2022年4月施行の改正「個人情報保護法(2020年改正)」のポイントは多岐にわたります。特に中小企業にとって重要なポイントを5つに絞って説明していきます。また、改正ポイントを説明した後に、今回の改正が行われた背景についても簡単にまとめていますので、ご興味があれば読んでみてください。
なお、個人情報には、「個人情報」「個人データ」「保有個人データ」といった概念がありますが、この記事では、分かりやすくお伝えするため、全て「個人情報」と表記します。ちなみに、個人データは個人情報のデータベース、保有個人データは企業が開示や訂正などができるものと考えてもらえれば大丈夫です。
1 「違法な行為を助長するおそれ」だけで違反
1)ポイントの解説
ちょっと意外ですが、改正前の個人情報保護法には「個人情報を適正に利用すること」を求める規定がありませんでした。このため、
違法な差別が誘発されるおそれがあるのに公表されている個人情報をデータベース化し、インターネットで公開すること
もありました。後述するいわゆる「破産者マップ事件」などの問題です。
そこで、今回の改正で個人情報の不適正な利用を禁止する規定が新設されました。個人情報の不適正利用となる例は次の通りです。
- 違法な⾏為を助⻑するおそれがあるのに、違法な⾏為を営みそうな相手に個⼈情報を提供する
- 違法な差別が誘発されそうなのに、裁判所などがバラバラに公告している個⼈情報をデータベース化し、インターネットに公開する
- 提供先が個人情報保護法に違反する第三者提供をしそうなのに、当該提供先に個⼈情報を提供する
不適正利用の禁止に違反した場合、本人はその利用停止または消去を請求できます。自社の個人情報の利用について本人(消費者)が不信感を抱くと、利用停止などの請求が殺到しかねないので、文字通り、適正に個人情報を取り扱う必要があります。
2)改正への対応
改正への対応として、まず、
自社における個人情報の利用状況を再確認し、違法又は不当な行為を助長し、または誘発するおそれがないかをチェック
してみましょう。ここで注意しておきたいのは、「違法」はもとより、「不当」な行為を助長したり、誘発したりするおそれのある利用も許されないということです。
こうした問題を防ぐために、
不適正な利用の禁止を規定して従業員に周知、教育する
ことも不可欠です。具体的には、就業規則、個人情報取扱規程、社内マニュアルを見直しつつ、それらを使って従業員教育をすることになります。
2 個人情報保護委員会への報告、本人通知
1)ポイントの解説
個人の権利利益を害するおそれが大きい個人情報の漏えい事故などが発生した場合、
- 個人情報保護委員会への報告
- 本人への通知
が法律上の義務になりました。該当するのは次のような漏えい事故です。いずれも、現に発生していなくても、発生するおそれがあれば報告などの対象になります。
- 決済機能のあるウェブサービスのIDとパスワードなど、不正利用されると財産的被害が生じるおそれがある個人情報の漏えいなど
- 不正の目的で行われたおそれがある個人情報の漏えいなど
- 個人情報に係る本人の数が1000人を超える漏えいなど
個人情報保護委員会への報告は、速やかに把握している内容を伝える「速報」と、調査を終えてから全ての調査結果を報告する「確報」とがあります。
また、個人情報保護委員会に報告しなければならない場合は、本人への通知も必要です。ただし、本人への通知が困難な場合は、事案の公表などの代替措置をとることができます。
2)改正への対応
改正への対応として、次の措置が考えられます。
- 個人情報保護委員会への報告が必要な個人情報の漏えい事故などがあることを十分に認識する。前述した「財産的被害が生じる」「不正による」ケースでは、規模の大小にかかわらず、原則として報告が必要
- システムログの保存や個人情報を扱う部屋の入退室管理など、速やかに事故の概要や発生原因を調査できるようにする
また、漏えい事故等が発生した場合、誰が指揮をとるのかを明確にし、シミュレーションをしておくとよいでしょう。
3 本人からの請求では、デジタル開示にも対応する
1)ポイントの解説
本人が開示請求してくることがありますが、今回の改正で、
デジタル開示(電磁的記録の提供による方法)の請求
もできるようになりました。デジタル開示の方法は企業が決められるので、開示方法はあらかじめ決めておきましょう。また、これまでは6カ月以内に消去する「短期保存データ」は開示請求の対象外でしたが、改正後は対象となるので注意してください。
開示請求が到達した日から2週間を経過すると、本人は訴訟提起することができるので、遅滞なく、開示請求に応じられるように準備しましょう。
2)改正への対応
繰り返しになりますが、改正への対応は、とにかく、
遅滞なく、開示請求に応じられるように準備する
ことにつきます。また、意外と抜けがちなポイントとして、開示請求の方法があります。これを決めておかないと、本人がいきなり電話で開示請求をしてくることもあります。そうならないように、開示請求の申出先や開示請求書の書式、オンライン受付の方法、手数料などを定めてウェブサイトなどで周知しておきましょう。
4 利用しなくなった個人情報の消去請求
1)ポイントの解説
今回の改正で、
利用する必要がなくなった個人情報を、遅滞なく消去するよう努めなければならない
という規定が新設されました。もっとも、利用する必要がなくなったか否かを遅滞なく判断するのは簡単ではないため、努力義務にとどめられています。これに違反している場合、個人情報保護委員会の指導や助言を受けますが、是正勧告などの強い措置は受けません。
2)改正への対応
改正への対応として、次の措置が考えられます。
- 定期的に個人情報の利用状況をチェックし、利用しなくなったと判断されたら削除することをルール化する。ただ、個人情報のガイドラインでは、すぐに削除することは求めておらず、「毎年度末に不要なデータの廃棄を行うなどの措置をとることが望ましい」とされている
