2022年4月1日施行の個人情報保護法の改正内容について

タイトル

２０２２年４月１日施行の個人情報保護法の改正内容について

２０２２年４月１日から個人情報保護法の改正法が施行されました。企業の対応が求められる主な事項は次のとおりです。

（１）公表事項の追加

新法下では、個人情報取扱事業者が公表等すべき事項として以下の事項が追加されました。

①個人情報取扱事業者の住所及び法人にあっては代表者の氏名

②今回の改正法により追加された第三者提供記録の開示請求等に応じる手続

③保有個人データの安全管理措置

また、法令上規定されているわけではありませんが、個人情報保護委員会が公表しているガイドラインに改訂があり、「本人から得た情報から、本人に関する行動・関心等の情報を分析する場合、個人情報取扱事業者は、どのような取扱いが行われているかを本人が予測・想定できる程度に利用目的を特定しなければならない。」とされたため、AIによる個人情報の分析結果をマーケティングに利用している場合は、当該利用目的をできる限り特定して公表することが求められます。

《必要な対応》

・ホームページのプライバシーポリシー（個人情報保護方針）などに上記公表事項を追加します。・公表等している利用目的が具体的かつ明確になっているかを確認し、抽象的な利用目的になっている場合はこれを修正します。

【弊所が提供しているサービス】

（２）保有個人データの開示方法の電子化

旧法下では、保有個人データの開示は原則として書面の交付によることとされていました。

新法下では、個人情報取扱事業者は、保有個人データの開示の請求を受けたときは、電磁的記録の提供による方法、書面の交付による方法その他個人情報取扱事業者の定める方法のうち本人が請求した方法により、当該保有個人データを開示しなければならなくなりました。ただし、個人情報取扱事業者は、開示請求を受け付ける方法として、本人に過重な負担とならない範囲で、その手続を定めることができます。

《必要な対応》

電磁的記録の提供による方法については、個人情報取扱事業者がファイル形式や記録媒体などの具体的な方法を定めることができるため、これを事前に定め、ホームページなどに掲載している開示請求等の手続の案内や社内対応マニュアルを改定します。

【弊所が提供しているサービス】

（３）保有個人データの利用停止及び消去並びに第三者への提供禁止の請求権の要件緩和

保有個人データの利用停止と消去を請求するときの要件について、旧法と新法の関係を整理すると次のとおりです。

※「旧」：旧法からある要件　「新」：新法で追加された要件

【利用停止及び消去の要件】

旧　①本人の同意なく目的外利用されているとき（旧法16条／新法18条違反）

旧　②不正の手段により取得されたとき（旧法17条／新法20条違反）

旧　③本人の同意なく要配慮個人情報が取得されたものである

新　④不適正な利用が行われているとき（新法19条違反）

新　⑤利用する必要がなくなったとき

新　⑥本人が識別される保有個人データの漏洩等が生じたとき（法26条第1項本文の事態が生じたとき）

新　⑦本人の権利または正当な利益が害されるおそれがあるとき

【第三者提供の停止の要件】

旧　①本人の同意なく第三者に提供したとき（旧法23条1項／新法27条1項違反）

旧　②本人の同意無く外国にある第三者に提供したとき（旧法24条／新法28条違反）

新　③利用する必要がなくなったとき

新　④本人が識別される保有個人データの漏洩等が生じたとき（法26条第1項本文の事態が生じたとき）

新　⑤本人の権利または正当な利益が害されるおそれがあるとき

《必要な対応》

保有個人データの利用停止及び消去並びに第三者への提供禁止の請求を受けたときに使用する社内対応マニュアルを改訂します。

【弊所が提供しているサービス】

（４）第三者提供記録の開示請求の追加

第三者提供記録とは、個人情報取扱事業者が個人データを提供し、または受領するときに作成することが義務付けられている記録です。

旧法下では、本人が個人情報取扱事業者に対して第三者提供記録の開示を請求することは認められていませんでした。

新法下では、この第三者提供記録の開示を請求することができるようになりました。

《必要な対応》

ホームページなどに掲載している開示請求等の手続の案内や社内対応マニュアルに、第三者提供記録の開示に関する事項を追加します。

《注意》これまで第三者提供記録の作成が十分でなかった個人情報取扱事業者は、第三者提供記録の作成から対応していく必要があります。

【弊所が提供しているサービス】

（５）短期保有データの廃止

旧法下では、６ヶ月以内に消去されるデータ（短期保有データ）は「保有個人データ」に含まれておらず、個人情報保護法上の保有個人データに関する規制が適用されていませんでした。

