事例・記事

【法改正シリーズVol.4】改正された個人情報保護法が2022年4月から適用

個人情報保護法が改正され、その内容が2022年4月から施行されました。改正の内容を一言でまとめると規制強化です。個人情報を扱う企業などは、これまでよりシビアに関連業務にあたる必要があります。社内に新しいルールを設ける必要も出てくるはずです。そこでこの記事では、そもそも個人情報保護法がどのような法律であるのかを紹介したうえで、改正されて変わったことや、企業が行うべきことなどを解説していきます。経営者や総務の責任者がこの記事を読めば、社内体制をどのように見直していけばよいのかがわかります。

そもそも個人情報保護法とは

個人情報保護法の正式名称は「個人情報の保護に関する法律」といいます。この第1条には次のように書かれてあります(*1)。

この法律は、デジタル社会の進展に伴い個人情報の利用が著しく拡大していることに鑑み、個人情報の適正な取扱いに関し、基本理念及び政府による基本方針の作成その他の個人情報の保護に関する施策の基本となる事項を定め、国及び地方公共団体の責務等を明らかにし、個人情報を取り扱う事業者及び行政機関等についてこれらの特性に応じて遵守すべき義務等を定めるとともに、個人情報保護委員会を設置することにより、行政機関等の事務及び事業の適正かつ円滑な運営を図り、並びに個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであることその他の個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする。
<個人情報保護法第1条、目的>

ここからポイントを抜き出すとこのようになります。

  • 個人情報は適正に取り扱われなければならない
  • 国や自治体は個人情報を保護しなければならない
  • 個人情報を取り扱う事業者には個人情報を保護する義務がある
  • 個人情報保護委員会を設置する
  • 個人情報を活用することで新たな産業を創出できる
  • 個人情報は有用である
  • 個人の権利利益を保護する

この法律は、「個人情報の活用は新たな産業を創出するために有用なので、国、自治体、企業(事業者)はしっかり個人情報を守っていかなければならない」といっています。

つまり個人情報を保護するといっても、個人情報を「頑丈な金庫」に隠して使えなくするわけではないということです。

個人情報を事業で使っている企業などは個人情報取扱事業者となり、さまざまな義務が課されています。個人の顧客を持つ企業はほぼ漏れなく個人情報を事業で使うことになるので、ほぼ漏れなく個人情報取扱事業者になると考えてよいでしょう。

個人情報取扱事業者(企業)に課せられた義務には、個人情報を利用する目的を特定しなければならないことや、利用するときに本人の同意を得なければならないこと、違法な行為を助長する方法で個人情報を利用してはならないことなどがあります。

この法律ができたことで、企業は個人情報取り扱いのルールをつくったと思います。

そして今、この法律が改正・施行(適用)されたことで、そのルールをさらに強化していかなければなりません。

2022年4月から施行された改正個人情報保護法とは

元々の個人情報保護法は2003年に成立し、一部は即日施行され、全面施行になったのは2005年です。

改正は2020年と2021年に行われ、いずれの改正内容も2022年4月から施行されました。ただ一部の内容は2023年5月からの施行となります(*2)。

改正のテーマは大きく2つあり、計7項目になります。以下のとおりです。

■改正のテーマその1:個人の権利利益の保護と活用の強化。越境データの流通増大にともなう新たなリスクへの対応。AI・ビッグデータ時代への対応

  • 項目1:利用停止や消去の拡充、漏えいの報告、本人通知
  • 項目2:不適正利用の禁止
  • 項目3:仮名加工情報の創設、個人関連情報の第三者提供制限
  • 項目4:越境移転に係る情報提供の充実

■改正のテーマその2:官民を通じた個人情報保護制度の見直し

  • 項目5:官民通じた個人情報の保護と活用の強化
  • 項目6:医療分野・学術分野における規制の統一
  • 項目7:学術研究に係る適用除外規定の見直し

このうち改正テーマその1に注目してみましょう。

改正の背景

「なぜこのタイミングで個人情報保護法が改正されたのか」という質問の答えは、3つあります。この3つが改正の背景となります。

  • 個人の権利利益の保護と個人情報の活用の強化が欠かせなかったから
  • 越境データの流通増大にともない新たなリスクが生まれたから
  • AI・ビッグデータ時代に突入し対応に迫られていたから

1つずつ確認します。

個人の権利利益の保護と個人情報の活用の強化が欠かせなかったから

インターネットやIT、SNSなどのデジタル技術が進化、普及したことで、個人情報がビジネスに欠かせないものになりました。例えばネット通販サイトのリコメンド機能は、企業が個人情報を元に商品をPRしています。また、顧客1人ひとりにマッチしたサービスを提供するのにも個人情報が必要です。

これは世界的なトレンドであり日本企業もこの波に乗らなければ勝ち残ることができません。それで個人情報の活用強化が欠かせなくなったわけです。

しかし個人情報を積極的に活用すればするほど漏えいリスクは高まるので、これを守る施策を強化しなければなりません。それで改正が必要になったわけです。

越境データの流通増大にともない新たなリスクが生まれたから

「越境データの流通」とは、日本人の個人データが海外に渡るという意味です。多くの日本人が使っているアマゾン、フェイスブック、グーグル、ツイッターは、すべてアメリカ企業が運営しています。つまりアマゾンで買い物をすれば、自分の個人データが越境する可能性があります。また中国や韓国のサービスを使えば、それらの国に流出するかもしれません。

国はこれを新たなリスクと考え、越境データを守る必要性を感じました。

AI・ビッグデータ時代に突入し対応に迫られていたから

AIとビッグデータが組み合わさるとビジネスでの個人情報活用が飛躍的に進みます。AIの出現によって大量のデータ(ビッグデータ)を短時間で処理できるようになり、そして大量のデータは未来予測を可能にするからです。

