2022年4月施行 個人情報保護法改正の超わかりやすい解説

個人情報保護法が改正されました。わかりにくい法律用語を中学生でもわかるように、「どうなるのか⁉」を解説しますので、是非、ご参考にしてください。Twitterアカウント

令和2年3月10日に第201回通常国会に提出されました「個人情報の保護に関する法律等の一部を改正する法律案」は、令和2年6月5日の国会において可決され成立しました。

罰則規定等一部は前だおしで施行されますが、基本的には、令和4年4月1日にいよいよ施行されることになっています。

どこがどう改正されたのか?をなるべくカンタンに理解できるように解説します。
(ボクは、民間企業で個人情報保護事務局に所属しています)

どうぞ、最後までじっくり読んでください(^^♪

目次

個人情報保護法を改正(2022年4月施行)の視点(目的)

個人情報保護委員会は、社会・経済情勢の変化を踏まえて3年ごと見直しを図っています。

今回の改正は、以下の5つ視点(目的)で公布されているのものです。

個人の権利利益保護

個人情報の取扱いに対する関心、関与への期待が高まっていて「個人の権利利益を保護」するために必要十分な措置の再整備。

保護と利用のバランス

個人情報や個人に関連する情報を巡る技術革新が、経済成長等と個人の権利利益の保護との両面で行き渡るような制度の必要性。

国際的潮流との調和

デジタル化された個人情報を用いる多様な利活用の、国際的展開での制度見直し。

外国事業者によるリスク変化への対応

海外事業者によるサービスの利用、国境をまたぐ個人情報ビジネスの増大によるリスク対応の必要性。

AI・ビッグデータ時代への対応

AI・ビッグデータ時代での本人の権利利益との関係で説明責任と利活用の環境を整備の必要性。

【基礎のキソ】個人情報保護法が果たす役割について

改正個人情報保護法のポイント

「個人情報の保護に関する法律等の一部を改正する法律」(2020年6月12日公布)では、個人の権利利益の保護などを目的として、個人情報保護法が改正されました。

そのポイントが下記の6つです。

その改正の6つのポイント

ポイント1
本人の権利保護が強化

ポイント2
事業者の責務が追加

ポイント3
データの利活用が促進

ポイント4
企業の特定分野を対象とする団体の認定団体制度が新設

ポイント5
外国の事業者に対する報告徴収・立入検査などの罰則が追加

ポイント6
法令違反に対するペナルティが強化される

ポイント1:本人の権利保護が強化

  • 短期保有データの保有個人データ化 2条7
  • 保有個人データの開示請求のデジタル化 28条1,2項
  • 個人データの授受についての第三者提供記録の開示請求権 28条5項
  • 利用停止・消去請求権、第三者への提供禁止請求権の要件緩和 30条5,6項

ポイント2:事業者の責務が追加

ポイント3:データの利活用が促進

  • 提供先で個人データとなることが想定される場合の確認義務を新設 26条2項
  • 「仮名加工情報」について事業者の義務を緩和 35条2項9
    漏えい等の報告義務(同法22条2項)の適用対象外
    開示請求(同法28条)の適用対象外
    利用停止等(同法30条)の適用対象外

ポイント4:企業の特定分野を対象とする団体の認定団体制度が新設

  • 全ての分野だけでなく事業単位での認定団体の認定 47条2項

ポイント5:外国の事業者に対する、報告徴収・立入検査などの罰則が追加

  • 外国の事業者も、法による罰則の対象となる 75条

ポイント6:法令違反に対するペナルティが強化

  • 措置命令・報告義務違反の罰則について法定刑を引き上げ 83条85条
  • 法人に対する罰金刑を引き上げ 87条

 

以下、改正個人情報保護法で改正させるすべての条項について、みていきましょう!

 

改定のポイントは、上記で示した6つのポイントです。

ですが、他にも改正(改訂、追加、新設)された法もあります。

ですので、全ての改正された法律について、どこがどのように改正されたのか、新旧の法律条項を比較しながら、みていきましょう。

難しいとおもわれますので、”結局どこが変わるのか?”を手っ取り早く要旨を確認したい場合は、

わかりやすく
わかりやすくした要旨を書いています。
だけ、見てください!

「定義」についての改定

定義2条 7項 保有個人データの改正

短期保有データの保有個人データ化について、本人の権利保護が強化されました!

「保有個人データ」とは、
旧法 個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの又は 1 年以内の政令で定める期間以内に消去することとなるもの以外のものをいう。
新法 個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの以外のものをいう。

*「1年以内の政令で定める期間」とは、6か月とされていた。(旧個人情報保護法施行令5条)

変わること
「保有個人データ」に含まれないとされていた6 か月以内に消去されるデータも「保有個人データ」に含まれる。
短期間で消去されるものでも、その間に漏えいが発生すれば瞬時に拡散し、修復困難な損害が生じる可能性もありますもんね!

「JIS Q 15001」では、6か月以内に削除されるデータも開示請求などに対応することが定められているので、Pマーク付与業者は改正による影響はないですね。

定義2条 9項 「仮名加工情報」の新設

仮名加工情報という概念が、新しく定義されました!

