健康マインド 
令和2年3月10日に第201回通常国会に提出されました「個人情報の保護に関する法律等の一部を改正する法律案」は、令和2年6月5日の国会において可決され成立しました。
罰則規定等一部は前だおしで施行されますが、基本的には、令和4年4月1日にいよいよ施行されることになっています。
どこがどう改正されたのか?をなるべくカンタンに理解できるように解説します。
(ボクは、民間企業で個人情報保護事務局に所属しています)
どうぞ、最後までじっくり読んでください(^^♪
目次
- 個人情報保護法を改正(2022年4月施行)の視点(目的)
- 改正個人情報保護法のポイント
- 以下、改正個人情報保護法で改正させるすべての条項について、みていきましょう!
- 「定義」についての改定
- 「利用目的」についての改定
- 「漏えい等の報告等」についての改定
- 「第三者提供の制限」についての改定
- 「外国にある第三者への提供の制限」についての改定
- 「個人関連情報の第三者提供の制限等」についての改定
- 「保有個人データに関する事項の公表等」についての改定
- 「開示」についての改定
- 「利用停止等」ついての改定
- 「仮名加工情報の作成等」についての改定
- 「仮名加工情報の第三者提供の制限等」につていの改定
- 「勧告及び命令」につていの改定
- 「認定」につていの改定
- 「適用範囲」-外国の事業者についての改定
- 「罰則」についての改定
- まとめ
個人情報保護法を改正(2022年4月施行)の視点(目的)
個人情報保護委員会は、社会・経済情勢の変化を踏まえて3年ごと見直しを図っています。
今回の改正は、以下の5つ視点(目的)で公布されているのものです。
① 個人の権利利益保護
個人情報の取扱いに対する関心、関与への期待が高まっていて「個人の権利利益を保護」するために必要十分な措置の再整備。
② 保護と利用のバランス
個人情報や個人に関連する情報を巡る技術革新が、経済成長等と個人の権利利益の保護との両面で行き渡るような制度の必要性。
③ 国際的潮流との調和
デジタル化された個人情報を用いる多様な利活用の、国際的展開での制度見直し。
④ 外国事業者によるリスク変化への対応
海外事業者によるサービスの利用、国境をまたぐ個人情報ビジネスの増大によるリスク対応の必要性。
⑤ AI・ビッグデータ時代への対応
AI・ビッグデータ時代での本人の権利利益との関係で説明責任と利活用の環境を整備の必要性。
【基礎のキソ】個人情報保護法が果たす役割について
改正個人情報保護法のポイント
「個人情報の保護に関する法律等の一部を改正する法律」(2020年6月12日公布)では、個人の権利利益の保護などを目的として、個人情報保護法が改正されました。
そのポイントが下記の6つです。
その改正の6つのポイント
ポイント1
:本人の権利保護が強化
ポイント2
:事業者の責務が追加
ポイント3
:データの利活用が促進
ポイント4
:企業の特定分野を対象とする団体の認定団体制度が新設
ポイント5
:外国の事業者に対する報告徴収・立入検査などの罰則が追加
ポイント6
:法令違反に対するペナルティが強化される
ポイント1:本人の権利保護が強化
- 短期保有データの保有個人データ化 2条7項
- 保有個人データの開示請求のデジタル化 28条1,2項
- 個人データの授受についての第三者提供記録の開示請求権 28条5項
- 利用停止・消去請求権、第三者への提供禁止請求権の要件緩和 30条5,6項
ポイント2:事業者の責務が追加
ポイント3:データの利活用が促進
- 提供先で個人データとなることが想定される場合の確認義務を新設 26条2項
- 「仮名加工情報」について事業者の義務を緩和 35条2項9
漏えい等の報告義務(同法22条2項)の適用対象外
開示請求(同法28条)の適用対象外
利用停止等(同法30条)の適用対象外
ポイント4:企業の特定分野を対象とする団体の認定団体制度が新設
- 全ての分野だけでなく事業単位での認定団体の認定 47条2項
ポイント5:外国の事業者に対する、報告徴収・立入検査などの罰則が追加
- 外国の事業者も、法による罰則の対象となる 75条
ポイント6:法令違反に対するペナルティが強化
以下、改正個人情報保護法で改正させるすべての条項について、みていきましょう!