AIとビッグデータを活用すれば事業を予測できることから、企業は個人データの収集に躍起になっています。個人データの争奪戦になれば、やはり漏えいリスクは増えるので保護が必要です。

このような事象を背景にして、個人情報保護法が改正されました。

企業は何をしなければならないのか

改正個人情報保護法の施行を受け、企業は次の6つのことをしなければなりません(*3)。

●個人情報保護委員会への報告と本人への通知

●外国に個人データを提供していないかの確認

●安全管理措置の公表

●個人データの整理

●不適正使用がないかチェックする

●個人関連情報の利用状況の確認

1つずつみていきます。

個人情報保護委員会への報告と本人への通知

改正により、個人の権利利益を害するおそれが大きい漏えいが発生したら、その事業者は個人情報保護委員会に報告しなければならなくなりました。報告が義務化されたのです。

また、漏えいした個人情報の本人にも通知しなければならず、これも義務になりました。

企業の担当者は万が一の事態を想定して、個人情報保護委員会に報告する段取りと、本人に報告する方法を確認しておいたほうがよいでしょう。

外国に個人データを提供していないかの確認

企業が外国の第三者に個人データを提供している場合、その取扱いが厳しくなりました。

企業は個人データの本人に、外国の第三者に提供することの同意を得なければなりません。

また、外国の第三者がどのように個人データを扱っているのかを本人に伝えなければなりません。さらに外国の第三者も必要な措置を講じていなければなりません。

企業は、個人データを提供した外国の第三者の振る舞いにも責任を負う、と考えておいてよいでしょう。「その個人データは海外に渡ったからもう知らない」では済まされません。

安全管理措置の公表

企業は、個人情報をどのように管理しているのかを公表しなければならなくなりました。これを「安全管理措置」といいます。

例えば自社のホームページに「当社はこのように個人情報を管理しているので、安全に管理しているといえます」といった説明文を掲載するとよいでしょう。

もちろんその前に改正個人情報保護法を踏まえた強固な安全管理措置を実施しなければなりません。

個人データの整理

改正によって、6カ月以内に消去するデータについても、本人から開示請求があったときに開示しなければならなくなりました。また、個人データを提供、登録したときの記録も開示請求の対象になります。

さらに、本人が企業に対し、企業が保有する個人データの利用停止や消去を求めた場合、それに応じなければなりません。

企業は個人データの整理を急ぎ、これらの義務に即応できるようにしておかなければなりません。

不適正使用がないかチェックする

企業は、自社が入手した個人情報を、違法な行為をする事業者に渡してはいけません。

また、不適正な方法で個人情報を利用することも禁じられています。この2つは当然のことではありますが、それがわざわざ改正個人情報保護法に載ったということは、国がそれだけ厳しく不適正使用をみていると考えてよいでしょう。

個人関連情報の利用状況の確認

「個人関連情報」は個人情報とは別のものです。

ある企業が個人情報を持っていても、その内容では個人が特定できないことがあります。例えばA社が「No.30、男性、配偶者あり」という個人データを持っていても、これでは個人は特定できません。

しかしB社がこの個人データに関連する「No.30はA田B夫」というデータを持っていたとします。

A社が「No.30、男性、配偶者あり」というデータをB社に提供すれば、B社は「No.30、A田B夫、男性、配偶者あり」という、個人を特定できる個人データを入手したことになります。

これを「個人関連情報」といいます。

改正個人情報保護法では、個人関連情報を第三者に提供することを制限しています。

提供元(A社)では個人データに該当しないものの、提供先(B社)において個人データとなる情報を第三者に提供するとき、本人の同意を得ることが義務づけられました。

まとめ~社内総点検が必要でしょう

個人情報がビジネスの種になることは、すでに広く知れ渡っています。企業の経営資源はかつては人・モノ・カネといわれていましたが、今は人・モノ・カネ・情報といわれています。この情報のなかでも特に個人情報は重要です。

そして国も、企業に個人情報を使ってビジネスを活性化させて欲しいと願っています。

しかし個人情報が漏えいすると、その個人情報の本人は大きな痛手を受けることになります。個人情報でビジネスをする企業の責務として、改正個人情報保護法を遵守(じゅんしゅ)するのは当然のことです。

社内を総点検するくらいの気持ちで個人情報の保護に努めてみてはいかがでしょうか。


*1 個人情報の保護に関する法律(e-gov 法令検索)

(リンク:https://elaws.e-gov.go.jp/document?lawid=415AC0000000057

(最終アクセス:2022/4/25)

*2 令和3年改正個人情報保護法について(個人情報保護委員会事務局)

(リンク:https://www.soumu.go.jp/main_content/000790352.pdf

(最終アクセス:2022/4/25)

*3 令和4年4月1日改正個人情報保護法対応チェックポイント(個人情報保護委員会事務局)

(リンク:https://www.ppc.go.jp/files/pdf/privacy_protection_check_point.pdf

(最終アクセス:2022/4/25)

執筆者
アサオカミツヒサ

フリーライター、ライティング事務所office Howardsend代表。
北海道大学法学部を卒業後、鉄鋼メーカー、マスコミ、病院広報などを経て2017年独立。
取材した分野は、政治、経済、過疎化、ワーキングプアなど。
現在の執筆領域は、法務、総務、人事、会計、IT、AI、金融、ビジネス全般、抗がん剤、生活習慣病治療など。
趣味はバイクと登山。北海道札幌市在住。

人気の投稿

  • ホーム
  • 事例・記事
  • 【法改正シリーズVol.4】改正された個人情報保護法が2022年4月から適用

お問い合わせ・資料請求 フォーム