「仮名加工情報」とは、
旧法 定義なし
新法 個人情報の区分に応じて当該各号に定める措置を講じて他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報をいう。
第 1 項第 1 号に該当する個人情報 当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。

第 1 項第 2 号に該当する個人情報 当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。

*「仮名加工情報」のヨミは、カメイカコウジョウホウで、カナ、カリナ・・・ではありません。)

新定義をわかりやすく
他の情報と照合しない限り特定の個人を識別できないように個人情報を加工して得られる個人に関する情報を、その情報を所持する者が、照合表など他の情報と照合しない限り特定個人を識別できなくしたもの。
その情報とは具体的には、氏名、生年月日、性別、住所、所得等の個人に関するデータのことだよ!

法第 2 条(第 1 項)
1 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。

(1) 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第 2 号において同じ。)で作られる記録をいう。第18 条第 2 項及び第 28 条第 1 項において同じ。)に記載され、若しくは記録され又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
(2) 個人識別符号が含まれるもの

定義2条 10項 「仮名加工情報取扱事業者」の新設

仮名加工情報を取り扱う事業者として仮名加工情報取扱事業者という概念が、新しく定義されました!

「仮名加工情報取扱事業者」とは、
旧法 定義なし
新法 仮名加工情報を含む情報の集合物であって、特定の仮名加工情報を電子計算機を用いて検索することができるように体系的に構成したもの、その他特定の仮名加工情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの(第35 条の 2 第 1 項において「仮名加工情報データベース等」という。)を事業の用に供している者をいう。ただし、第 5 項各号に掲げる者を除く。

*「仮名加工情報取扱事業者」の仮名のヨミは、カリナで、カナではありません。)

新定義をわかりやすく
仮名加工情報を含む情報の集合体のなかから、特定の仮名加工情報をコンピュータを使って検索できるようにした「仮名加工情報データベース」を事業用として使用する業者のこと 。
仮名加工情報をデータベースとして取扱う業者のことです!

法第 2 条(第 5 項)
5 この法律において「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。ただし、次に掲げる者を除く。
(1) 国の機関
(2) 地方公共団体
(3) 独立行政法人等(独立行政法人等の保有する個人情報の保護に関する法律(平成 15 年法律第 59 号)第 2 条第 1 項に規定する独立行政法人等をいう。以下同じ。)
(4) 地方独立行政法人(地方独立行政法人法(平成 15 年法律第 118 号)第 2 条第 1項に規定する地方独立行政法人をいう。以下同じ。)

「利用目的」についての改定

 16条 2項 不正利用の禁止規定の新設

個人情報を法に反しないからといって不正利用はいけないという新しい規定がつくられました!

個人情報取扱事業者は、
旧法 記載なし
新法 違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない。
新規定をわかりやすく
個人情報取扱事業者が違法ではないからといって、適正ではない方法で個人情報の利用を行ってはならない。
この規定によって、個人情報保護委員会の行政処分の対象としました!

規制対象事例1
違法な行為を営むことが疑われる貸金業登録を行っていない貸金業者等からの突然の接触による本人の平穏な生活を送る権利の侵害等、当該事業者の違法な行為を助長するおそれが想定されるにもかかわらず、当該事業者に当該本人の個人情報を提供する場合
規制対象事例2
採用選考を通じて個人情報を取得した事業者が、性別、国籍等の特定の属性のみにより、正当な理由なく本人に対する違法な差別的取扱いを行うために、個人情報を利用する場合
*上記2例は、個人情報委員会ガイドラインより抜粋
 

「漏えい等の報告等」についての改定

22条 2項 個人情報保護委員会への報告義務規定の新設

事業者の責務として、個人データの漏えい等の発生時における、個人情報保護委員会に対する報告義務が新たに追加された!

個人情報取扱事業者は、
旧法 記載なし
新法 その取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を個人情報保護委員会に報告しなければならない。ただし、当該個人情報取扱事業者が、他の個人情報取扱事業者から当該個人データの取扱いの全部又は一部の委託を受けた場合であって、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を当該他の個人情報取扱事業者に通知したときは、この限りでない。
新規定をわかりやすく
個人の権利利益を害する恐れが大きい個人データの漏えいや滅失、毀損等の事態が発生した場合は、個人情報取扱事業者の個人情報保護委員会へ報告しなければならない
なんと、旧法では、個人データの漏えい等の発生時の、個人情報保護委員会に報告する法的義務はありませんでした。この義務化により、より規制強化を図ることになりますね!

規則第 6 条の 2
法第 22 条の 2 第 1 項本文の個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものは、次の各号のいずれかに該当するものとする。

(1)要配慮個人情報が含まれる個人データの漏えい等が発生し、又は発生したおそれがある事態
(2)不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態

(3)不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態

(4)個人データに係る本人の数が千人を超える漏えい等が発生し、又は発生したおそれがある事態

22 条 2項2 本人への通知義務規定の新設

個人情報取扱事業者は、漏えい等が発生した際には、本人にも通知する義務も課されるという新しい規制が追加された!

前項に規定する場合には、個人情報取扱事業者は、
旧法 記載なし
新法 本人に対し、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を通知しなければならない。ただし、本人への通知が困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
新規定をわかりやすく
個人の権利利益を害する恐れが大きい個人データの漏えいや滅失、毀損等の事態が発生した場合は、個人報取扱事業者は、その旨を本人に対すて通知しなければならない。
ただし、本人への通知が困難な場合があることを想定して(例えば把握している個人データに本人への連絡先がないような場合、把握している個人データが古い場合)、本人の権利利益を保護するために必要な通知にかわる代替措置を取っている場合には、本人への通知を義務とはしない。
委員会だけでなく、当然に漏えいや不正利用された本人へ通知することで更なる規制強化を図るとともに事業者の負担減を図るという規定となります!

