TOP セキュリティ対策 セキュリティ最新ニュース 個人情報保護法 2022年改正をわかりやすく解説

個人情報保護法 2022年改正をわかりやすく解説

近年、会社の機密情報や顧客の個人情報などの漏えい事故が増えています。企業にとって「個人情報」は守るべき資産の一つであり、適切な個人情報の管理が求められます。

この個人情報の保護を目的とした法律が個人情報保護法です。個人情報保護法は社会情勢などに併せて、3年ごとに改正が行われています。

本記事では、2022年に改正された個人情報保護法についてわかりやすく解説していきます

個人情報保護法とは

個人情報保護法は、2005年4月に個人情報の保護を目的に施行された法律です。

施行後も社会情勢の変化に合わせて定期的な見直しが行われており、2015年の改正の時に個人情報に関する新しい産業の創出や発展状況などを踏まえて3年ごとに見直す規定が盛り込まれました。(3年ごと見直し規定と呼ばれています)

2020年にこの「3年ごと見直し規定」に基づいた改正が初めて行われて、2022年4月1日から施行されました。

個人情報保護委員会は、下記の5つの視点を今回の改正案に反映させました。

①個人の権利利益保護

②保護と利用のバランス

③国際的潮流との調和

④外国事業者によるリスク変化への対応

⑤AI・ビッグデータ時代への対応

 

2022年の6つの改正ポイントを解説

2022年4月から施行された個人情報保護法の改正ポイントについて詳しく解説していきます。

今回改正されたポイントは下記の6つです。

 

①個人の権利の保護

今回の改正によって、さらに個人の権利が保護されるようになりました

下記の表に変更されたポイントをまとめました。

旧法 改正法
個人データの利用停止、消去の請求条件 ・個人情報を目的以外で使用した場合

・不正な手段で取得した場合

旧法の要件に加えて以下の場合も請求できるように!

・個人データを事業者が利用する必要がなくなった場合

・個人データの漏えいが発生した場合

・本人の権利利益が害されるおそれがある場合

開示方法 書面での交付 取扱事業者の開示方法を請求者本人が選択できる

※事業者側は、請求者が請求した方法に従い開示を行う義務がある

 

第三者提供記録の開示請求

※個人情報を取得した事業者が第三者へ個人情報を提供するときに作成する記録

 

「第三者提供記録」は、本人による開示請求は認められていない 「第三者提供記録」の開示請求が可能
短期保存データの取扱いルール

※6か月以内の消去を前提としたデータ

開示・利用停止請求の対象外 開示・利用停止請求の対象になる

 

②事業者の責務の追加

個人情報を扱う事業者に対して、2点新たに責務が追加されました。

旧法 改正法
個人情報が漏えいした時の報告義務 個人情報保護委員会への報告、本人への通知は義務化されていない 【個人情報の漏えいが発生した場合】

事業者は個人情報保護委員会への報告と本人への通知が義務化される

不適正な個人情報の利用 明文化されていない。 違法・不当な個人情報の利用の禁止について、明文化された。

 

 

③「認定個人情報保護団体」の認定対象の拡充

個人情報保護を目的とした「認定個人情報保護団体」という制度があります。これは個人情報保護委員会によって認定を受けた法人で、民間団体として自主的に個人情報保護の取組を行っています。

今回の改正法によって、「認定個人情報保護団体」の認定対象の拡充が行われました。

旧法 改正法
「認定個人情報保護団体」の認定対象 事業分野単位の民間団体が対象 部門単位で組織される民間団体も認定を受けることが可能

 

④データ利活用の施策

今回の改正で、「仮名加工情報」の新設開示や利用請求等の対応義務の緩和が行われました。

また「個人関連情報」を、第三者に個人情報として提供する場合、本人の同意が得られているかを確認する義務が発生することになりました。

旧法 改正法
個人情報を仮名化した情報 個人情報に該当するため、事業者は個人情報として取り扱う義務が発生 ・「仮名加工情報」と定義

・用途を内部分析に限定することを条件に、開示・利用停止請求への対応義務が緩和

「個人関連情報」の取り扱い

※Cookie情報などが該当する。他の情報と照合されることにより、特定の個人を識別される可能性がある情報

データ取得時に個人データに該当しない情報であれば、特に規制はなし 提供先での第三者提供に関しては、本人の同意確認が義務化

 

⑤ペナルティの強化

ペナルティに関しても、2点ほど強化されました。特に法人に対する罰金刑の額が大幅に引き上げられています

下記の表にまとめました。

旧法 改正法
ペナルティ(法定刑) ・個人情報保護委員会の措置命令違反の罰則︓6 ヵ月以下の懲役または30 万円以下の罰金

・個人情報データベースの不正な流用:1年以下の懲役または50万円以下の罰金

・報告義務(40条)違反の罰則︓30 万円以下の罰金

・措置命令違反の罰則︓1 年以下の懲役又は100 万円以下の罰金

・個人情報データベース等の不正流用:1年以下の懲役又は50万円以下の罰金

・報告義務(40条)違反の罰則︓50 万円以下の罰金

法人に対する罰金刑 ・措置命令の違反の罰則:30万円以下の罰金

・個人情報データベースの不正な流用:50万円以下の罰金

・報告義務(40条)違反の罰則:30万円以下の罰則

・措置命令違反の罰則:1億円以下の罰金

・個人情報データベースの不正な流用:1億円以下の罰金

・報告義務(40条)における違反の罰則:50万円の罰則

 

⑥外国事業者への域外適用

外国事業者への域外適用に関しても範囲が変更されました。

これによって外国事業者による個人情報の取り扱いの是正、実効的な措置が可能になります。

主な変更点は、下記の表のとおりです。

旧法 改正法
外国事業者の個人情報の取り扱い 日本国内の個人情報を取り扱う外国事業者は報告徴収・立入検査の対象外 日本国内の個人情報を取り扱う外国事業者も報告徴収・立入検査の対象になる

 

個人情報の保護のために事業者がやるべきこと

個人情報漏えいを防ぐために、事業者側でやるべきことを解説します。

①社員へのセキュリティ研修を実施する

今回の個人情報改正やセキュリティ対策について、社員一人一人がきちんと理解しておかなければいけません。

定期的なセキュリティ研修はもちろんテレワーク環境の見直し等を行って、社員のセキュリティ意識を高めていくことが重要です。

 

②セキュリティソフトの導入

近年、エンドポイントを狙ったサイバー攻撃が増えています。

攻撃の被害に遭って個人情報の漏えいに繋がるケースも非常に多いため、自社のセキュリティ強化のために下記のようなセキュリティソフトを導入しておくことをお勧めします。

 

 

まとめ

今回は、2022年に改正された個人情報保護法について解説しました。

個人情報保護法は、社会情勢の変化に合わせて3年ごとに見直しが行われています。今回の改正は、下記の5つの観点を基に施行されました。

①個人の権利利益保護

②保護と利用のバランス

③国際的潮流との調和

④外国事業者によるリスク変化への対応

⑤AI・ビッグデータ時代への対応

また主な変更ポイントは下記の6つです。

・個人の権利の保護

・事業者の責務の追加

・「認定個人情報保護団体」の認定対象の拡充

・データ利活用の施策

・ペナルティの強化

・外国事業者への域外適用

近年、会社の機密情報や顧客の個人情報などが漏えいする事故が増えています。今後さらに個人情報の適切な管理が求められます。

自社のセキュリティを強化するためにも、社内での研修やセキュリティソフトの導入などから始めていきましょう。

関連記事

 

関連記事

ICTオフィス相談室 最新記事