改定のポイントは、上記で示した6つのポイントです。
ですが、他にも改正(改訂、追加、新設)された法もあります。
ですので、全ての改正された法律について、どこがどのように改正されたのか、新旧の法律条項を比較しながら、みていきましょう。
難しいとおもわれますので、”結局どこが変わるのか?”を手っ取り早く要旨を確認したい場合は、
「定義」についての改定
定義2条 7項 保有個人データの改正
短期保有データの保有個人データ化について、本人の権利保護が強化されました!
| 「保有個人データ」とは、 | |
| 旧法 | 個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの又は 1 年以内の政令で定める期間以内に消去することとなるもの以外のものをいう。 |
| 新法 | 個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの以外のものをいう。 |
*「1年以内の政令で定める期間」とは、6か月とされていた。(旧個人情報保護法施行令5条)
「JIS Q 15001」では、6か月以内に削除されるデータも開示請求などに対応することが定められているので、Pマーク付与業者は改正による影響はないですね。
定義2条 9項 「仮名加工情報」の新設
仮名加工情報という概念が、新しく定義されました!
| 「仮名加工情報」とは、 | |
| 旧法 | 定義なし |
| 新法 | 個人情報の区分に応じて当該各号に定める措置を講じて他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報をいう。 一 第 1 項第 1 号に該当する個人情報 当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。 二 第 1 項第 2 号に該当する個人情報 当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。 |
*「仮名加工情報」のヨミは、カメイカコウジョウホウで、カナ、カリナ・・・ではありません。)
法第 2 条(第 1 項)
1 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
(1) 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第 2 号において同じ。)で作られる記録をいう。第18 条第 2 項及び第 28 条第 1 項において同じ。)に記載され、若しくは記録され又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
(2) 個人識別符号が含まれるもの
定義2条 10項 「仮名加工情報取扱事業者」の新設
仮名加工情報を取り扱う事業者として仮名加工情報取扱事業者という概念が、新しく定義されました!
| 「仮名加工情報取扱事業者」とは、 | |
| 旧法 | 定義なし |
| 新法 | 仮名加工情報を含む情報の集合物であって、特定の仮名加工情報を電子計算機を用いて検索することができるように体系的に構成したもの、その他特定の仮名加工情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの(第35 条の 2 第 1 項において「仮名加工情報データベース等」という。)を事業の用に供している者をいう。ただし、第 5 項各号に掲げる者を除く。 |
*「仮名加工情報取扱事業者」の仮名のヨミは、カリナで、カナではありません。)
法第 2 条(第 5 項)
5 この法律において「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。ただし、次に掲げる者を除く。
(1) 国の機関
(2) 地方公共団体
(3) 独立行政法人等(独立行政法人等の保有する個人情報の保護に関する法律(平成 15 年法律第 59 号)第 2 条第 1 項に規定する独立行政法人等をいう。以下同じ。)
(4) 地方独立行政法人(地方独立行政法人法(平成 15 年法律第 118 号)第 2 条第 1項に規定する地方独立行政法人をいう。以下同じ。)
「利用目的」についての改定
16条 2項 不正利用の禁止規定の新設
個人情報を法に反しないからといって不正利用はいけないという新しい規定がつくられました!
| 個人情報取扱事業者は、 | |
| 旧法 | 記載なし |
| 新法 | 違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない。 |
違法な行為を営むことが疑われる貸金業登録を行っていない貸金業者等からの突然の接触による本人の平穏な生活を送る権利の侵害等、当該事業者の違法な行為を助長するおそれが想定されるにもかかわらず、当該事業者に当該本人の個人情報を提供する場合
採用選考を通じて個人情報を取得した事業者が、性別、国籍等の特定の属性のみにより、正当な理由なく本人に対する違法な差別的取扱いを行うために、個人情報を利用する場合
「漏えい等の報告等」についての改定
22条 2項 個人情報保護委員会への報告義務規定の新設
事業者の責務として、個人データの漏えい等の発生時における、個人情報保護委員会に対する報告義務が新たに追加された!