代替措置に該当する事例

事案と問合せ窓口となる連絡先を公表し、本人が自らの個人データが対象となっているか否かを確認できるようにすること。

「第三者提供の制限」についての改定

23 条 2項 第三者提供の除外規定の追加

第三者提供の制限強化と本にへの事前通知項目規定が追加されました!

個人情報取扱事業者は、
旧法

第三者に提供される個人データ(要配慮個人情報を除く。以下この項において同じ。)について、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出たときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。

(1) 第三者への提供を利用目的とすること
(2) 第三者に提供される個人データの項目
(3)第三者への提供の方法
(4) 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること
(5) 本人の求めを受け付ける方法 

新法

第三者に提供される個人データについて、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出たときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。ただし、第三者に提供される個人データが要配慮個人情報又は第 17 条第 1 項の規定に違反して取得されたもの若しくは他の個人情報取扱事業者からこの項本文の規定により提供されたもの(その全部又は一部を複製し、又は加工したものを含む。)である場合は、この限りでない。

(1) 第三者への提供を行う個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
(2) 第三者への提供を利用目的とすること
(3) 第三者に提供される個人データの項目
(4) 第三者に提供される個人データの取得の方法
(5) 第三者への提供の方法
(6) 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること
(7) 本人の求めを受け付ける方法
(8) その他個人の権利利益を保護するために必要なものとして個人情報保護委員会規則で定める事項

改正された規定を分かりやすく
旧法23条2項が対象外としていた要配慮個人情報に加えて17条1項に違反し不正な手段で取得した個人情報を含む個人データ、23条2項本文の規定するオプトアウト手続きにより取得された個人データもオプトアウト対象外とし、第三者へ提供してはいけない。さらに、本人への事前通知には新たに3項目の届け出情報を追加。上記(1)、(4)、(8)
本人の個人情報保護の強化と届出事業者の所在の把握をできるようにたのです!

法第 17 条(第 1 項)

1 個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない。

オプトアウトによる第三者提供

 

個人情報を第三者提供することについては、事業者が事前に本人に対して第三者提供を行うことについて通知しておくことで、その後は事業者に(本人が同意したものとみなして)第三者提供を行うことが認められるという方式がオプトアウト。

「外国にある第三者への提供の制限」についての改定

24 条 2項 外国の第三者への提供規定の新設

外国の第三者に個人データを提供する場合は、本人へ情報提供をしなければならないという規定が追加されました!

個人情報取扱事業者は、
旧法 記載なし
新法 前項の規定(24 条の1)により本人の同意を得ようとする場合には、個人情報保護委員会規則で定めるところにより、あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報を当該本人に提供しなければならない。
新規定をわかりやすく
外国の第三者に個人データを提供するような場合には、個人情報取扱事業者は、本人に対して移転先国の名称や、個人情報保護制度の有無等の情報など、事前に外国の第三者が講ずる個人情報保護の措置やその他参考となるべき情報を提供しなければならない。
規定のなかった外国の第三者への個人情報提供の充実を本人へちゃんと知らしめることが必要になるということ!

24 条 3項 外国にある第三者への提供の制限の新設

外国の第三者に個人データを提供する場合の、情報提供事業者の義務規定が追加されました!

個人情報取扱事業者は、
旧法 記載なし
新法 個人データを外国にある第三者(第1 項に規定する体制を整備している者に限る。)に提供した場合には、個人情報保護委員会規則で定めるところにより、当該第三者による相当措置の継続的な実施を確保するために必要な措置を講ずるとともに、本人の求めに応じて当該必要な措置に関する情報を当該本人に提供しなければならない。
新規定をわかりやすく
外国の第三者に提供した個人情報取扱事業者は、その第三者に対して相当措置の継続的な実施を確保するために必要な措置を行わなけらばならない。
外国の第三者に対する情報提供者の規制について定めた追加規制です!

規則第 11 条の 4
1 法第 24 条第 3 項(法第 26 条の 2 第 2 項において読み替えて準用する場合を含む。)の規定による外国にある第三者による相当措置の継続的な実施を確保するために必要な措置は、次に掲げる措置とする。
(1) 当該第三者による相当措置の実施状況並びに当該相当措置の実施に影響を及ぼすおそれのある当該外国の制度の有無及びその内容を、適切かつ合理的な方法により、定期的に確認すること。
(2) 当該第三者による相当措置の実施に支障が生じたときは、必要かつ適切な措置を講ずるとともに、当該相当措置の継続的な実施の確保が困難となったときは、個人データ(法第 26 条の 2 第 2 項において読み替えて準用する場合にあっては、個人関連情報)の当該第三者への提供を停止すること。

2 法第 24 条第 3 項の規定により情報を提供する方法は、電磁的記録の提供による方法、書面の交付による方法その他の適切な方法とする。

3 個人情報取扱事業者は、法第 24 条第 3 項の規定による求めを受けたときは、本人に対し、遅滞なく、次に掲げる事項について情報提供しなければならない。ただし、情報提供することにより当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合は、その全部又は一部を提供しないことができる。
(1) 当該第三者による法第 24 条第 1 項に規定する体制の整備の方法
(2) 当該第三者が実施する相当措置の概要
(3) 第 1 項第 1 号の規定による確認の頻度及び方法

「個人関連情報の第三者提供の制限等」についての改定

26 条 2項 第三者提供を受ける際の確認での「個人関連情報」の追加

第三者提供を受ける際の確認での「個人関連情報」という新しい情報規定が追加されました!

