企業の責務が増える!改正個人情報保護法のポイント
最終更新日:2022/2/10
個人情報保護法とは
個人情報保護法とは、個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とした、個人情報の取扱いに関連する法律です。
企業が個人情報を活用できるよう配慮する一方で、情報元である個人のプライバシーを守るよう制定されました。
2015年の改正で、国際動向や情報通信技術の進展等を反映し、3年ごとに見直しを行うことが規定されました。
2022年施行の改正個人情報保護法概要
2022年4月に施行される改正個人情報保護法では、「個人の権利利益の保護」、「技術革新の成果による保護と活用の強化」など、個人情報が多様に活用されることによるリスク対応等の観点から見直しが行われました。
下記の6つのテーマについて改正されました。
個人情報保護法改正のポイント
1.個人情報を提供する側の権利の拡大
利用停止・消去等の請求要件の緩和
個人情報の利用停止・消去を請求できる場合について、以下のように変更されます。
| 改正前 | 改正後 |
|---|---|
|
|
また、第三者への提供の停止請求ができる場合についても、以下のように変更されます。
| 改正前 | 改正後 |
|---|---|
|
|
保有個人データとは:個人情報取扱事業者が、開示、内容の訂正、追加または削除、利用の停止、消去および第三者への提供の停止を行うことができる権限を持った個人データのことです。
開示請求のデジタル化
原則書面による交付とされていた開示方法について、電磁的記録による提供など、本人の指定する方法による開示が可能となります。
個人情報取扱事業者は、原則として本人が請求した方法により開示する義務があります。ただし、本人が指定した方法による開示が困難である場合(多額の費用を要する場合など)は、書面の交付による開示も認められています。
第三者提供情報の開示請求権
個人情報取扱事業者は個人情報を第三者に提供する際、「個人データの第三者提供に係る記録」と「個人データの第三者提供を受ける際の確認の記録」を作成する必要があります。これをあわせて「第三者提供情報」といいます。
この「第三者提供情報」を本人が開示請求できるようになります。
短期保有データの保有個人データ化
6カ月以内に消去する短期保存データについても、保有個人データに含まれることとなります。
それにより、開示請求や利用停止等の対象となります。
Check Point
プライバシーマークの審査基準とされる「JIS Q 15001」では、6カ月以内に削除されるデータについても開示請求の対象となっています。そのため、プライバシーマークを遵守している場合、今回の改正による影響はありません。
オプトアウト規定の厳格化
個人情報の第三者提供は本来、本人の事前の同意(オプトイン)が必要となります。
第三者に提供する個人データの項目等について届出を事前に行った「オプトアウト届出事業者」は、本人からの求めがあった場合に第三者提供を停止することを前提に、オプトインなく第三者提供ができます。これをオプトアウト規定といいます。
改正前は「要配慮個人情報」のみがオプトアウトの対象外でしたが、「不正取得された個人データ」「オプトアウト規定により提供された個人データ」についても対象外となり、オプトアウト規定に基づく第三者提供の範囲が狭くなります。
2.個人情報取扱事業者が守るべき責務の追加
漏えい等報告の義務化
漏えいが発生し、個人の権利利益を害するおそれが大きい場合、委員会への報告および本人への通知が義務化されます。
報告の義務化対象は下記のとおりです。
- 要配慮個人情報の漏えい
- 不正アクセス等による漏えい
- 財産的被害のおそれがある漏えい
- 一定数(1000件)を超える大規模な漏えい
- 1~3については、件数に関係なく報告の義務があります。
不適正な方法による利用の禁止
違法または不当な行為を助長するなど、不適正な方法による個人情報の利用は禁止されることが明文化されました。
3.個人情報取扱事業者による自主的な取組を促す仕組み
認定個人情報保護団体制度の充実
個人情報保護委員会等だけでなく、民間団体による個人情報保護の推進が求められており、苦情の処理や情報提供、その他必要な業務を行う法人は、個人情報保護委員会の認定を受けることができる制度があります。
改正前では、認定された法人(主に業界団体)は対象企業のすべての分野に対応する必要がありました。今回の改正により、業務実態の多様化やIT技術の進展を踏まえ、対象事業者の特定の分野に限定した個人情報の取扱いを対象とする団体を認定することが可能となりました。