| 個人情報取扱事業者は、 | |
| 旧法 | 記載なし |
| 新法 | その取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を個人情報保護委員会に報告しなければならない。ただし、当該個人情報取扱事業者が、他の個人情報取扱事業者から当該個人データの取扱いの全部又は一部の委託を受けた場合であって、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を当該他の個人情報取扱事業者に通知したときは、この限りでない。 |
規則第 6 条の 2
法第 22 条の 2 第 1 項本文の個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものは、次の各号のいずれかに該当するものとする。
(1)要配慮個人情報が含まれる個人データの漏えい等が発生し、又は発生したおそれがある事態
(2)不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態
(3)不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態
(4)個人データに係る本人の数が千人を超える漏えい等が発生し、又は発生したおそれがある事態
22 条 2項2 本人への通知義務規定の新設
個人情報取扱事業者は、漏えい等が発生した際には、本人にも通知する義務も課されるという新しい規制が追加された!
| 前項に規定する場合には、個人情報取扱事業者は、 | |
| 旧法 | 記載なし |
| 新法 | 本人に対し、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を通知しなければならない。ただし、本人への通知が困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。 |
ただし、本人への通知が困難な場合があることを想定して(例えば把握している個人データに本人への連絡先がないような場合、把握している個人データが古い場合)、本人の権利利益を保護するために必要な通知にかわる代替措置を取っている場合には、本人への通知を義務とはしない。
「第三者提供の制限」についての改定
23 条 2項 第三者提供の除外規定の追加
第三者提供の制限強化と本にへの事前通知項目規定が追加されました!
| 個人情報取扱事業者は、 | |
| 旧法 |
第三者に提供される個人データ(要配慮個人情報を除く。以下この項において同じ。)について、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出たときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。 (1) 第三者への提供を利用目的とすること |
| 新法 |
第三者に提供される個人データについて、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出たときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。ただし、第三者に提供される個人データが要配慮個人情報又は第 17 条第 1 項の規定に違反して取得されたもの若しくは他の個人情報取扱事業者からこの項本文の規定により提供されたもの(その全部又は一部を複製し、又は加工したものを含む。)である場合は、この限りでない。 (1) 第三者への提供を行う個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名 |
個人情報を第三者提供することについては、事業者が事前に本人に対して第三者提供を行うことについて通知しておくことで、その後は事業者に(本人が同意したものとみなして)第三者提供を行うことが認められるという方式がオプトアウト。
「外国にある第三者への提供の制限」についての改定
24 条 2項 外国の第三者への提供規定の新設
外国の第三者に個人データを提供する場合は、本人へ情報提供をしなければならないという規定が追加されました!
| 個人情報取扱事業者は、 | |
| 旧法 | 記載なし |
| 新法 | 前項の規定(24 条の1)により本人の同意を得ようとする場合には、個人情報保護委員会規則で定めるところにより、あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報を当該本人に提供しなければならない。 |
24 条 3項 外国にある第三者への提供の制限の新設
外国の第三者に個人データを提供する場合の、情報提供事業者の義務規定が追加されました!