個人関連情報取扱事業者は、
旧法 規定なし
新法

個人関連情報取扱事業者(個人関連情報データベース等(個人関連情報(生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいう。以下同じ。)を含む情報の集合物であって、特定の個人関連情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の個人関連情報を容易に検索することができるように体系的に構成したものとして政令で定めるものをいう。以下この項において同じ。)を事業の用に供している者であって、第 2 条第 5 項各号に掲げる者を除いたものをいう。以下同じ。)は、第三者が個人関連情報(個人関連情報データベース等を構成するものに限る。以下同じ。)を個人データとして取得することが想定されるときは、
第 23 条第 1 項各号に掲げる場合を除くほか、次に掲げる事項について、あらかじめ個人情報保護委員会規則で定めるところにより確認することをしないで、当該個人関連情報を当該第三者に提供してはならない。

一 当該第三者が個人関連情報取扱事業者から個人関連情報の提供を受けて本人が識別される個人データとして取得することを認める旨の当該本人の同意が得られていること。

二 外国にある第三者への提供にあっては、前号の本人の同意を得ようとする場合において、個人情報保護委員会規則で定めるところにより、あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報が当該本人に提供されていること。

新規定をわかりやすく
「個人関連情報」を定義し個人情報と同様に第三者へ提供する場合には、本人の同意が必要で、外国の第三者の場合は、第三者が行う個人情報の保護のための措置や本人に参考となる情報が本人に提供されなければならない。
個人関連情報や個人関連情報取扱事業者は新しい言葉なのでちゃんと理解しよう!

個人関連情報とは

 

生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないもの

【個人関連情報に該当する事例】
事例 1)Cookie 等の端末識別子を通じて収集された、ある個人のウェブサイトの閲覧履歴
事例 2)メールアドレスに結び付いた、ある個人の年齢・性別・家族構成等
事例 3)ある個人の商品購買履歴・サービス利用履歴
事例 4)ある個人の位置情報
事例 5)ある個人の興味・関心を示す情報

「個人関連情報取扱事業者」とは、

 

個人関連情報データベース等を事業の用に供している者のうち、国の機関、地方公共団体、独立行政法人等の保有する個人情報の保護に関する法律で定める独立行政法人等及び地方独立行政法人法で定める地方独立行政法人を除いた者をいう。

「保有個人データに関する事項の公表等」についての改定

27 条 保有個人データに関する事項の公表等での項目追加

氏名も住所もちゃんと明示しなさいという規定となりました!

個人情報取扱事業者が公表しなければならないのは、(公表項目の追加)
旧法 一 当該個人情報取扱事業者の氏名又は名称
新法 一 当該個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
改定された規定をわかりやすく
事業者の氏名・名称の他に、新たに「住所」「法人である場合にはその代表者の氏名」について公表事項に加えられた。
いっそう、詳細に公表し取扱いの強化を図るのですね!

「開示」についての改定

28 条 保有個人データの開示請求方法の変更

開示方法が具体的に明示されました!

本人は、
旧法 個人情報取扱事業者に対し、当該本人が識別される保有個人データの開示を請求することができる。
新法 個人情報取扱事業者に対し、当該本人が識別される保有個人データの電磁的記録の提供による方法その他の個人情報保護委員会規則で定める方法による開示を請求することができる。
改定された規定をわかりやすく
保有個人データの開示請求について、電磁的記録による方法その他、個人情報保護委員会規則で定める方法による開示を請求できる。
データの開示方法について、具体的に規定したものです!

28 条 2項 保有個人データに関する事項の公表等での項目追加

開示の提供形式について具体的に明示されました!

個人情報取扱事業者は、
旧法 前項の規定による請求を受けたときは、本人に対し、政令で定める方法により、遅滞なく、当該保有個人データを開示しなければならない。ただし、開示することにより次の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。
新法 前項の規定による請求を受けたときは、本人に対し、同項の規定により当該本人が請求した方法(当該方法による開示に多額の費用を要する場合その他の当該方法による開示が困難である場合にあっては、書面の交付による方法)により、遅滞なく、当該保有個人データを開示しなければならない。ただし、開示することにより次の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。
新しい規制を具体的に
保有個人データの開示の請求を受けたときは、本人に対し電磁的記録の提供による方法、書面の交付による方法その他当該個人情報取扱事業者の定める方法のうち本人が請求した方法(当該方法による開示に多額の費用を要する場合やその他の方法による開示が困難である場合にあっては、書面の交付による方法)により、遅滞なく当該保有個人データを開示しなければならない。
開示請求者側の電磁的記録の提供による開示請求を認める一方で、多額の費用がかかるなどの指定された方法での開示が困難であるような場面には、本人への通知の上で書面による交付をも認めることとし、事業者側の負担減を図るようにしたんですね!

