覚えておきたいオフィス・ビジネス情報のキホン（第10回） 個人情報保護法が改正、企業はどう対応策を講じれば良いのか？

　個人情報保護法は2022年に内容が大幅に改定され、以前よりも個人情報の取り扱いが厳しく規制されるようになりました。この記事では、2022年の改正で変更された内容や、新設された項目について詳しく解説します。加えて、個人情報保護法が改正された背景や、個人情報を守るための情報セキュリティサービスも紹介します。

目次
・【2022年4月1日施行】改正個人情報保護法とは
・個人情報保護法6つの改正ポイント
・個人情報保護法3つの新設ポイント
・改正個人情報保護法における企業の対応策
・まとめ

【2022年4月1日施行】改正個人情報保護法とは

　個人情報保護法は、個人情報の有用性に配慮しつつ、個人の権利・利益の保護を目的とした法律です。2003年に初めて制定され、直近では2022年4月1日に改正施行されています。

　個人情報は個人に関する情報のため、むやみに公開されるべきではありません。そのため、個人情報保護法では個人の権利や利益を守りつつ、個人情報を適切に活用できるよう、細かく利用基準が定められています。

2022年4月に施行された改正個人情報保護法では、以下の3つが変更となりました。
・本人の権利がより尊重された
・罰則が重くなった
・法人の責任が重くなった

関連記事：2022年4月施行の「改正個人情報保護法」って？
https://www.bizclip.ntt-west.co.jp/articles/bcl00071-092.html

個人情報保護法6つの改正ポイント

　個人情報保護法が改正されたポイントは、以下の6つです。

改正1：個人の権利のあり方
　改正個人情報保護法では個人の保護をより意識した内容になり、本人の請求権が拡大されています。改正前の旧法では個人情報の利用停止や削除を本人が請求できるケースは「本来の目的以外に個人情報を利用された」「不正に取得された」場合に限られました。

　改正後は、上記に加えて不適正な利用が行われた場合や、個人データの利用が停止した場合、漏えいなどで個人の権利や利益が侵害されるおそれがある場合なども、利用停止や削除を請求できるようになっています。さらに、第三者にデータを提供した場合には、提供記録の開示請求ができるようになりました。

改正2：事業者の守るべき責務のあり方
　事業者が個人情報を取り扱う場合に守るべき責務も追加されています。改正前は事業者が個人情報を流出させた場合でも、本人への通知は努力規定にとどまっていましたが、改正後は個人情報保護委員会と本人への通知が新たに義務化されました。

　加えて、事業者に対して、個人情報の不適正利用禁止義務が明文化されました。この規定で、違法行為や適切でない行為を助長したり誘発したりする利用を明確に禁じています。

改正3：事業者による自主的な取り組みを促す仕組みのあり方
　個人情報の取り扱いに関連しては、個人情報保護を目的とした取り組みを実施するために設置された民間団体を認定する「認定個人情報保護団体」の制度が以前から設けられていました。

　改正前は、同団体に認定されるのは、対象事業者の全事業・業務を取り扱う団体に限定されていましたが、改正後は企業活動のうち特定の分野を対象とする団体も認定できるように変更されました。この変更によって、専門性を生かした個人情報の取り扱いが促進されることが期待できます。

改正4：データ活用のあり方
　データの利活用を促進するために、個人情報の活用方法については緩和された部分もあります。改正前は、誰のものか特定できないように加工された個人情報であっても、通常の個人情報と同様に厳格に取り扱う必要があり、データを有効活用しにくい状況にありました。

　改正後は、クレジットカード番号や氏名などのデータを削除するなど「仮名（かめい）加工情報」の措置を講じた場合は、開示・利用停止請求への対応などの義務が緩和されています。

　一方でCookieなど、それ自体は個人情報に該当しないものでも、情報の提供先で他の情報と照合することで個人を特定することができる「個人関連情報」については、新たに義務が設けられました。個人関連情報の第三者提供について、提供元が本人の同意を得ていることを確認しなければなりません。

改正5：ペナルティーのあり方
　改正個人情報保護法では、違反時の罰則が強化されました。特に、法人に対する罰金が大幅に増額されています。

　改正前は個人と法人の罰則が同一で、個人情報保護委員会の措置命令違反では「6カ月以下の懲役または30万円以下の罰金」、報告義務違反では「30万円以下の罰金」、不正な個人情報データベース利用には「1年以下の懲役または50万円以下の罰金」が科せられていました。

　改正後は、個人の報告義務違反について「50万円以下の罰金」、措置命令違反については「1年以下の懲役又は100万円以下の罰金」に増額されました。

　さらに、法人の場合は報告義務違反が「50万円以下の罰金」、個人情報データベースなどの不正流用については「1億円以下の罰金」と大幅に引き上げられました。法人が不正利用やデータベースの流用を行った場合は、被害の程度も大規模になりやすいため、こうした罰則の強化は法人に対する強い抑止力となることが期待されています。