| 個人情報取扱事業者は、 | |
| 旧法 | 記載なし |
| 新法 | 個人データを外国にある第三者(第1 項に規定する体制を整備している者に限る。)に提供した場合には、個人情報保護委員会規則で定めるところにより、当該第三者による相当措置の継続的な実施を確保するために必要な措置を講ずるとともに、本人の求めに応じて当該必要な措置に関する情報を当該本人に提供しなければならない。 |
規則第 11 条の 4
1 法第 24 条第 3 項(法第 26 条の 2 第 2 項において読み替えて準用する場合を含む。)の規定による外国にある第三者による相当措置の継続的な実施を確保するために必要な措置は、次に掲げる措置とする。
(1) 当該第三者による相当措置の実施状況並びに当該相当措置の実施に影響を及ぼすおそれのある当該外国の制度の有無及びその内容を、適切かつ合理的な方法により、定期的に確認すること。
(2) 当該第三者による相当措置の実施に支障が生じたときは、必要かつ適切な措置を講ずるとともに、当該相当措置の継続的な実施の確保が困難となったときは、個人データ(法第 26 条の 2 第 2 項において読み替えて準用する場合にあっては、個人関連情報)の当該第三者への提供を停止すること。
2 法第 24 条第 3 項の規定により情報を提供する方法は、電磁的記録の提供による方法、書面の交付による方法その他の適切な方法とする。
3 個人情報取扱事業者は、法第 24 条第 3 項の規定による求めを受けたときは、本人に対し、遅滞なく、次に掲げる事項について情報提供しなければならない。ただし、情報提供することにより当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合は、その全部又は一部を提供しないことができる。
(1) 当該第三者による法第 24 条第 1 項に規定する体制の整備の方法
(2) 当該第三者が実施する相当措置の概要
(3) 第 1 項第 1 号の規定による確認の頻度及び方法
「個人関連情報の第三者提供の制限等」についての改定
26 条 2項 第三者提供を受ける際の確認での「個人関連情報」の追加
第三者提供を受ける際の確認での「個人関連情報」という新しい情報規定が追加されました!
| 個人関連情報取扱事業者は、 | |
| 旧法 | 規定なし |
| 新法 |
個人関連情報取扱事業者(個人関連情報データベース等(個人関連情報(生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいう。以下同じ。)を含む情報の集合物であって、特定の個人関連情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の個人関連情報を容易に検索することができるように体系的に構成したものとして政令で定めるものをいう。以下この項において同じ。)を事業の用に供している者であって、第 2 条第 5 項各号に掲げる者を除いたものをいう。以下同じ。)は、第三者が個人関連情報(個人関連情報データベース等を構成するものに限る。以下同じ。)を個人データとして取得することが想定されるときは、 一 当該第三者が個人関連情報取扱事業者から個人関連情報の提供を受けて本人が識別される個人データとして取得することを認める旨の当該本人の同意が得られていること。 二 外国にある第三者への提供にあっては、前号の本人の同意を得ようとする場合において、個人情報保護委員会規則で定めるところにより、あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報が当該本人に提供されていること。 |
生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないもの。
【個人関連情報に該当する事例】
事例 1)Cookie 等の端末識別子を通じて収集された、ある個人のウェブサイトの閲覧履歴
事例 2)メールアドレスに結び付いた、ある個人の年齢・性別・家族構成等
事例 3)ある個人の商品購買履歴・サービス利用履歴
事例 4)ある個人の位置情報
事例 5)ある個人の興味・関心を示す情報
個人関連情報データベース等を事業の用に供している者のうち、国の機関、地方公共団体、独立行政法人等の保有する個人情報の保護に関する法律で定める独立行政法人等及び地方独立行政法人法で定める地方独立行政法人を除いた者をいう。
「保有個人データに関する事項の公表等」についての改定
27 条 保有個人データに関する事項の公表等での項目追加
氏名も住所もちゃんと明示しなさいという規定となりました!
| 個人情報取扱事業者が公表しなければならないのは、(公表項目の追加) | |
| 旧法 | 一 当該個人情報取扱事業者の氏名又は名称 |
| 新法 | 一 当該個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名 |
「開示」についての改定
28 条 保有個人データの開示請求方法の変更
開示方法が具体的に明示されました!
| 本人は、 | |
| 旧法 | 個人情報取扱事業者に対し、当該本人が識別される保有個人データの開示を請求することができる。 |
| 新法 | 個人情報取扱事業者に対し、当該本人が識別される保有個人データの電磁的記録の提供による方法その他の個人情報保護委員会規則で定める方法による開示を請求することができる。 |
28 条 2項 保有個人データに関する事項の公表等での項目追加
開示の提供形式について具体的に明示されました!