28 条 5項  保有個人データの第三者提供記録の開示義務が追加

第三者提供記録についても開示義務の対象となりました!

個人情報取扱事業者は、
旧法 規定なし
新法 第 1 項から第 3 項までの規定は、当該本人が識別される個人データに係る第 25 条第 1 項及び第 26 条第 3 項の記録(その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるものを除く。第 32 条第 2 項において「第三者提供記録」という。)について準用する。
新規定をわかりやすく
第三者提供記録について、開示義務の対象とする。
旧法では、開示の対象とはなっていませんでした。本人の利用停止権や請求権講師の利便性向上の観点から、新法では第三者提供の確認記録も開示義務の対象としたのですね!

「利用停止等」ついての改定

30 条 5項 利用停止での請求条件が追加

事業者の責務に加えて、本人からの利用停止が出来るようになりました!

本人は、
旧法 規定なし
新法 個人情報取扱事業者に対し、当該本人が識別される保有個人データを当該個人情報取扱事業者が利用する必要がなくなった場合、当該本人が識別される保有個人データに係る第22 条の 2 第 1 項本文に規定する事態が生じた場合その他当該本人が識別される保有個人データの取扱いにより当該本人の権利又は正当な利益が害されるおそれがある場合には、当該保有個人データの利用停止等又は第三者への提供の停止を請求することができる。
新規定をわかりやすく
個人情報取扱事業者が利用する必要がなくなった場合、法第 22 条の 2 第 1 項本文に定める漏えい等事案が生じた場合、その他本人が識別される保有個人データの取扱いにより本人の権利又は正当な利益が害されるおそれがある場合には、保有個人データの利用停止等又は第三者への提供の停止を請求することができる。
これにより、利用停止等を求めることができる場面が拡大されました!

30 条 6項 請求に対する対応要件の規定

事業者側の負担も考慮した条項が規定されました!

個人情報取扱事業者は、
旧法 規定なし
新法 前項の規定(30条5項)による請求を受けた場合であって、その請求に理由があることが判明したときは、本人の権利利益の侵害を防止するために必要な限度で、遅滞なく、当該保有個人データの利用停止等又は第三者への提供の停止を行わなければならない。ただし、当該保有個人データの利用停止等又は第三者への提供の停止に多額の費用を要する場合その他の利用停止等又は第三者への提供の停止を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
新規定をわかりやすく
適切な請求を受けたときは、遅滞なく、当該保有個人データの利用停止等又は第三者への提供の停止を行わなければならない。ただし、当該保有個人データの利用停止等又は第三者への提供の停止に多額の費用を要する場合、その他の利用停止等又は第三者への提供の停止を行うことが困難な場合で、かつ、本人の権利利益が保護されるような代替措置が取られているような場合には、利用停止等の措置を行う必要はない。
事業者側の負担も考慮した、負担軽減の観点からの規定です。

「仮名加工情報の作成等」についての改定

35 条  2項 作成や安全管理措置

仮名加工情報の作成や安全管理措置等について定めた新規規定です!

個人情報取扱事業者は、
旧法 記載なし
新法 仮名加工情報(仮名加工情報データベース等を構成するものに限る。以下同じ。)を作成するときは、他の情報と照合しない限り特定の個人を識別することができないようにするために必要なものとして個人情報保護委員会規則で定める基準に従い、個人情報を加工しなければならない。
仮名加工情報とは、氏名等の特定個人を識別できる記述を、他の記述に置き換えることにより、加工後のデータから特定の個人を識別できないような仮名化が施されたような情報のこと!

35 条 2項 2 削除情報等の漏えい防止

削除情報等の漏えいを防止するための新しい規定!

個人情報取扱事業者は、
旧法 記載なし
新法 仮名加工情報を作成したとき、又は仮名加工情報及び当該仮名加工情報に係る削除情報等(仮名加工情報の作成に用いられた個人情報から削除された記述等及び個人識別符号並びに前項の規定により行われた加工の方法に関する情報をいう。以下この条及び次条第 3 項において読み替えて準用する第 7 項において同じ。)を取得したときは、削除情報等の漏えいを防止するために必要なものとして個人情報保護委員会規則で定める基準に従い、削除情報等の安全管理のための措置を講じなければならない。
新規定をわかりやすく
仮名加工情報の作成、仮名加工情報や削除情報等の取得が行われた際には、漏えい防止のために必要な、個人情報保護委員会規則の定める基準に従った安全管理措置を取る必要がある。(削除情報等の漏えいを防止するための規定)

35 条 2項 3 除外規定なし

仮名加工情報の取り扱いでは、他条項での同意、除外項目は通用しない

仮名加工情報取扱事業者
旧法 記載なし
新法 (個人情報取扱事業者である者に限る。以下この条において同じ。)は、第 16 条の規定にかかわらず、法令に基づく場合を除くほか、第 15 条第 1 項の規定により特定された利用目的の達成に必要な範囲を超えて、仮名加工情報(個人情報であるものに限る。以下この条において同じ。)を取り扱ってはならない。
新規定をわかりやすく
16条1項の反対解釈として、本人の事前の同意がある場合には目的外使用が許されることや、16条3項2号から4号のような場合に目的外使用が許されていたことが、仮名加工情報の場合には許されない

