「個人情報の保護に関する法律等の一部を改正する法律」(2020年6月12日公布)が、2022年4月1日に施行されることになりました。従来の個人情報保護の一部を改正したものです。どのような点が改正されたのかみていきましょう。
まず、「個人情報」とはなんでしょうか。定義から確認していきます。
個人情報とは
- 生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む)
- 個人識別符号が含まれるもの
①又は②のことを個人情報といいます。
「個人識別符号」とは、①特定の個人の身体の一部の特徴を電子計算機のために変換した符号又は②サービスの利用や商品の購入に割り当てられ、個人に発行されるカードその他の書類に記載される符号のことです。具体的には、①DNA、顔、虹彩、声紋、歩行の態様、手指の静脈、指紋・掌紋のことをいいます。②旅券番号、基礎年金番号、免許証番号、住民票コード、マイナンバー、各種保険証等の番号をいいます。
法改正による影響のポイント
法改正によって本人の権利保護が強化されました。
・短期保有データの保有個人データ化
個人情報取扱事業者は、保有個人データについて本人に対する開示義務・訂正義務・利用停止に応じる義務等を負うことになっています。これまでは、6カ月以内に消去される短期保有データは、保有個人データに含まれないとされてきました。しかし、短期間で消去されるものであっても、消去されるまでの短い間に漏えい等が発生すれば、それが瞬時に拡散し、本人にとって回復困難な損害が生じる場合があります。そのため、今回の改正では、6カ月以内に消去される短期保有データも保有個人データに含まれることになったのです。
また、個人情報の利用停止等の請求の要件についても法改正により、緩和されました。
・利用停止・消去請求要件の緩和
これまでは、利用停止等の請求ができる場合を、①個人情報を目的外利用した場合、②不正の手段により取得した場合、の2つに限定していました。しかし法改正によって、③違法又は不当な行為を助長し又は誘発するおそれがある方法で利用した場合、④保有個人データを事業者が利用する必要がなくなった場合、⑤保有個人データの漏えい等が生じた場合、⑥その他、保有個人データの取扱いにより、本人の権利利益が害されるおそれがある場合、にも利用停止等の請求をすることができるようになったのです。
※個人データとは、個人情報データベース等を構成する個人情報のことです。
次に、事業者が個人情報を利用・取得・保管する際に守るべきルールについて説明します。
事業者が守るべきルール
まず、「利用目的の特定」です。どのような目的で個人情報を利用するのか具体的に特定しなければなりません。取得した個人情報は、利用目的の範囲内で利用することができます。他の利用目的で個人情報を利用したい場合には、本人の同意が必要です。
個人情報は、安全管理のため、必要かつ適切な措置を講じなければならないとされています。
「要配慮個人情報」を取得するためには、あらかじめ本人の同意を得ることが原則とされています。要配慮個人情報とは、人種・信条・社会的身分・病歴・前科・犯罪被害情報や、身体障害・知的障害・精神障害があること、健康診断のその他検査の結果などのことをいいます。
事業者の責務として、法改正によって次の2点が追加されました。
①事業者は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用することはできません(改正個人情報保護法16条の2)。
②事業者は、個人データの漏えい・滅失・毀損・その他個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものが生じた場合には、個人情報保護委員会に報告しなければならないとされました(改正個人情報保護法22の2)。また、漏えい等が生じた場合には、本人に通知する義務も課されることになりました。
そして、事業者の法令違反の罰則についても強化されました。
措置命令・報告義務違反の罰則について法定刑が引き上げられました。これにより、制裁の実効性が上がり、命令違反や虚偽報告の抑止が期待されることになりました。
改正後の罰則
措置命令違反(改正個人情報保護法42条2項、3項)については、1年以下の懲役又は100万円以下の罰金
個人情報データベース等の不正流用については、旧法と変わらず1年以下の懲役又は50万円以下の罰金
報告義務違反(改正個人情報保護法40条)については、50万円以下の罰金
また、法人についてはこれまで事業者と同じ法定刑でしたが、今回の法改正によって高額な罰金制度を導入することになりました。
措置命令違反(改正個人情報保護法42条2項、3項)ついては、1億円以下の罰金
個人情報データベース等の不正流用については、1億円以下の罰金
報告義務違反(改正個人情報保護法40条)については、50万円以下の罰金
まとめ
以上の通り、個人情報の取扱いには非常に気をつけなければならないことがわかりました。個人情報の取扱いに関する社会の関心も高まってきていますし、今一度個人情報の取り扱いについて社内で確認をするべきでしょう。