| 個人情報取扱事業者は、 | |
| 旧法 | 前項の規定による請求を受けたときは、本人に対し、政令で定める方法により、遅滞なく、当該保有個人データを開示しなければならない。ただし、開示することにより次の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。 |
| 新法 | 前項の規定による請求を受けたときは、本人に対し、同項の規定により当該本人が請求した方法(当該方法による開示に多額の費用を要する場合その他の当該方法による開示が困難である場合にあっては、書面の交付による方法)により、遅滞なく、当該保有個人データを開示しなければならない。ただし、開示することにより次の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。 |
28 条 5項 保有個人データの第三者提供記録の開示義務が追加
第三者提供記録についても開示義務の対象となりました!
| 個人情報取扱事業者は、 | |
| 旧法 | 規定なし |
| 新法 | 第 1 項から第 3 項までの規定は、当該本人が識別される個人データに係る第 25 条第 1 項及び第 26 条第 3 項の記録(その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるものを除く。第 32 条第 2 項において「第三者提供記録」という。)について準用する。 |
「利用停止等」ついての改定
30 条 5項 利用停止での請求条件が追加
事業者の責務に加えて、本人からの利用停止が出来るようになりました!
| 本人は、 | |
| 旧法 | 規定なし |
| 新法 | 個人情報取扱事業者に対し、当該本人が識別される保有個人データを当該個人情報取扱事業者が利用する必要がなくなった場合、当該本人が識別される保有個人データに係る第22 条の 2 第 1 項本文に規定する事態が生じた場合その他当該本人が識別される保有個人データの取扱いにより当該本人の権利又は正当な利益が害されるおそれがある場合には、当該保有個人データの利用停止等又は第三者への提供の停止を請求することができる。 |
30 条 6項 請求に対する対応要件の規定
事業者側の負担も考慮した条項が規定されました!
| 個人情報取扱事業者は、 | |
| 旧法 | 規定なし |
| 新法 | 前項の規定(30条5項)による請求を受けた場合であって、その請求に理由があることが判明したときは、本人の権利利益の侵害を防止するために必要な限度で、遅滞なく、当該保有個人データの利用停止等又は第三者への提供の停止を行わなければならない。ただし、当該保有個人データの利用停止等又は第三者への提供の停止に多額の費用を要する場合その他の利用停止等又は第三者への提供の停止を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。 |
「仮名加工情報の作成等」についての改定
35 条 2項 作成や安全管理措置
仮名加工情報の作成や安全管理措置等について定めた新規規定です!
| 個人情報取扱事業者は、 | |
| 旧法 | 記載なし |
| 新法 | 仮名加工情報(仮名加工情報データベース等を構成するものに限る。以下同じ。)を作成するときは、他の情報と照合しない限り特定の個人を識別することができないようにするために必要なものとして個人情報保護委員会規則で定める基準に従い、個人情報を加工しなければならない。 |
35 条 2項 2 削除情報等の漏えい防止
削除情報等の漏えいを防止するための新しい規定!
| 個人情報取扱事業者は、 | |
| 旧法 | 記載なし |
| 新法 | 仮名加工情報を作成したとき、又は仮名加工情報及び当該仮名加工情報に係る削除情報等(仮名加工情報の作成に用いられた個人情報から削除された記述等及び個人識別符号並びに前項の規定により行われた加工の方法に関する情報をいう。以下この条及び次条第 3 項において読み替えて準用する第 7 項において同じ。)を取得したときは、削除情報等の漏えいを防止するために必要なものとして個人情報保護委員会規則で定める基準に従い、削除情報等の安全管理のための措置を講じなければならない。 |
35 条 2項 3 除外規定なし
仮名加工情報の取り扱いでは、他条項での同意、除外項目は通用しない!
| 仮名加工情報取扱事業者 | |
| 旧法 | 記載なし |
| 新法 | (個人情報取扱事業者である者に限る。以下この条において同じ。)は、第 16 条の規定にかかわらず、法令に基づく場合を除くほか、第 15 条第 1 項の規定により特定された利用目的の達成に必要な範囲を超えて、仮名加工情報(個人情報であるものに限る。以下この条において同じ。)を取り扱ってはならない。 |
35 条の 2の4 利用目的の公表
仮名加工情報を取得した場合には、速やかに利用目的を公表しなければならない!