- 個人情報の消去方法について、シュレッダーにかける、データを消去してコピーがないかを確認するなどのルールを設ける
5 罰則の強化
1)ポイントの解説
皆さんは個人情報保護法を厳しいと感じているかもしれません。しかし、国際的にみると日本の個人情報保護法の罰則は軽く、これが企業に対する抑止力効果を損ねているとの指摘もあるくらいです。そこで、今回の改正では、個人情報保護法が定める刑罰が強化されました。一例を挙げると、
個人情報保護委員会の命令に違反した場合の罰金が、50万円以下から1億円以下に引き上げられた(法人の場合)
といったものがあり、厳しくなっていることがよく分かります。
2)改正への対応
改正への対応は、
個人情報保護法に違反する行為をしないように、従業員を教育する
ことにつきます。ただ、個人情報保護法で処罰対象となる行為は、故意(わざとやった)行為であり、不注意による過失行為ではありません。ですので、適正に業務を行っていれば問題のないことともいえます。
6 個人情報保護法が改正された背景
2003年に成立した個人情報保護法は、情報通信技術(ICT)の急速な発展や情報流通の国際化などをうけて2015年に改正されました。さらに、2015年改正後の社会・経済情勢の変化に対応するため、個人情報保護委員会が中心となって制度の見直しを検討し、以下の5つの視点が示され、今回の改正に至りました。
- 個人の権利利益の保護
「個⼈の権利利益を保護」するために必要⼗分な措置を整備すること - 技術⾰新の成果による保護と活⽤の強化
技術⾰新の成果が、経済成⻑等と個⼈の権利利益の保護との両⾯に⾏き渡ること - 国際的な制度調和・連携
国際的な制度調和や連携に配意すること - 越境データの流通増大に伴う新たなリスクへの対応
海外の企業(事業者)によるサービスの利用や、個人情報を扱うビジネスの国境を越えたサプライチェーンの複雑化などが進み、個人が直面するリスクも変化しており、これに対応すること - AI・ビッグデータ時代への対応
AI・ビッグデータ時代を迎え、個⼈情報の活⽤が⼀層多岐にわたる中、企業(事業者)が本⼈の権利利益との関係で説明責任を果たしつつ、本⼈の予測可能な範囲内で適正な利⽤がなされるよう、環境を整備していくこと
これらの視点とともに、繰り返し発生する個人情報の漏えい事件や、個人情報の不適切な利用が指摘され社会問題となったケースが、個人の権利利益の保護強化の要請につながったことも、今回の改正の背景となっています。
7 個人情報の不適切な利用が指摘され社会問題となったケース
1)就職情報サイトによる不適切な個人情報第三者提供事件(2019年)
就職情報サイトを運営する大手企業が、同サイトに登録した学生の内定辞退率の予測データをサービス利用企業に年間数百万円で販売していたと報道されました。
個人情報保護委員会は、この大手企業が個人データの第三者提供の同意取得を潜脱した極めて不適切なサービスを行ったと認定し、大手企業に対し、情報の管理が不適切だったとして組織体制の見直しなどの是正を求める勧告を行いました。
2)破産者マップ事件
官報で公表されている破産者の氏名・住所等の情報を収集しデータベース化して「破産者マップ」として公開したウェブサイトについて、プライバシーの侵害ではないかという批判や、破産者の差別を助長し破産制度の利用を躊躇する者が出るおそれがあるなどの批判が出て炎上した事件です。
個人情報保護委員会が、破産者マップの運営者に対し、個人情報保護法(本人の同意を得ないで個人データを第三者に提供してはならない)に違反するおそれがあるとして同法に基づく指導を行い、破産者マップのサイトの運営者はサイトを閉鎖しています。なお、個人情報保護委員会は、破産者マップに類似するウェブサイトの運営者に対して、2022年3月23日、サイトを停止するよう命令し、従わない場合は、刑事告発を検討するとしています。
補足 押さえておいたほうがよい参考資料
個人情報保護法に関する解説などは、個人情報保護委員会のサイト(https://www.ppc.go.jp/)が充実しています。このサイトの資料のうち、特に次のものが役に立ちます。
・「個人情報の保護に関する法律についてのガイドライン(通則編)」(pdf版)
https://www.ppc.go.jp/files/pdf/211116_guidelines01.pdf
・「個人データの漏えい等の事案が発生した場合等の対応について」(pdf版)
https://www.ppc.go.jp/files/pdf/iinkaikokuzi01.pdf
・「『個人情報の保護に関する法律についてのガイドライン』及び『個人データの漏えい等の事案が発生した場合等の対応について』に関するQ&A」(pdf版)
https://www.ppc.go.jp/files/pdf/2106_APPI_QA.pdf
・「個人情報の研修資料・ヒヤリハットコーナー」
https://www.ppc.go.jp/personalinfo/hiyarihatto/
以上
※上記内容は、本文中に特別な断りがない限り、2022年3月31日時点のものであり、将来変更される可能性があります。
※上記内容は、株式会社日本情報マートまたは執筆者が作成したものであり、りそな銀行の見解を示しているものではございません。上記内容に関するお問い合わせなどは、お手数ですが下記の電子メールアドレスあてにご連絡をお願いいたします。
【電子メールでのお問い合わせ先】
inquiry01@jim.jp
(株式会社日本情報マートが、皆様からのお問い合わせを承ります。なお、株式会社日本情報マートの会社概要は、ウェブサイト https://www.jim.jp/company/をご覧ください)
ご回答は平日午前10:00~18:00とさせていただいておりますので、ご了承ください。