2022年4月1日、大幅に変更された改正個人情報保護法が施行されました。本記事では改正された項目について、事業者が対応すべきことを含めてわかりやすく解説します。

改正個人情報保護法の概要

2022年4月施行の改正個人情報保護法では、個人の権利が拡大される一方、個人情報を取り扱う事業者の義務が増大しています。

 

本記事では次の4つの観点から、改正された事項について解説します。

 

(1) 個人の権利が拡大

(2) 事業者の義務が増大

(3) 新たに「仮名加工情報」と「個人関連情報」が定義された

(4) 第三者提供に制限や義務が設けられた

改正ポイント(1) 個人の権利が拡大

今回の改正における大きな特徴は、個人の権利の拡大です。

a.利用停止・消去を求める条件が緩和された

個人情報の利用停止・消去を求めることができるケースとして、次の3つが新たに追加されました。

 

・重大な漏洩等が生じた場合

・利用する必要がなくなった場合

・本人の権利または正当な利益が害されるおそれのある場合

 

これまでは事業者が法律に違反していない限り、個人情報の利用停止や消去を求めることはできませんでした。

 

事業者においては、ユーザーから個人情報の利用停止・消去を求められるケースが増えるでしょう。事業者は求めに応じられるよう、体制を整えておかなければなりません。

b.開示方法を本人が指定できるようになった

情報開示を求められた際の個人データ開示方法に、「電磁的記録（電子ファイル）での提供」が追加されました。さらにその開示方法は、請求する本人が指定できます。

 

事業者は電磁的記録での交付対応ができるよう、準備しておく必要があるでしょう。

c.「第三者提供記録」についても開示等を請求できるようになった

開示等の請求対象に、「第三者提供記録」が含まれるようになりました。

 

改正ポイント(2) 事業者の義務が増加

今回の改正では、事業者の義務が増加しています。

a.漏洩したときの報告と本人通知が義務化

個人データの漏洩等が発生したケースにおいて、個人の権利等が害するおそれの大きい場合、次の2つが義務付けられます。

 

・個人情報保護委員会への報告

・本人への通知

 

事業者においては、個人情報保護委員会への報告と本人通知の手順を、マニュアル化しておく必要があるでしょう。

b.公表する項目が増えた

事業者が公表する必要のあるものとして、下記の項目が追加されました。

 

・個人情報取扱事業者の住所

・法人の場合は代表者の氏名

・安全管理のために講じた措置

・認定個人情報保護団体の名称と苦情解決の申し出先（認定個人情報保護団体の事業者である場合）

 

事業者はプライバシーポリシーの改定が必要になります。

 

c.6ヶ月以内に消去されるものも開示対象に

6ヶ月以内に消去されるデータも、開示等の対象となります。

 

事業者においては、短期間で消去されるデータの運用方法を見直し、開示等の請求に備えておく必要があるでしょう。

d.不適正な利用が禁止された

違法行為や社会通念上適正とはいえない方法で個人情報を利用してはならないことが、法律に明記されました。

 

個人情報を取り扱う上で、違法行為に加担する可能性がないか等の再点検が必要かもしれません。

改正ポイント(3) 「仮名加工情報」と「個人関連情報」が新たに定義された

2022年4月施行の個人情報保護法では、「仮名加工情報」と「個人関連情報」が新たに定義されました。

 

上記2つを含めた、個人に関する情報の分類は、次の表のとおりです。

 

a.仮名加工情報

「仮名加工情報」とは、それ単体では個人を識別できないよう、「個人情報」をルールに従って加工したものです。

 

たとえば顧客名簿の氏名等を、IDに置き換えたり、削除したりしたものが当てはまります。

 

仮名加工情報は下記のように、「個人情報」よりも取り扱いが緩やかです。

 

・利用目的を変更してもよい（内部の分析等に用いることが条件）

・漏洩しても、個人情報委員会に報告したり、本人へ通知する必要はない

・開示等の求めに応じる必要がない

b.個人関連情報

「個人関連情報」はそれ単体では、特定の個人を特定できるものではありません。

 

具体的には、CookieやIPアドレス、個人における商品購入履歴等が当てはまります。

 