35 条の 2の4 利用目的の公表

仮名加工情報を取得した場合には、速やかに利用目的を公表しなければならない

仮名加工情報についての
旧法 記載なし
新法 第 18 条の規定の適用については、同条第 1 項及び第 3 項中「、本人に通知し、又は公表し」とあるのは「公表し」と、同条第 4 項第 1 号から第 3 号までの規定中「本人に通知し、又は公表する」とあるのは「公表する」とする。
新規定をわかりやすく
仮名加工情報を取得した際には、あらかじめ利用目的を公表している場合を除き、速やかに利用目的を公表する必要があるとする規定。

35 条 2項 5 仮名加工情報の消去

仮名加工情報を利用する必要がなくなったら遅滞なく消去するように努めること

仮名加工情報取扱事業者は、
旧法 記載なし
新法 仮名加工情報である個人データ及び削除情報等を利用する必要がなくなったときは、当該個人データ及び削除情報等を遅滞なく消去するよう努めなければならない。この場合においては、第 19 条の規定は、適用しない。
新規定をわかりやすく
仮名加工情報取扱事業者が仮名加工情報である個人データや、削除情報等を利用する必要がなくなった際には、それらのデータの消去を遅滞なく行う必要がある。

法第 19 条

 

個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない。

35 条 2項 6 第三者提供はNG

仮名加工情報の第三者提供についての定め

仮名加工情報取扱事業者は、
旧法 記載なし
新法 第 23 条第 1 項及び第 2 項並びに第 24 条第 1 項の規定にかかわらず、法令に基づく場合を除くほか、仮名加工情報である個人データを第三者に提供してはならない。この場合において、第 23 条第 5 項中「前各項」とあるのは「第 35 条の 2 第 6 項」と、同項第 3 号中「、本人に通知し、又は本人が容易に知り得る状態に置いて」とあるのは「公表して」と、同条第 6 項中「、本人に通知し、又は本人が容易に知り得る状態に置かなければ」とあるのは「公表しなければ」と、第 25 条第 1 項ただし書中「第 23 条第 1 項各号又は第 5 項各号のいずれか(前条第 1 項の規定による個人データの提供にあっては、第 23 条第 1 項各号のいずれか)」とあり、及び第 26 条第 1 項ただし書中「第 23 条第 1 項各号又は第 5 項各号のいずれか」とあるのは「法令に基づく場合又は第 23 条第 5 項各号のいずれか」とする。
新規定をわかりやすく
法令に基づく場合を除き、仮名加工情報である個人データを第三者に提供してはらない。本人の同意を得た場合(23条1項)や、23条1項2号から4号のような場合は、個人データの場合と異なり、仮名加工情報である個人データについて第三者提供することは許されないものとされている。仮名加工情報が事業者内部で分析のために用いられることに鑑み、原則として第三者提供は許容しないものとしたものです。ただし、第三者に該当しないような場合(新法35条の2第6項・23条5項各号)には、第三者に該当しないので個人データの提供は許されることになる。

法第 23 条(第 1 項)

1 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
(1) 法令に基づく場合
(2) 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
(3) 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
(4) 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。

第三者に該当しない場合(法第 23 条第 5 項・第 6 項関係)
法第 23 条(第 5 項)
5 次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用については、第三者に該当しないものとする。
(1) 個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合
(2) 合併その他の事由による事業の承継に伴って個人データが提供される場合
(3) 特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的並びに当該個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。

35 条 2項 7 仮名加工情報の照合

仮名加工情報を他の情報と照合してはならない

仮名加工情報取扱事業者は、
旧法 記載なし
新法 仮名加工情報を取り扱うに当たっては、当該仮名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該仮名加工情報を他の情報と照合してはならない。
新規定をわかりやすく
仮名加工情報取扱事業者は、仮名加工情報を取扱う際には、仮名加工情報の作成に用いられた個人情報にかかる個人を識別するために、仮名加工情報を他の情報と照合してはならない

35 条 2項 8 仮名加工情報の目的外の照合禁止

電話・郵便・FAX送信や住居訪問等のために仮名加工情報を利用してはいけない!

仮名加工情報取扱事業者は、
旧法 記載なし
新法 仮名加工情報を取り扱うに当たっては、電話をかけ、郵便若しくは民間事業者による信書の送達に関する法律(平成 14 年法律第 99 号)第 2 条第 6 項に規定する一般信書便事業者若しくは同条第 9 項に規定する特定信書便事業者による同条第 2 項に規定する信書便により送付し、電報を送達し、ファクシミリ装置若しくは電磁的方法(電子情報処理組織を使用する方法その他の情報通信の技術を利用する方法であって個人情報保護委員会規則で定めるものをいう。)を用いて送信し、又は住居を訪問するために、当該仮名加工情報に含まれる連絡先その他の情報を利用してはならない。
新規定をわかりやすく
仮名加工情報取扱事業者は、仮名加工情報を取扱うにあたり、電話・郵便・FAX送信や住居訪問等のために仮名加工情報に含まれる連絡先を利用してはならない。

35 条 2項 9 適用除外の明記(新設)

仮名加工情報は除外がたくさんある!

