2022.04.06

令和2年改正個人情報保護法(令和4年4月1日全面施行)について

弁護士 与能本 雄也
 

1 令和2年改正個人情報保護法が、今年令和4年4月1日全面施行されました

※罰則の法定刑引上げ(令和2年12月12日施行)など、一部は施行日が異なります。
個人情報保護法は、3年ごとの見直し条項(平成27年改正法附則第12条第3項)があるため、3年ごとの制度の見直し毎に、個人情報保護規定や社内の制度を見直す必要があります。
今回のコラムでは、令和4年4月1日に全面施行がなされた令和2年改正について、改正点をまとめておりますのでご参照ください。

2 令和2年改正の概要

3 令和2年改正のうち主な事項につき紹介します

(1) 改正点① 不適正な方法による個人情報の利用禁止(新法16の2)

不適正な利用の禁止(新設)
「違法または行為を助長・誘発するおそれがある方法による個人情報の利用」が禁止されました(新法16の2)。該当した場合、行政処分の対象(委員会による指導・勧告、命令)となります。
 この規定は抽象的な文言の規定ですが、ガイドラインで内容や具体例が示されています(通則編ガイドライン3−2)。
 
以下のような事例を想定しているとされています(通則編ガイドライン3−2)。
 
【個人情報取扱事業者が違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用している事例】
事例 1) 違法な行為を営むことが疑われる事業者(例:貸金業登録を行っていない貸金業者等)からの突然の接触による本人の平穏な生活を送る権利の侵害等、当該事業者の違法な行為を助長するおそれが想定されるにもかかわらず、当該事業者に当該本人の個人情報を提供する場合
 
事例 2) 裁判所による公告等により散在的に公開されている個人情報(例:官報に掲載される破産者情報)を、当該個人情報に係る本人に対する違法な差別が、不特定多数の者によって誘発されるおそれがあることが予見できるにもかかわらず、それを集約してデータベース化し、インターネット上で公開する場合
 
事例 3) 暴力団員により行われる暴力的要求行為等の不当な行為や総会屋による不当な要求を助長し、又は誘発するおそれが予見できるにもかかわらず、事業者間で共有している暴力団員等に該当する人物を本人とする個人情報や、不当要求による被害を防止するために必要な業務を行う各事業者の責任者の名簿等を、みだりに開示し、又は暴力団等に対しその存在を明らかにする場合
 
事例 4) 個人情報を提供した場合、提供先において法第 23 条第 1 項に違反する第三者提供がなされることを予見できるにもかかわらず、当該提供先に対して、個人情報を提供する場合
 
事例 5) 採用選考を通じて個人情報を取得した事業者が、性別、国籍等の特定の属性のみにより、正当な理由なく本人に対する違法な差別的取扱いを行うために、個人情報を利用する場合
 
事例 6) 広告配信を行っている事業者が、第三者から広告配信依頼を受けた商品が違法薬物等の違法な商品であることが予見できるにもかかわらず、当該商品の広告配信のために、自社で取得した個人情報を利用する場合

(2) 改正点② 漏洩等発生時の個人情報保護委員会への報告及び本人への通知の義務化(新法22条の2)

ア 改正前

漏洩が生じた際の報告義務はなく、告示上の努力義務でした。そのため、積極的に対応しない事業者が存在すると指摘されていました。

イ 新法

新法では、漏洩等発生時の個人情報保護委員会への報告及び本人への通知が、法律上の義務として課されました。
個人情報保護委員会への報告の義務化(新法22の2①)
本人への通知の義務化(新法22の2②)

(3) 改正点③ オプトアウト規程による第三者に提供できる個人データの範囲を更に限定

ア 改正前

オプトアウトとは、一定の要件のもと、本人の同意なく個人データの第三者提供を行えるとする制度です。なお、本人の求めがあれば第三者提供を停止することができます。
しかし、不正に取得したと考えられる個人データをオプトアウトの方法で流通させる等の問題や、個人情報の名簿が取引されている実態が指摘されていました。