| 仮名加工情報についての | |
| 旧法 | 記載なし |
| 新法 | 第 18 条の規定の適用については、同条第 1 項及び第 3 項中「、本人に通知し、又は公表し」とあるのは「公表し」と、同条第 4 項第 1 号から第 3 号までの規定中「本人に通知し、又は公表する」とあるのは「公表する」とする。 |
35 条 2項 5 仮名加工情報の消去
仮名加工情報を利用する必要がなくなったら遅滞なく消去するように努めること!
| 仮名加工情報取扱事業者は、 | |
| 旧法 | 記載なし |
| 新法 | 仮名加工情報である個人データ及び削除情報等を利用する必要がなくなったときは、当該個人データ及び削除情報等を遅滞なく消去するよう努めなければならない。この場合においては、第 19 条の規定は、適用しない。 |
個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない。
35 条 2項 6 第三者提供はNG
仮名加工情報の第三者提供についての定め!
| 仮名加工情報取扱事業者は、 | |
| 旧法 | 記載なし |
| 新法 | 第 23 条第 1 項及び第 2 項並びに第 24 条第 1 項の規定にかかわらず、法令に基づく場合を除くほか、仮名加工情報である個人データを第三者に提供してはならない。この場合において、第 23 条第 5 項中「前各項」とあるのは「第 35 条の 2 第 6 項」と、同項第 3 号中「、本人に通知し、又は本人が容易に知り得る状態に置いて」とあるのは「公表して」と、同条第 6 項中「、本人に通知し、又は本人が容易に知り得る状態に置かなければ」とあるのは「公表しなければ」と、第 25 条第 1 項ただし書中「第 23 条第 1 項各号又は第 5 項各号のいずれか(前条第 1 項の規定による個人データの提供にあっては、第 23 条第 1 項各号のいずれか)」とあり、及び第 26 条第 1 項ただし書中「第 23 条第 1 項各号又は第 5 項各号のいずれか」とあるのは「法令に基づく場合又は第 23 条第 5 項各号のいずれか」とする。 |
1 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
(1) 法令に基づく場合
(2) 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
(3) 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
(4) 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
第三者に該当しない場合(法第 23 条第 5 項・第 6 項関係)
法第 23 条(第 5 項)
5 次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用については、第三者に該当しないものとする。
(1) 個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合
(2) 合併その他の事由による事業の承継に伴って個人データが提供される場合
(3) 特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的並びに当該個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。
35 条 2項 7 仮名加工情報の照合
仮名加工情報を他の情報と照合してはならない!
| 仮名加工情報取扱事業者は、 | |
| 旧法 | 記載なし |
| 新法 | 仮名加工情報を取り扱うに当たっては、当該仮名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該仮名加工情報を他の情報と照合してはならない。 |
35 条 2項 8 仮名加工情報の目的外の照合禁止
電話・郵便・FAX送信や住居訪問等のために仮名加工情報を利用してはいけない!
| 仮名加工情報取扱事業者は、 | |
| 旧法 | 記載なし |
| 新法 | 仮名加工情報を取り扱うに当たっては、電話をかけ、郵便若しくは民間事業者による信書の送達に関する法律(平成 14 年法律第 99 号)第 2 条第 6 項に規定する一般信書便事業者若しくは同条第 9 項に規定する特定信書便事業者による同条第 2 項に規定する信書便により送付し、電報を送達し、ファクシミリ装置若しくは電磁的方法(電子情報処理組織を使用する方法その他の情報通信の技術を利用する方法であって個人情報保護委員会規則で定めるものをいう。)を用いて送信し、又は住居を訪問するために、当該仮名加工情報に含まれる連絡先その他の情報を利用してはならない。 |
35 条 2項 9 適用除外の明記(新設)
仮名加工情報は除外がたくさんある!