個人データや保有個人データについて、
旧法 記載なし
新法 仮名加工情報、仮名加工情報である個人データ及び仮名加工情報である保有個人データについては、第 15 条第 2 項、第 22条の 2 及び第 27 条から第 34 条までの規定は、適用しない。
新規定をわかりやすく
仮名加工情報・仮名加工情報である個人データおよび仮名加工情報である保有個人データついて加工されているので利用目的の変更の通知、漏洩、毀損の通知、公表・開示・訂正・利用停止請求に関しては、適用除外となる。

除外規定

 

法第 15 条(第 2 項)
個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない。

 

法第 22 条の 2(第 2 項)
前項に規定する場合(個人データの漏えい、滅失、毀損等が発生した場合)には、個人情報取扱事業者(同項ただし書の規定による通知をした者を除く。)は、本人に対し、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を通知しなければならない。ただし、本人への通知が困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。

 

(法第 27 条~第 34 条関係)
保有個人データに関する事項の公表等、保有個人データの開示・訂正等・利用停止等

「仮名加工情報の第三者提供の制限等」につていの改定

35 条 3項 第三者提供はしてはいけない

仮名加工情報の第三者提供について定めた新規規定です!

仮名加工情報取扱事業者は、
旧法 記載なし
新法 法令に基づく場合を除くほか、仮名加工情報(個人情報であるものを除く。次項及び第 3 項において同じ。)を第三者に提供してはならない。
新規定をわかりやすく
仮名加工情報(個人情報であるものは除く)は、新法35条の3第1項により、原則として法令に基づく場合を除き第三者に仮名加工情報を提供してはならない。
仮名加工情報は事業者の内部で利用されるものなので外部への提供を第三者に提供することは原則として認めないのです!

35 条 3項 2 提供を受ける側の規定

仮名加工情報の提供を受ける者は、個人情報を受ける者の規定を準用される!

第 23 条第 5 項及び第 6 項の規定は、
旧法 記載なし
新法 仮名加工情報の提供を受ける者について準用する。この場合において、同条第 5 項中「前各項」とあるのは「第 35 条の 3 第 1 項」と、同項第 1 号中「個人情報取扱事業者」とあるのは「仮名加工情報取扱事業者」と、同項第 3 号中「、本人に通知し、又は本人が容易に知り得る状態に置いて」とあるのは「公表して」と、同条第 6 項中「個人情報取扱事業者」とあるのは「仮名加工情報取扱事業者」と、「、本人に通知し、又は本人が容易に知り得る状態に置かなければ」とあるのは「公表しなければ」と読み替えるものとする。
新規定をわかりやすく
新法23条5項および6項が準用されることになるので、「第三者」に当たらない場合の規定や取扱事業者の情報が変更された際の通知ないし知りうる状態に置く措置をとる義務規定が適用される。
仮名加工情報を受ける者は、個人情報を受けることの規定と同じだということですね!

第三者に該当しない場合(法第 23 条第 5 項・第 6 項関係)

法第 23 条(第 5 項)

5 次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用については、第三者に該当しないものとする。
(1) 個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合
(2) 合併その他の事由による事業の承継に伴って個人データが提供される場合
(3) 特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的並びに当該個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。

法第 23 条(第 6 項)

6 個人情報取扱事業者は、前項第 3 号に規定する個人データの管理について責任を有する者の氏名、名称若しくは住所又は法人にあっては、その代表者の氏名に変更があったときは遅滞なく、同号に規定する利用する者の利用目的又は当該責任を有する者を変更しようとするときはあらかじめ、その旨について、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。

「勧告及び命令」につていの改定

42条 4項 勧告及び命令

命令に違反した場合は、公表されてしまう!(今までは、罰金のみ)

個人情報保護委員会は、
旧法 記載なし
新法 前 2 項の規定による命令をした場合、において、その命令を受けた個人情報取扱事業者等がその命令に違反したときは、その旨を公表することができる。
新規定をわかりやすく
個人情報保護委員会による命令に違反した場合に、個人情報取扱事業者が命令に違反した旨を公表できるこ。
今までは、罰金だけだったけど、公表することも出来るようになったんだね!

「認定」につていの改定

47条 2項 民間団体による個人情報の保護の推進

企業の特定の分野を対象とする団体を認定できるようにした!

民間団体の認定は、
旧法 記載なし
新法 対象とする個人情報取扱事業者等の事業の種類その他の業務の範囲を限定して行うことができる。
新規定をわかりやすく
認定団体制度について、特定の事業活動に限定した活動を行う団体を認定できる。
旧法では、業界単位での認定団体が多く、加入率が高くなかったので特定の事業単位での認定を求める声が上がっていてこれに対応したものです!

「適用範囲」-外国の事業者についての改定

75条 外国の事業者も法による罰則の対象に

第42条第2項又は第3項の規定による命令に違反した場合には、
旧法 第 15 条、第 16 条、第 18 条(第 2 項を除く。)、第 19 条から第 25 条まで、第 27 条から第 36 条まで、第 41条、第 42 条第 1 項、第 43 条及び次条の規定は、国内にある者に対する物品又は役務の提供に関連してその者を本人とする個人情報を取得した個人情報取扱事業者が、外国において当該個人情報又は当該個人情報を用いて作成した匿名加工情報を取り扱う場合についても、適用する。
新法 この法律は、個人情報取扱事業者等が、国内にある者に対する物品又は役務の提供に関連して、国内にある者を本人とする個人情報、当該個人情報として取得されることとなる個人関連情報又は当該個人情報を用いて作成された仮名加工情報若しくは匿名加工情報を、外国において取り扱う場合についても、適用する。
改正された規定をわかりやすく
外国にある個人情報取扱事業者等が、日本の国内にある者を本人とする個人情報、個人関連情報、仮名加工情報若しくは匿名加工情報を、外国において取り扱う場合には、法が適用される(※)。なお、域外適用の対象となる場合は、外国にある個人情報取扱事業者等がこれらの情報を本人から直接取得して取り扱う場合に限られず、本人以外の第三者から提供を受けて取り扱う場合も含まれる。
今回の域外適用の改正により、罰則で担保された報告徴収や勧告なども外国の事業者に適用されることになりました!