4.データ利活用に関する施策
仮名加工情報の創設
個人情報を復元することができないように加工する必要がある匿名加工情報よりも、比較的簡便な加工方法で、一定の安全性を確保したうえで個人情報の利活用を促進するため、「仮名加工情報」が創設されました。
仮名加工情報とは「他の情報と照合しない限り特定の個人を識別できないように加工した情報」です。第三者への提供の禁止、内部分析での利用に限定する等を条件に、開示・利用停止請求への対応等の義務が緩和されます。
Check Point
仮名加工情報は、以下のような活用方法が想定されます。
- 医療・製薬等における研究など、当初の利用目的に該当しない目的での内部分析
- 利用目的を達成した個人情報を、統計分析に利用する可能性があるため仮名加工情報として加工して保管する
個人関連情報の第三者提供規制
提供元では個人データに該当しないものの、提供先において他の情報と照合して個人データとなり得る 個人関連情報の第三者提供について、本人の同意が得られていること等の確認が義務づけられます。
Cookie等により収集されたウェブサイト閲覧、商品購買、サービス利用などに関する履歴等から生成された個人の興味・関心等に関する属性情報は、個人関連情報となります。個人関連情報の第三者提供にあたっては、提供先が自社保有データと照合し、個人データとして利用する可能性がある場合、提供先が本人の同意を得ていることを確認する必要があります。
5.ペナルティ
法定刑の引上げ等
個人情報保護委員会による命令違反・委員会に対する虚偽申告等の法定刑が引き上げられました。2020年12月に施行済みです。
| 改正前 | 改正後 | ||||
|---|---|---|---|---|---|
| 懲役刑 | 罰金刑 | 懲役刑 | 罰金刑 | ||
| 個人情報保護委員会からの命令への違反 | 行為者 | 6ヶ月以下 | 30万円以下 | 1年以下 | 100万円以下 |
| 法人 | - | 30万円以下 | - | 1億円以下 | |
| 個人情報データベース等の不正提供等 | 行為者 | 1年以下 | 50万円以下 | 1年以下 | 50万円以下 |
| 法人 | - | 50万円以下 | - | 1億円以下 | |
| 個人情報保護委員会への虚偽報告等 | 行為者 | - | 30万円以下 | - | 50万円以下 |
| 法人 | - | 30万円以下 | - | 50万円以下 | |
6.法の域外適用・越境移転
域外適用の強化
日本国内に住んでいる人の個人情報等を取り扱う海外の事業者も、報告徴収・立入検査などの対象となります。
これまでは国内の事業主のみが対象でしたが、海外の事業者が個人情報の不適切な使用をした場合にも適用されることになります。
越境移転に係る情報提供の充実
外国の第三者へ個人データを提供するときに、移転先事業者における個人情報の取扱いについて、本人への情報提供が義務づけられます。
外国の第三者に個人データを提供できる要件は下記の通りです。
- 本人の同意がある
同意取得時に、移転先の国名、移転先国における個人情報の保護に関する制度の有無当について、本人に情報を提供 - 基準に適合する体制を整備した事業者
移転先事業者の取扱い状況等の定期的な確認および、本人の求めに応じて関連情報を提供 - 日本と同等の水準国(EU、英国)
- この他、「法令に基づく場合」等の例外要件あり。
参考:個人情報保護委員会ホームページ
改正個人情報保護法の詳しい情報は、「個人情報保護委員会」ホームページをご確認ください。
個人情報保護に最適なシステム・サービス
個人情報保護には、個人情報の適切な管理・運用が必要です。
また、従業員が個人情報の取り扱いについて、正しい知識を身につけることも重要です。
個人情報の漏えい対策
『ドキュメント管理』では、登録するファイルに、パスワード保護や印刷・コピー・持出禁止などのセキュリティ保護をかけられます。
ファイルサーバーでの共有とは異なり、個人情報などの機密情報も持ち出されないように安全に管理することができます。
個人情報の不正使用を防止
『CRM QuickCreator』では、項目を選んで画面に配置するだけの簡単操作で、様々な顧客情報を管理するシステムを作成できます。
データの変更履歴管理や利用者ごとの操作可能範囲の制限など、Excel管理では困難な設定も簡単に行え、情報の不正使用を防止します。
個人情報の取り扱いについての社員教育