改正6：法の域外適用・越境移転のあり方
　改正個人情報保護法では、外国企業の日本進出や、インターネットなどを経由して日本国内から外国のサービスを利用する機会が増加していることを踏まえ、外国の事業者にも個人情報保護法を適用できるようになりました。

　改正前は、日本国内に存在する個人に関する情報を外国の事業者が取り扱った場合、報告徴収や立ち入り検査、命令措置などの適用ができませんでした。しかし改正後は、外国企業も対象になり、罰則を適用できるようになりました。また、事業者が外国の第三者に個人データを提供する場合、本人に情報を提供する義務が生じることなどが新たに規定されています。

個人情報保護法3つの新設ポイント

　前述した6つの改正以外にも、3つの規制が新設されています。

新設1：個人情報を利用してはならない行為を明確化
　改正個人情報保護法では「違法または不当な行為を助長するなどの不適切な方法により個人情報を利用してはならない」という規制が新設され、基準が明記されました。ここでの「違法」は「法令に違反すること」で、「不当」とは「法令には違反していないが非道徳的で、対象の制度の目的とかけ離れている行為」を示しています。例えば、採用選考で取得した個人情報から性別や国籍などの特徴だけを抽出し、正当な理由がないままに差別的な扱いを行うことなどが不当な行為に該当します。

新設2：個人関連情報の第三者提供規制
　新設された項目として、「個人関連情報」の第三者提供規制があります。個人関連情報とは、生存する個人に関する情報のうち、個人を特定できない情報を示しており、個人の位置情報・商品の購入履歴、Webサイト閲覧履歴などが相当します。

　この規制により、例えばA社が収集した購入履歴をB社に提供する場合、B社が独自に保有する氏名、年齢などの個人情報と結び付けてデータを利活用することが想定されるなら、A社はB社に対し「個人関連情報の第三者提供について、B社が本人から同意を得ている」旨を確認することが義務付けられました。

新設3：仮名加工情報による制限の緩和
　仮名加工情報の取り扱いについても新設されました。仮名加工情報とは個人が特定できないように加工した情報のことで、他の情報と組み合わせない限り個人の特定はできないものとなります。

　今回の改正で、仮名加工情報は情報漏えいの通知や開示・利用などの請求対応の義務から除外されることが規定されました。利用停止や開示請求への対応が不要で、利用目的の途中変更も可能となります。

改正個人情報保護法における企業の対応策

　企業が改正個人情報保護法に対応するには、個人情報を従来よりも慎重に扱わなければなりません。改正個人情報保護法では法人に対する罰則が大幅に強化され、罰金も高額に設定されています。改正個人情報保護法を把握し、適切な措置を講じることが重要です。

対応策1：情報漏えい時の本人通知手順を確認
　個人情報が漏えいした際の本人通知手順は、前もって設定しておくことが大切です。改正個人情報保護法では、個人情報が漏えいした場合、本人にも必ず報告しなければなりません。不測の事態に備え、連絡先や連絡方法などは事前に確認を行い、必要時にスムーズに連絡できる体制を整えておく必要があります。社内に情報セキュリティ対策に関するセクションを設置して、インシデントが発生した際に一貫して対応し、情報を一元管理できる体制にしておくことが理想です。

　通知の期限は個人情報保護委員会が30日以内、本人に対しては速やかに報告することとなっています。二次被害や不要なトラブルを避けるためにも、速やかに状況を整理して報告を行うことが求められます。

対応策2：情報セキュリティ対策の強化
　情報セキュリティ対策の強化も必須です。前述のように、法人による個人情報漏えいには1億円以下の罰金が科せられる可能性があり、企業の経営に大きな影響を与える恐れがあります。加えて、企業の社会的信用に大きなダメージを与えかねません。

　スマートフォンなど個人が利用する端末の内部や、アクセス制限がない場所に個人情報を保存するのは厳禁です。個人情報の保存先には厳格にアクセス制限を行い、コピーや削除ができないようにデータをプロテクトする対策を講じるべきです。

対応策3：安全管理措置を公表
　改正個人情報保護法では、安全管理のために講じた措置の公表などが原則として義務化されました。これは個人情報を適切に取り扱うための措置である「安全管理措置」について、本人が把握できるようにするという目的で設定されています。安全管理措置には次の内容が含まれます。

・基本方針の策定
・個人データの取り扱いに係る規程の整備
・組織的安全管理措置
・人的安全管理措置
・物理的安全管理措置
・技術的安全管理措置
・外的環境の把握

　同様に、日本国外において個人情報を扱う場合は、対象国や地域の個人情報保護に関する制度を把握し、その地域に合った対策を講じることが求められます。

まとめ

　2022年の改正個人情報保護法施行により、個人情報の取り扱いがより厳しく規制されるようになり、情報漏えいに対する罰則は大幅に強化されています。一方で、個人情報をビジネスやサービスに有効活用できるよう、規制が緩和された部分もあります。改正個人情報保護法について正しく把握し、情報セキュリティ対策に一層力を入れることが重要といえるでしょう。

※掲載している情報は、記事執筆時点のものです