(※)法第 75 条により法の適用を受ける外国事業者が、法に違反した場合には、個人情報保護委員会が指導、助言、勧告又は命令等を行うことができる。

「罰則」についての改定

83条 措置命令に違反の重罰化

措置命令に違反すると、懲役&罰金額のアップ!

第42条第2項又は第3項の規定による命令に違反した場合には、
旧法 6月以下の懲役又は30万円以下の罰金に処する。
新法 1年以下の懲役又は100万円以下の罰金に処する。
改正された規定をわかりやすく
個人情報保護委員会の措置命令に違反した場合に、1年以下の懲役又は100万円以下の罰金に処することを定めた。
重罰化になるということですね!

85条 報告及び立入検査等、違反行為の重罰化

報告及び立入検査、認定業務の報告違反場合の罰金額のアップ!

次の各号のいずれかに該当する場合には、
旧法 当該違反行為をした者は、30万円以下の罰金に処する。
一 第40条第1項の規定による報告若しくは資料の提出をせず、若しくは虚偽の報告をし、若しくは虚偽の資料を提出し、又は当該職員の質問に対して答弁をせず、若しくは虚偽の答弁をし、若しくは検査を拒み、妨げ、若しくは忌避した者
二 第56条の規定による報告をせず、又は虚偽の報告をした者
新法 当該違反行為をした者は、50万円以下の罰金に処する。
第40条第1項の規定による報告若しくは資料の提出をせず、若しくは虚偽の報告をし、若しくは虚偽の資料を提出し、又は当該職員の質問に対して答弁をせず、若しくは虚偽の答弁をし、若しくは検査を拒み、妨げ、若しくは忌避したとき。
第56条の規定による報告をせず、又は虚偽の報告をしたとき。
改正された規定をわかりやすく
40条1項および56条の規定に違反した場合の法定刑について、旧法では30万円以下の罰金としていたものを50万円以下の罰金とし引き上げる。
重罰化になるということですね!

(報告及び立入検査)

第 40 条 個人情報保護委員会は、前 3 節及びこの節の規定の施行に必要な限度において、個人情報取扱事業者、個人関連情報取扱事業者、仮名加工情報取扱事業者又は匿名加工情報取扱事業者(以下「個人情報取扱事業者等」という。)その他の関係者に対し、個人情報、個人関連情報、仮名加工情報又は匿名加工情報(以下「個人情報等」という。)の取扱いに関し、必要な報告若しくは資料の提出を求め、又はその職員に、当該個人情報取扱事業者等その他の関係者の事務所その他必要な場所に立ち入らせ、個人情報等の取扱いに関し質問させ、若しくは帳簿書類その他の物件を検査させることができる。

(報告の徴収)

第56条 個人情報保護委員会は、この節の規定の施行に必要な限度において、認定個人情報保護団体に対し、認定業務に関し報告をさせることができる。

87条 法人の重罰化

違反者と同額だった罰則が重罰化へ変更!

法人の代表者
旧法 又は法人若しくは人の代理人、使用人その他の従業者が、その法人又は人の業務に関して、第83条から第85条までの違反行為をしたときは、行為者を罰するほか、その法人又は人に対しても、各本条の罰金刑を科する。
新法 又は法人若しくは人の代理人、使用人その他の従業者が、その法人又は人の業務に関して、次の各号に掲げる違反行為をしたときは、行為者を罰するほか、その法人に対して当該各号に定める罰金刑を、その人に対して各本条の罰金刑を科する。
一 第83条及び第84条 1億円以下の罰金刑
二 第85条 同条の罰金刑(50万円)
改正された規定をわかりやすく
旧法では、法人に対する罰金の額については行為者等と同じでしたが、改正により新法83条および新法84条に違反した場合には1億円以下、新法83条の違反には50万円(旧法30万円)の罰金とるす。
法人への高額な罰金制度となりましたね!

まとめ

社会、経済のグローバル化、IT化が目覚ましい進歩を遂げている環境変化の中で、僕たちの個人情報、プライバシーをちゃんとまもってくれるための法改正です。

上記の要旨にも書きましたが、そのような環境変化のなかで、社会、法律にまかせっきりでは、どこかに必ずスキ、ほころび、リスクが大きくなってしまい、不幸になりま寝ません。

保護される権利とともに、より良い社会活動による発展のためにも、「個人情報」が適正に利活用され、安心して生活をおくれるよう関心を持つことが大切です。

特にこの改正法では、グローバル、利活用のための保護強化のための改正ですので、とくに僕たちがパソコンを介して利用しているIT関連と外国を注視していくといいですね。

kenko-mind!