| 個人データや保有個人データについて、 | |
| 旧法 | 記載なし |
| 新法 | 仮名加工情報、仮名加工情報である個人データ及び仮名加工情報である保有個人データについては、第 15 条第 2 項、第 22条の 2 及び第 27 条から第 34 条までの規定は、適用しない。 |
法第 15 条(第 2 項)
個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない。
法第 22 条の 2(第 2 項)
前項に規定する場合(個人データの漏えい、滅失、毀損等が発生した場合)には、個人情報取扱事業者(同項ただし書の規定による通知をした者を除く。)は、本人に対し、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を通知しなければならない。ただし、本人への通知が困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
(法第 27 条~第 34 条関係)
保有個人データに関する事項の公表等、保有個人データの開示・訂正等・利用停止等
「仮名加工情報の第三者提供の制限等」につていの改定
35 条 3項 第三者提供はしてはいけない
仮名加工情報の第三者提供について定めた新規規定です!
| 仮名加工情報取扱事業者は、 | |
| 旧法 | 記載なし |
| 新法 | 法令に基づく場合を除くほか、仮名加工情報(個人情報であるものを除く。次項及び第 3 項において同じ。)を第三者に提供してはならない。 |
35 条 3項 2 提供を受ける側の規定
仮名加工情報の提供を受ける者は、個人情報を受ける者の規定を準用される!
| 第 23 条第 5 項及び第 6 項の規定は、 | |
| 旧法 | 記載なし |
| 新法 | 仮名加工情報の提供を受ける者について準用する。この場合において、同条第 5 項中「前各項」とあるのは「第 35 条の 3 第 1 項」と、同項第 1 号中「個人情報取扱事業者」とあるのは「仮名加工情報取扱事業者」と、同項第 3 号中「、本人に通知し、又は本人が容易に知り得る状態に置いて」とあるのは「公表して」と、同条第 6 項中「個人情報取扱事業者」とあるのは「仮名加工情報取扱事業者」と、「、本人に通知し、又は本人が容易に知り得る状態に置かなければ」とあるのは「公表しなければ」と読み替えるものとする。 |
第三者に該当しない場合(法第 23 条第 5 項・第 6 項関係)
5 次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用については、第三者に該当しないものとする。
(1) 個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合
(2) 合併その他の事由による事業の承継に伴って個人データが提供される場合
(3) 特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的並びに当該個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。
6 個人情報取扱事業者は、前項第 3 号に規定する個人データの管理について責任を有する者の氏名、名称若しくは住所又は法人にあっては、その代表者の氏名に変更があったときは遅滞なく、同号に規定する利用する者の利用目的又は当該責任を有する者を変更しようとするときはあらかじめ、その旨について、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。
「勧告及び命令」につていの改定
42条 4項 勧告及び命令
命令に違反した場合は、公表されてしまう!(今までは、罰金のみ)
| 個人情報保護委員会は、 | |
| 旧法 | 記載なし |
| 新法 | 前 2 項の規定による命令をした場合、において、その命令を受けた個人情報取扱事業者等がその命令に違反したときは、その旨を公表することができる。 |
「認定」につていの改定
47条 2項 民間団体による個人情報の保護の推進
企業の特定の分野を対象とする団体を認定できるようにした!
| 民間団体の認定は、 | |
| 旧法 | 記載なし |
| 新法 | 対象とする個人情報取扱事業者等の事業の種類その他の業務の範囲を限定して行うことができる。 |
「適用範囲」-外国の事業者についての改定
75条 外国の事業者も法による罰則の対象に
| 第42条第2項又は第3項の規定による命令に違反した場合には、 | |
| 旧法 | 第 15 条、第 16 条、第 18 条(第 2 項を除く。)、第 19 条から第 25 条まで、第 27 条から第 36 条まで、第 41条、第 42 条第 1 項、第 43 条及び次条の規定は、国内にある者に対する物品又は役務の提供に関連してその者を本人とする個人情報を取得した個人情報取扱事業者が、外国において当該個人情報又は当該個人情報を用いて作成した匿名加工情報を取り扱う場合についても、適用する。 |
| 新法 | この法律は、個人情報取扱事業者等が、国内にある者に対する物品又は役務の提供に関連して、国内にある者を本人とする個人情報、当該個人情報として取得されることとなる個人関連情報又は当該個人情報を用いて作成された仮名加工情報若しくは匿名加工情報を、外国において取り扱う場合についても、適用する。 |
「罰則」についての改定
83条 措置命令に違反の重罰化
措置命令に違反すると、懲役&罰金額のアップ!