新法下では、短期保有データに関する規定は削除されました。

《必要な対応》

・ホームページのプライバシーポリシー（個人情報保護方針）などに掲載している保有個人データの利用目的について、今までは短期保有データに関する利用目的であることを理由に挙げていなかったものがないかを見直します。・保有個人データの開示請求等の手続の対象に今までの短期保有データも含めるように社内対応マニュアルを改定します。

【弊所が提供しているサービス】

（６）漏洩時の報告義務及び通知義務

旧法下では、個人データの漏洩等が発生したときに個人情報保護委員会に報告する法的義務はありませんでした。

新法下では、個人データの漏洩等が発生したときに、一定の場合を除いて、個人情報保護委員会へ報告することが義務化されました。同時に、本人に通知することも義務化されました。

《必要な対応》

個人データの漏洩等が発生したときの社内対応マニュアルを作成します。また、社内研修を実施し、個人データの漏洩等が発生したときの対応体制を社内に周知します。

【弊所が提供しているサービス】

（７）仮名加工情報制度の新設

仮名加工情報とは、個人情報を、その区分に応じて次に掲げる措置を講じて他の情報と照合しない限り特定の個人を識別することができないように加工して得られる個人に関する情報をいいます。

①「当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別できるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含みます。）」である個人情報の場合：当該個人情報に含まれる記述等の一部を削除すること

②個人識別符号が含まれる個人情報の場合：当該個人情報に含まれる個人識別符号の全部を削除すること（この措置を講じた上で、まだなお①の個人情報であった場合には、同号に該当する個人情報としての加工を行う必要があります。）

旧法下では、「仮名加工情報」という情報の分類はありませんでした。

新法下では、仮名加工情報制度が新設され、個人情報ではない仮名加工情報については利用目的による制限や利用目的の公表に関する義務が緩和され、主に個人情報取扱事業者内部での利用がしやすくなるとともに、漏洩等の報告等や本人からの開示等の請求などに関する義務も緩和されました。

《必要な対応》

仮名加工情報を適切に加工し、利用し、安全管理措置を整備・実施できるように社内対応マニュアルを作成します。また、社内研修を実施し、仮名加工情報に関するルールを社内に周知します。

【弊所が提供しているサービス】

（８）個人関連情報制度の新設

個人関連情報とは、生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいいます。たとえば、ウェブのCookieが代表的な例になります。

旧法下では、「個人関連情報」という情報の分類はありませんでした。

新法下では、提供元にとっては個人関連情報ですが、提供先において個人データとなることが想定されるものを第三者提供するときは、本人の同意が得られていること等の確認が必要になりました。

《必要な対応》

個人関連情報を第三者提供しているか否かを確認し、第三者提供している場合には本人の同意が取られていること等の確認に関する対応マニュアルを作成します。また、社内研修を実施し、個人関連情報に関するルールを社内に周知します。

【弊所が提供しているサービス】

（９）違反時の罰則強化

新法下では、違反時の罰則が強化されます。

項目	対象	旧法	新法
個人情報保護委員会の措置命令違反	個人	6ヶ月以下の懲役または30万円以下の罰金	1年以下の懲役または100万円以下の罰金
個人情報保護委員会の措置命令違反	法人	30万円以下の罰金	1億円以下の罰金
虚偽報告等の報告義務違反	個人	30万円以下の罰金	50万円以下の罰金
虚偽報告等の報告義務違反	法人	30万円以下の罰金	50万円以下の罰金
個人情報データベース等の不正使用	個人	50万円以下の罰金	1年以下の懲役または50万円以下の罰金
個人情報データベース等の不正使用	法人	50万円以下の罰金	1億円以下の罰金