事業者による同条第二項に規定する信書便により送付し、電報を送達し、ファクシミリ装置若しくは電磁的方法(電子情報処理組織を使用する方法その他の情報通信の技術を利用する方法であって個人情報保護委員会規則で定めるものをいう。)を用いて送信し、又は住居を訪問するために、当該仮名加工情報に含まれる連絡先その他の情報を利用してはならない。 9 仮名加工情報、仮名加工情報である個人データ及び仮名加工情報である保有個人データについては、第十五条第二項、第二十二条の二及び第二十七条から第三十四条までの規定は、適用しない。 |
| (新設) |
| ポイント④データ利活用の促進 |
| (仮名加工情報の第三者提供の制限等) 第三十五条の三 仮名加工情報取扱事業者は、法令に基づく場合を除くほか、仮名加工情報(個人情報であるものを除く。次項及び第三項において同じ。)を第三者に提供してはならない。 2 第二十三条第五項及び第六項の規定は、仮名加工情報の提供を受ける者について準用する。この場合において、同条第五項中「前各項」とあるのは「第三十五条の三第一項」と、同項第一号中「個人情報取扱事業者」とあるのは「仮名加工情報取扱事業者」と、同項第三号中「、本人に通知し、又は本人が容易に知り得る状態に置いて」とあるのは「公表して」と、同条第六項中「個人情報取扱事業者」とあるのは「仮名加工情報取扱事業者」と、「、本人に通知し、又は本人が容易に知り得る状態に置かなければ」とあるのは「公表しなければ」と読み替えるものとする。 3 第二十条から第二十二条まで、第三十五条並びに前条第七項及び第八項の規定は、仮名加工情報取扱事業者による仮名加工情報の取扱いについて準用する。この場合において、第二十条中「漏えい、滅失又は毀損」とあるのは「漏えい」と、前条第七項中「ために、」とあるのは「ために、削除情報等を取得し、又は」と読み替えるものとする。 |
| (新設) |
| ポイント④データ利活用の促進 |
| (認定) 第四十七条 個人情報取扱事業者等(個人関連情報取扱事業者を除く。以下この節において同じ。)の個人情報等(個人関連情報を除く。以下この節において同じ。)の適正な取扱いの確保を目的として次に掲げる業務を行おうとする法人(法人でない団体で代表者又は管理人の定めのあるものを含む。次条第三号ロにおいて同じ。)は、個人情報保護委員会の認定を受けることができる。 一 業務の対象となる個人情報取扱事業者等(以下「対象事業者」という。)の個人情報等の取扱いに関する第五十二条の規定による苦情の処理 二 個人情報等の適正な取扱いの確保に寄与する事項についての対象事業者に対する情報の提供 三 前二号に掲げるもののほか、対象事業者の個人情報等の適正な取扱いの確保に関し必要な業務 2 前項の認定は、対象とする個人情報取扱事業者等の事業の種類その他の業務の範囲を限定して行うことができる |
| (認定) 第四十七条 個人情報取扱事業者等の個人情報等の適正な取扱いの確保を目的として次に掲げる業務を行おうとする法人(法人でない団体で代表者又は管理人の定めのあるものを含む。次条第三号ロにおいて同じ。)は、個人情報保護委員会の認定を受けることができる。 一 業務の対象となる個人情報取扱事業者等(以下「対象事業者」という。)の個人情報等の取扱いに関する第五十二条の規定による苦情の処理 二 個人情報等の適正な取扱いの確保に寄与する事項についての対象事業者に対する情報の提供 三 前二号に掲げるもののほか、対象事業者の個人情報等の適正な取扱いの確保に関し必要な業務 2(新設) |
| ポイント③事業者の自主的な取り組みの推進 |
| (適用範囲) 第七十五条 この法律は、個人情報取扱事業者等が、国内にある者に対する物品又は役務の提供に関連して、国内にある者を本人とする個人情報、当該個人情報として取得されることとなる個人関連情報又は当該個人情報を用いて作成された仮名加工情報若しくは匿名加工情報を、外国において取り扱う場合についても、適用する。 |