イ 新法

そこで、オプトアウト規程により第三者に提供できる個人データの範囲を限定しました。以下のデータは、オプトアウトによる第三者提供が禁止されました(新法23②)。
① 不正取得された個人データ
② オプトアウト限定により提供された個人データ

(4) 改正点④ 仮名加工情報の創設

ア 改正前

平成27年に導入された匿名加工情報という制度があります。なお、匿名加工情報とは、特定の個人を識別することができないように個人情報を加工し、当該個人情報を復元できないようにした情報をいいます。
匿名加工情報は、一定のルールの下で、本人同意を得ることなく、事業者間におけるデータ取引やデータ連携を含むパーソナルデータの利活用を促進が可能とされています。
例えば、ポイントカードの購買履歴や交通系ICカードの乗降履歴等を複数の事業者間で分野横断的に利活用することにより、新たなサービスを生み出す可能性がありました。
もっとも、同制度は、利用低調で(509件のみ、令和3年3月末時点)、匿名化のための加工には技術が必要で、相当程度に高度な技術や判断が必要となってしまう点が、匿名加工情報の活用に当たっての大きな壁でした。

イ 新法

そこで、情報技術の発展により、仮名化された個人情報について、一定の安全性を確保しつつ利活用しようとするニーズが高まっていることを受けて、仮名加工情報が創設されました。
氏名等の特定の個人を容易に識別できる記述を削除する等の加工を行い、それ単体では特定の個人を識別することができないようにする、いわゆる仮名化」という手法を用います。
仮名加工情報については、規制が一部緩和され(新法35の235の3)、既に取得した個人情報の利用目的に限定されず、別な目的で利用することが可能になります。もっとも、第三者提供はできず、あくまで事業者内部での活用、例えば検討・研究等での利活用などが想定されています。

(5) 改正点⑤ 利用停止・消去等の請求権について要件緩和

ア 改正前

不正取得等の場合など一部の法違反の場合に限定されていました。

イ 新法

個人の権利・正当な利益が害されるおそれがある場合にも、利用停止・消去の請求ができるように要件緩和がされました。(新法30①⑤⑥)

(6) 改正点⑥ 開示請求などの拡充

新法では、以下のような場合に開示請求が拡充されました。
①保有個人データの開示方法につき、電磁的記録の提供方法を含め本人が指示できるようになりました(新法28①②)
②個人データ授受について第三者提供記録の開示請求ができるようになりました(新法28⑤)。
③短期保有データ(6ヶ月以内に消去されるデータも)が「保有個人データ」に含まれ(新法2⑦)、開示、利用停止請求の対象になりました。

(7) 改正点⑦ 罰則の強化(法83条以下)

個人情報保護委員会による命令違反⑵個人情報データベース等不正提供罪の罰金に関しては人に対する罰金刑の最高額が1億円と大幅に引き上げられました(新法87①)。
 
新旧比較表

改正前後の法定刑の比較表

個人情報保護委員会ホームページより引用

4 まとめ

個人情報の漏洩等がもし発生した場合、漏洩情報の件数が多いケースでは、訴訟等において、賠償額の総額が大きくなる可能性があります。
また、企業の評判やブランドイメージ低下のリスクは過小評価すべきでありません。
個人情報保護法は、3年ごとの制度の見直しにあわせて、定期的な個人情報保護規定や社内制度の見直しなどが必要となります。その際、顧問弁護士をご活用ください。当事務所は、会社の規模などに合わせて、最適なご提案をさせていただきます。

虎ノ門法律経済事務所の弁護士コラムのページへようこそ。
弁護士相談・法律相談を専門とする虎ノ門法律経済事務所では、企業法務の解決事例も豊富であり、お客様それぞれのお悩み・トラブル内容に沿った弁護士をご紹介することで、トラブル解決の最後までスムーズに進めることを目指しております。
ぜひお気軽にご連絡・ご相談ください。