覚えておきたいオフィス・ビジネス情報のキホン（第10回）個人情報保護法が改正、企業はどう対応策を講じれば良いのか？

　個人情報保護法は2022年に内容が大幅に改定され、以前よりも個人情報の取り扱いが厳しく規制されるようになりました。この記事では、2022年の改正で変更された内容や、新設された項目について詳しく解説します。加えて、個人情報保護法が改正された背景や、個人情報を守るための情報セキュリティサービスも紹介します。

目次
・【2022年4月1日施行】改正個人情報保護法とは
・個人情報保護法6つの改正ポイント
・個人情報保護法3つの新設ポイント
・改正個人情報保護法における企業の対応策
・まとめ

【2022年4月1日施行】改正個人情報保護法とは

　個人情報保護法は、個人情報の有用性に配慮しつつ、個人の権利・利益の保護を目的とした法律です。2003年に初めて制定され、直近では2022年4月1日に改正施行されています。

　個人情報は個人に関する情報のため、むやみに公開されるべきではありません。そのため、個人情報保護法では個人の権利や利益を守りつつ、個人情報を適切に活用できるよう、細かく利用基準が定められています。

2022年4月に施行された改正個人情報保護法では、以下の3つが変更となりました。
・本人の権利がより尊重された
・罰則が重くなった
・法人の責任が重くなった

関連記事：2022年4月施行の「改正個人情報保護法」って？
https://www.bizclip.ntt-west.co.jp/articles/bcl00071-092.html

個人情報保護法6つの改正ポイント

　個人情報保護法が改正されたポイントは、以下の6つです。

改正1：個人の権利のあり方
　改正個人情報保護法では個人の保護をより意識した内容になり、本人の請求権が拡大されています。改正前の旧法では個人情報の利用停止や削除を本人が請求できるケースは「本来の目的以外に個人情報を利用された」「不正に取得された」場合に限られました。

　改正後は、上記に加えて不適正な利用が行われた場合や、個人データの利用が停止した場合、漏えいなどで個人の権利や利益が侵害されるおそれがある場合なども、利用停止や削除を請求できるようになっています。さらに、第三者にデータを提供した場合には、提供記録の開示請求ができるようになりました。

改正2：事業者の守るべき責務のあり方
　事業者が個人情報を取り扱う場合に守るべき責務も追加されています。改正前は事業者が個人情報を流出させた場合でも、本人への通知は努力規定にとどまっていましたが、改正後は個人情報保護委員会と本人への通知が新たに義務化されました。

　加えて、事業者に対して、個人情報の不適正利用禁止義務が明文化されました。この規定で、違法行為や適切でない行為を助長したり誘発したりする利用を明確に禁じています。

改正3：事業者による自主的な取り組みを促す仕組みのあり方
　個人情報の取り扱いに関連しては、個人情報保護を目的とした取り組みを実施するために設置された民間団体を認定する「認定個人情報保護団体」の制度が以前から設けられていました。

　改正前は、同団体に認定されるのは、対象事業者の全事業・業務を取り扱う団体に限定されていましたが、改正後は企業活動のうち特定の分野を対象とする団体も認定できるように変更されました。この変更によって、専門性を生かした個人情報の取り扱いが促進されることが期待できます。

改正4：データ活用のあり方
　データの利活用を促進するために、個人情報の活用方法については緩和された部分もあります。改正前は、誰のものか特定できないように加工された個人情報であっても、通常の個人情報と同様に厳格に取り扱う必要があり、データを有効活用しにくい状況にありました。

　改正後は、クレジットカード番号や氏名などのデータを削除するなど「仮名（かめい）加工情報」の措置を講じた場合は、開示・利用停止請求への対応などの義務が緩和されています。

　一方でCookieなど、それ自体は個人情報に該当しないものでも、情報の提供先で他の情報と照合することで個人を特定することができる「個人関連情報」については、新たに義務が設けられました。個人関連情報の第三者提供について、提供元が本人の同意を得ていることを確認しなければなりません。

改正5：ペナルティーのあり方
　改正個人情報保護法では、違反時の罰則が強化されました。特に、法人に対する罰金が大幅に増額されています。

　改正前は個人と法人の罰則が同一で、個人情報保護委員会の措置命令違反では「6カ月以下の懲役または30万円以下の罰金」、報告義務違反では「30万円以下の罰金」、不正な個人情報データベース利用には「1年以下の懲役または50万円以下の罰金」が科せられていました。

　改正後は、個人の報告義務違反について「50万円以下の罰金」、措置命令違反については「1年以下の懲役又は100万円以下の罰金」に増額されました。

　さらに、法人の場合は報告義務違反が「50万円以下の罰金」、個人情報データベースなどの不正流用については「1億円以下の罰金」と大幅に引き上げられました。法人が不正利用やデータベースの流用を行った場合は、被害の程度も大規模になりやすいため、こうした罰則の強化は法人に対する強い抑止力となることが期待されています。

改正6：法の域外適用・越境移転のあり方
　改正個人情報保護法では、外国企業の日本進出や、インターネットなどを経由して日本国内から外国のサービスを利用する機会が増加していることを踏まえ、外国の事業者にも個人情報保護法を適用できるようになりました。

　改正前は、日本国内に存在する個人に関する情報を外国の事業者が取り扱った場合、報告徴収や立ち入り検査、命令措置などの適用ができませんでした。しかし改正後は、外国企業も対象になり、罰則を適用できるようになりました。また、事業者が外国の第三者に個人データを提供する場合、本人に情報を提供する義務が生じることなどが新たに規定されています。

個人情報保護法3つの新設ポイント…