ブログ
2020年(令和2年)個人情報保護法改正
2020.09.28
「個人情報の保護に関する法律等の一部を改正する法律」(以下「2020年改正法」といいます。)が2020年6月5日に国会で可決され、同月12日に公布されました。今回の改正は、2015年の改正から約5年ぶりの大きな改正となります。
2015年(平成27年)改正の際に、改正法の施行後3年を目途として改正法の施行の状況について検討を加え、必要があると認めるときは、その結果に基づいて所要の措置を講ずる旨の附則が設けられました。2020年の改正は、このいわゆる「3年ごと見直し」のプロセスの中で行われたものです。
改正法に関する公表情報
2020年改正に関連して、これまでに個人情報保護委員会から以下の文書が公表されています。
■ 2020年改正に関する主な公表文書
2019年1月28日 |
|
2019年4月25日 |
「個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理」(以下「中間整理」といいます。) |
2019年7月9日 |
中間整理についてのパブリックコメントの結果 |
2019年12月13日 |
「個人情報保護法 いわゆる3年ごと見直し 制度改正大綱」(以下「制度改正大綱」といいます。) |
2020年2月12日 |
制度改正大綱についてのパブリックコメントの結果 |
2020年6月5日 |
2020年改正法の成立 |
2020年6月15日 |
|
2020年7月22日 |
施行スケジュール
2020年改正法の施行は、公布日から2年を超えない範囲において政令で定める日とされており、個人情報保護委員会からは、2022年の春~初夏に、2020年改正法が全面施行されるスケジュールが公表されています。但し、法定刑の引き上げについては、公布日から起算して6月を経過した日(2020年12月)から施行されます。
改正法の概要
2020年改正による変更点は多岐に亘りますが、以下では主要な変更点について簡単にご説明します。
① 個人関連情報の第三者提供の制限等
2020年改正法下では、事業者が個人関連情報(生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれでもないもの)を提供する場合であって、提供先が個人関連情報を個人データとして取得することが想定されるときには、提供元となる事業者において、本人から同意が得られていることを確認しなければならないルールになりました。また、同意取得の確認に関する記録の作成なども求められます。
② オプトアウトによる第三者提供に関する規制強化
個人データを本人の同意なく第三者に提供する場合のひとつとして、オプトアウトの方法による場合が定められています。改正前においても要配慮個人情報はオプトアウトの方法で提供できないこととされていましたが、2020年改正法では、不正の方法によって取得した個人データや、オプトアウトの方法によって他の第三者から提供を受けた個人データについても、オプトアウトの方法により第三者に提供することができなくなりました。
③ 個人データの越境移転規制の強化
2020年改正法では、個人データを本人同意に基づいて外国にある第三者に提供する場合には、その外国の個人情報保護制度や当該第三者が講ずる個人情報保護のための措置などの参考情報を本人に提供しなければならないものとされました。
外国にある第三者が相当措置(個人データの取扱いについて個人情報保護法第4章第1節により個人情報取扱事業者が講ずべきこととされている措置に相当する措置)を継続的に講ずるために必要な体制を整備している場合には、事業者は本人同意を得ずに当該第三者に個人データを提供することができます。この点は改正の前後で変更ありませんが、2020年改正法においては、事業者がこのルールに従って本人同意を得ずに提供を行う場合には、当該第三者による相当措置の継続的な実施を確保する為に必要な措置を講ずることや、本人に対して当該必要な措置に関する情報を提供することが求められます。
④ 域外適用される条項の拡大
個人情報保護法は、日本国内にある者に対する物品又は役務の提供に関連した個人情報を取得した外国の事業者に対しても適用されるものとされていますが、2020年改正前は、報告徴収・立入検査及び命令等の規定については適用対象外となっていました。2020年改正法の施行後はこれらの規定についても外国事業者に適用されることになります。
⑤ 仮名加工情報制度の創設
仮名加工情報とは、2020年改正法で定義された新たな種類の情報であり、他の情報と照合しない限り特定の個人を識別することができないようにするためのものとして個人情報保護委員会規則で定める基準に従い加工された個人情報をいいます。事業者は、個人情報を仮名加工情報に加工することで、事業者内部において、通常の個人情報よりも緩やかなルールに従い仮名加工情報を利活用することができるようになります。具体的には、利用目的について変更の制限が無いこと、漏えい等が生じた際に報告義務を負わないこと、開示請求等の対象とならないなどのメリットがあります。他方で、仮名加工情報を第三者に提供することは、本人の同意の有無に関わらず禁止されます。
⑥ 不適正利用禁止の明文化
2020年改正法では、違法又は不当な行為を助長し、又は誘発する方法により個人情報を利用してはならない旨が明文化されました。
⑦ 個人の権利の強化・拡大
2020年改正法では、開示請求権等の個人の権利が強化・拡大されました。改正点は多岐に亘りますが、以下はそのうちの主要なものです。
・ 改正前には、6ヶ月以内に消去することとなる個人データについては開示請求等の対象になりませんでしたが、2020年改正法においては、原則として、事業者が保有する全ての個人データが対象とされました。
・ 本人から保有個人データの開示請求があった場合の開示方法については、原則として、電磁的記録の提供等の個人情報保護委員会定める方法から、本人が選択できることになりました。
・ 第三者提供に関する記録についても、開示請求の対象に含まれることとなりました。
・ 事業者が保有個人データを利用する必要がはくなった場合にも利用停止又は消去を求めることができるなど、本人が利用停止、消去又は第三者提供の停止を求めることができる場合が拡大されました。
⑧ ペナルティの強化
2020年改正法では、両罰規定における法人の罰金額を1億円とするなど、罰則の大幅な引き上げが行われました。また、2020年改正法では、事業者が命令に違反した場合には、個人情報保護委員会がその旨を公表できることが規定されました。
改正法への対応
以上の通り、2020年改正による変更点は多岐に亘り、事業に与える影響も非常に大きいものとなる可能性があります。2020年改正法の詳細なルールについては、政令及び規則において今後定めるものとされている事項も多く、また、ガイドライン等による明確化が待たれる事項もあります。しかし、これらが公表されるのを待ってから対応を開始するのでは、施行日までに対応が完了しないリスクがあります。まずは、自社における個人情報や個人関連情報の保有・利用・提供の状況を精査した上で、2020年改正法が与える影響を確認し、それを踏まえて対応の基本方針と大まかな対応スケジュールを作成するという最初のステップを早めに実施することが重要です。
注:本ブログでは、分かりやすさの観点より、必ずしも正確でない用語・表現を用いて説明していることがあります。個別具体的な法解釈については、必ず法律専門家にご相談ください。 |
Member
PROFILE