| (適用範囲) 第七十五条 第十五条、第十六条、第十八条(第二項を除く。)、第十九条から第二十五条まで、第二十七条から第三十六条まで、第四十一条、第四十二条第一項、第四十三条及び次条の規定は、国内にある者に対する物品又は役務の提供に関連してその者を本人とする個人情報を取得した個人情報取扱事業者が、外国において当該個人情報又は当該個人情報を用いて作成した匿名加工情報を取り扱う場合についても、適用する。 |
| ポイント⑥域外適用等の拡充 |
| 第八十三条 第四十二条第二項又は第三項の規定による命令に違反した場合には、当該違反行為をした者は、一年以下の懲役又は百万円以下の罰金に処する。 第八十五条 次の各号のいずれかに該当する場合には、当該違反行為をした者は、五十万円以下の罰金に処する。 一 第四十条第一項の規定による報告若しくは資料の提出をせず、若しくは虚偽の報告をし、若しくは虚偽の資料を提出し、又は当該職員の質問に対して答弁をせず、若しくは虚偽の答弁をし、若しくは検査を拒み、妨げ、若しくは忌避した、とき。 二 第五十六条の規定による報告をせず、又は虚偽の報告をした、とき。 第八十七条 法人の代表者又は法人若しくは人の代理人、使用人その他の従業者が、その法人又は人の業務に関して、次の各号に掲げる違反行為をしたときは、行為者を罰するほか、その法人に対して当該各号に定める罰金刑を、その人に対して各本条の罰金刑を科する。 一 第八十三条及び第八十四条 一億円以下の罰金刑 二 第八十五条 同条の罰金刑 |
| 第八十四条 第四十二条第二項又は第三項の規定による命令に違反した者は、六月以下の懲役又は三十万円以下の罰金に処する。 第八十五条 次の各号のいずれかに該当する者は、三十万円以下の罰金に処する。 一 第四十条第一項の規定による報告若しくは資料の提出をせず、若しくは虚偽の報告をし、若しくは虚偽の資料を提出し、又は当該職員の質問に対して答弁をせず、若しくは虚偽の答弁をし、若しくは検査を拒み、妨げ、若しくは忌避した者 二 第五十六条の規定による報告をせず、又は虚偽の報告をした者 第八十七条 法人の代表者又は法人若しくは人の代理人、使用人その他の従業者が、その法人又は人の業務に関して、第八十三条から第八十五条までの違反行為をしたときは、行為者を罰するほか、その法人又は人に対しても、各本条の罰金刑を科する。 一(新設) 二(新設) |
| ポイント⑤ペナルティの強化 2020年12月12日施行済み |
まとめ
ここまで見てきたとおり、改正法において本人が利用停止等又は第三者提供の停止の請求ができる場合が拡大され、個人情報取扱事業者の責務が追加されています。
事業者としては、この改正を踏まえてプライバシーポリシーや社内規程などを見直し、改正法に則して個人情報の取扱いができるよう準備しておく必要があります。また、個人関連情報の第三者提供について規制が新設されたことを受けて、取引先との契約についても見直す必要があるかもしれません。
よくある質問
個人データの漏えい時の本人への通知の代替措置とは?
事案の公表や問合せ窓口を用意してその連絡先を公表し、本人が自らの個人データが対象となっているか否かを確認できるようにするといった措置が考えられます。詳しくはこちらをご覧ください。
仮名加工情報を第三者に提供することはできますか?
仮名加工情報は、仮名加工情報取扱事業者の内部分析に限って利用することが想定されているので、本人の同意を得たとしても、法令に基づく場合でなければ、第三者に提供することは禁止されています。詳しくはこちらをご覧ください。
※ 掲載している情報は記事更新時点のものです。
契約の知識をさらに深めるなら
※本サイトは、法律的またはその他のアドバイスの提供を目的としたものではありません。当社は本サイトの記載内容(テンプレートを含む)の正確性、妥当性の確保に努めておりますが、ご利用にあたっては、個別の事情を適宜専門家にご相談していただくなど、ご自身の判断でご利用ください。