たとえばCookieを使えば、特定のWebブラウザにおける、Webサイトの閲覧履歴がわかります。ですがそのWebブラウザを操作した人が、「誰なのか」まではわかりません。

 

ただ同じCookieであっても、特定の個人を識別できる情報と結びつけることが容易であれば、そのCookieは「個人情報」として取り扱う必要があります。

 

Cookie等が「個人関連情報」と「個人情報」のどちらになるのかは、自社の運用方法によって変わります

改正ポイント(4) 第三者提供に制限や義務が設けられた

今回の改正では、情報を第三者へ提供する際に義務や一定の制限が設けられました。

a.海外にある第三者へ提供するときの要件が追加

EUや英国以外にある海外の第三者に対し、個人情報を提供する際、これまでは以下のどちらかの要件を満たすのがルールでした。

 

①海外企業へ情報を提供する旨の本人同意を得ること

②提供先の海外企業が、個人情報保護の基準を満たしていること

 

2022年4月施行の改正個人情報保護法では、上記それぞれの要件に対し、義務が追加されます。

 

①本人同意を得る場合は、以下の情報を本人に提供します。

 

・移転先の国の名称

・当該外国における、個人情報保護の制度

・提供先が講じる、個人情報保護のための措置

 

②基準を満たした海外企業へ提供する場合は、以下の義務が課せられます。

 

 

また「個人関連情報」においても、次のケースでは、上記の個人情報と同じルールが適用されます。

 

情報の提供先である、EU・英国以外の海外企業において、「個人として識別できる個人データ」として取得することが想定されるケースです。

 

この場合も上記の個人情報と同じく、プライバシーポリシーの改定が必要になるでしょう。

b.「仮名加工情報」は第三者への提供が禁止

「仮名加工情報」を第三者へ提供することは禁止されました。「仮名加工情報」を第三者へ提供していないか、確認を行いましょう。

c.第三者が「個人関連情報」を「個人データ」として取得するときは義務が生じる

個人関連情報を第三者へ提供するケースにおいて、「その個人関連情報をもとに第三者が個人を識別できるようになる」と想定される場合、提供元に義務が発生します。

 

「提供先において、個人データとして取得することに本人の同意が得られていること」を、提供元が確認しない限り、情報提供が禁止されます。

 

事業者が個人関連情報を提供している場合、まず相手先で個人データとして取得されているのか、確認を行いましょう。

もし個人データとして取得されている場合は、「提供先において本人同意が得られていること」を確認します。

d.オプトアウトによる第三者提供が一部制限された

個人情報を第三者へ提供する方法として、次の2パターンがあります。

 

・本人の同意を得る方法

・個人情報保護委員会へ届ける等の手続きを踏む方法（オプトアウト方式）

 

後者のオプトアウト方式による第三者への個人データ提供において、以下2つのケースについては、第三者へ提供できなくなりました。

 

・違法に取得された個人データ

・オプトアウト方式で提供を受けた個人データ（二重オプトアウト）

 

二重オプトアウトでデータを提供したり、データ提供を受けたりしていた企業は、ビジネスの変更を余儀なくされるでしょう。

改定個人情報保護法で事業者が対応すべきこと

2022年4月施行の改正個人情報保護法によって事業者が対応すべき項目をまとめると、次のとおりです。

 

・第三者提供記録と6ヶ月以内に消去されるデータを含めた、開示等の請求への対応

・電磁的記録での交付への対応

・個人情報保護委員会への報告と本人通知のマニュアルを策定

・プライバシーポリシーで公表する項目を追加

・社会通念上適正かどうかの確認

・仮名加工情報を第三者へ提供していないかの確認

 

個人関連情報については、次の2つを実施します。

 

・個人関連情報を洗い出し、提供企業や自社内で個人データとして取得しているか確認する

・個人データとして取得していれば、本人同意を得ているか確認する

 

さらに海外の第三者へ情報提供している企業であれば、今回の改正によって要件が追加されたため、プライバシーポリシーの改定が必要です。

 

保有している情報の種類に応じて、しっかり対応していきましょう。