| 第42条第2項又は第3項の規定による命令に違反した場合には、 | |
| 旧法 | 6月以下の懲役又は30万円以下の罰金に処する。 |
| 新法 | 1年以下の懲役又は100万円以下の罰金に処する。 |
85条 報告及び立入検査等、違反行為の重罰化
報告及び立入検査、認定業務の報告違反場合の罰金額のアップ!
| 次の各号のいずれかに該当する場合には、 | |
| 旧法 | 当該違反行為をした者は、30万円以下の罰金に処する。 一 第40条第1項の規定による報告若しくは資料の提出をせず、若しくは虚偽の報告をし、若しくは虚偽の資料を提出し、又は当該職員の質問に対して答弁をせず、若しくは虚偽の答弁をし、若しくは検査を拒み、妨げ、若しくは忌避した者 二 第56条の規定による報告をせず、又は虚偽の報告をした者 |
| 新法 | 当該違反行為をした者は、50万円以下の罰金に処する。 一 第40条第1項の規定による報告若しくは資料の提出をせず、若しくは虚偽の報告をし、若しくは虚偽の資料を提出し、又は当該職員の質問に対して答弁をせず、若しくは虚偽の答弁をし、若しくは検査を拒み、妨げ、若しくは忌避したとき。 二 第56条の規定による報告をせず、又は虚偽の報告をしたとき。 |
第 40 条 個人情報保護委員会は、前 3 節及びこの節の規定の施行に必要な限度において、個人情報取扱事業者、個人関連情報取扱事業者、仮名加工情報取扱事業者又は匿名加工情報取扱事業者(以下「個人情報取扱事業者等」という。)その他の関係者に対し、個人情報、個人関連情報、仮名加工情報又は匿名加工情報(以下「個人情報等」という。)の取扱いに関し、必要な報告若しくは資料の提出を求め、又はその職員に、当該個人情報取扱事業者等その他の関係者の事務所その他必要な場所に立ち入らせ、個人情報等の取扱いに関し質問させ、若しくは帳簿書類その他の物件を検査させることができる。
87条 法人の重罰化
違反者と同額だった罰則が重罰化へ変更!
| 法人の代表者 | |
| 旧法 | 又は法人若しくは人の代理人、使用人その他の従業者が、その法人又は人の業務に関して、第83条から第85条までの違反行為をしたときは、行為者を罰するほか、その法人又は人に対しても、各本条の罰金刑を科する。 |
| 新法 | 又は法人若しくは人の代理人、使用人その他の従業者が、その法人又は人の業務に関して、次の各号に掲げる違反行為をしたときは、行為者を罰するほか、その法人に対して当該各号に定める罰金刑を、その人に対して各本条の罰金刑を科する。 一 第83条及び第84条 1億円以下の罰金刑 二 第85条 同条の罰金刑(50万円) |
まとめ
社会、経済のグローバル化、IT化が目覚ましい進歩を遂げている環境変化の中で、僕たちの個人情報、プライバシーをちゃんとまもってくれるための法改正です。
上記の要旨にも書きましたが、そのような環境変化のなかで、社会、法律にまかせっきりでは、どこかに必ずスキ、ほころび、リスクが大きくなってしまい、不幸になりま寝ません。
保護される権利とともに、より良い社会活動による発展のためにも、「個人情報」が適正に利活用され、安心して生活をおくれるよう関心を持つことが大切です。
特にこの改正法では、グローバル、利活用のための保護強化のための改正ですので、とくに僕たちがパソコンを介して利用しているIT関連と外国を注視していくといいですね。
kenko-mind!