個人情報保護法は3年ごとに改正されるため、定期的な社員教育が必要となります。
クラウド型eラーニングサービス『EasyLeaning Express』は、改正個人情報保護法の解説含め、日常業務で注意が必要な情報セキュリティ対策について学べる教材「身近な事例で学ぶ情報セキュリティ」を提供します。
また、お客様独自の教材を作成・配信できるサービスもご用意しています。時間や場所を選ばず、タイムリーな研修が行えるため、個人情報取扱事業者等の社員教育に最適です。
漏えい等報告の義務化対策
『漏えい等事故相談サービス』では、個人情報漏えい事故が発生した際の、報告先の確認や、事故報告書の作成アドバイスを受けることができます。
万が一漏えい事故が発生したときの初動対応準備をサポートします。
- 本ページでは、「SMILE V 2nd Edition」を「SMILE V2」、「eValue V 2nd Edition」を「eValue V2」と表記しております。
導入事例/導入企業Cases
関連する製品・サービスProduct / Service
-
DX統合パッケージ eValue V 2nd Edition ドキュメント管理
OSKの「eValue V 2nd Edition ドキュメント管理」は、社内規定、契約書、図面、伝票など、さまざまな文書を電子化することで、書類を探す手間を削減します。文書の印刷や持ち出しを制限できるので、情報漏洩の対策ができます。
-
eValue V Air ドキュメント管理
OSKの「eValue V Air ドキュメント管理」は、社内規定、契約書、図面、伝票など、さまざまな文書を電子化することで、書類を探す手間を削減します。文書の印刷や持ち出しを制限できるので、情報漏洩の対策ができます。
-
DX統合パッケージ SMILE V 2nd Edition CRM QuickCreator
OSKの「SMILE V 2nd Edition CRM QuickCreator」は、プログラミングの知識を必要とせず、簡単な操作でオリジナルのシステムを作成することができます。顧客管理だけでなく、人事管理や物件管理など、さまざまな業種・業態でご利用いただけます。
-
eラーニング | EasyLearning Express
株式会社OSKが提供するEasyLearning Expressは、eラーニングシステムをASPサービスの形態でご利用可能です。
製品お役立ち情報Contents
-
建設業の2024年問題
「働き方改革関連法」が施行され、大企業では2019年4月から、中小企業では2020年4月から適用されました。建設業には5年間の猶予期間が設けられ、2024年4月から適用されることとなります。労働環境整備など、早めに準備をすすめましょう。
-
物流業界の2024年問題
「働き方改革関連法」が施行され、大企業では2019年4月から、中小企業では2020年4月から適用されました。自動車運転業務には5年間の猶予期間が設けられ、2024年4月から適用されることとなります。労働環境整備など、早めに準備をすすめましょう。
-
知って得する! 電子帳簿保存法 電子取引編
電子取引とは、取引情報の授受を電子データで行う取引のことです。電子取引データは保存義務があり、要件を満たした状態で保存しなければなりません。2024年1月1日以降の取引は書面保存が認められなくなるため、今から準備が必要です。
-
知って得する! 電子帳簿保存法 国税関係帳簿保存編
企業は原則として、所得税法や法人税法等の国税に関する法律において、帳簿や証憑書類などの国税関係書類を7年間(または10年間)保存する義務があります。ここでは、仕訳帳や総勘定元帳といった「国税関係帳簿の電子データ保存」について記載します。
-
知って得する! 電子帳簿保存法 スキャナ保存編
文書保存の負担軽減を図る観点から、各税法で保存が義務付けられている書類を、スキャナで読み取った電子データで保存することが認められています。ここでは、「取引に関して相手方から紙で受け取った取引書類」及び「自己が作成した取引書類の写し」のスキャナ保存について記載します。
-
安全運転管理者の業務が拡大!アルコールチェック義務化にそなえよう
道路交通法施行規則が段階的に改正され、白ナンバーでも安全運転管理者による運転者へのアルコールチェックが義務化されます。安全運転管理者の業務負荷を軽減しましょう。
ご購入前の
製品/サービス
お問い合わせContact
企業のDX化や業務効率化に関するお悩みは「株式会社 OSK」へお気軽にご相談ください。
