令和2年個人情報保護法改正の知っておくべきポイント~データの利用とペナルティ~

令和2年個人情報保護法改正の知っておくべきポイント~データの利用とペナルティ~のアイキャッチ画像

令和2年6月5日、第201回国会において「個人情報の保護に関する法律等の一部を改正する法律」が成立し、2022年までに施行される予定です。個人情報に対する意識の高まりと合わせて、デジタルデータの流通が増加する際のリスクに対応したものとなっています。

本記事では改正された概要を紹介し、改正された内容の「データ利用とペナルティについて強化された部分」を詳しく解説します。

 

個人情報保護法とは

個人情報保護法とは、利用者や消費者が安心できるように、情報を管理する企業や団体に個人情報をきちんと扱ってもらうためのルールを定めている法律です。平成17年4月より施行され、社会の変化とともに必要な改正が行われてきました。

 

令和2年6月の改訂内容について

今回行われた改定内容での変更点は、一体どのようなものなのでしょうか。改訂内容について紹介していきましょう。

 

  1. 個人の権利のあり方

個人情報の権利のあり方も大きく変化します。本人が事業者に対して請求できる範囲が拡大し、自分の個人情報がどのように扱われているのかを事業者に問い合わせることが可能です。

本人からの要求があれば情報を開示することを条件に事前の同意なく第三者に情報を提供するオウトアプトの情報も範囲が狭まり、第三者への個人情報の提供にさらに制限が加わります。

個人の権利のあり方が従来の考え方と大きく変わることで、私たちの情報が安心して活用されることが期待されます。

 

  1. 事業者の守るべき責務のあり方

これまでの法律では、事業者に対して個人情報の「利用」に対する全般的な規制はありませんでした。しかし、新しい制度では、違法な行為を助長する可能性や誘発する場合は、個人情報の利用を禁止することができるようになります。これにより個人情報を悪用される可能性が低くなりました。

さらに、個人情報の漏洩を起こしてしまった場合、漏洩したことによる被害が大きいケースでは、国と本人に対して申告をする必要があります。事業者はより一層慎重に個人情報を取り扱う必要がでてきました。

 

  1. 事業者による自主的な取り組みを促す仕組み

個人情報保護の推進を図るために認定された民間団体の認定個人情報保護団体は、これまで対象事業者のすべての分野を対象とするものでしたが、改正によって、企業の特定分野(部門)を対象とする団体を認定できるようになります。

 

  1. データ利用に関する施策のあり方

これまでは、個人情報を加工して個人情報を利活用できるようにした概念としては「匿名加工情報」だけでしたが、改正後は「仮名加工情報」というものが加わります。一定の安全性を確保しつつ、個人情報の利活用を促進する観点から、新たに概念が導入されます。

 

  1. ペナルティの在り方

命令違反や虚偽報告などをした際に発生するペナルティが厳罰化されます。不正に情報を提供した場合は、法人・個人に関わらず最高1億円の罰金が課せられます。

 

  1. 法の域外適用・越境移転のあり方

これまで、外国にある第三者に日本国内の情報を提供する際は、①本人から外国の第三者に提供することにつき同意を取得する②外国にある第三者が規則が定める基準に適合する体制を整備する③外国にある第三者がPPCが日本と同等水準と認めた国(EU)に所在、という3つの条件がありましたが、これに加えて、本人の同意取得時に移転先国の名称、個人情報保護に関する制度の有無等について本人に情報提供すること、移転先事業者の取り扱い状況の定期的な確認と本人の求めに応じた情報提供の義務が加わりました。

 

以上が改正ポイントを解説したものです。今回は、この中で、ペナルティの在り方について掘り下げていきます。

 

データ利用について

これまで個人情報データの利用に関しては、プライバシーポリシーでその利用が利用目的に含まれていれば問題ありませんでしたが、今後は個人データの利用が「正しい目的で使われているかどうか」を企業が判断し、「根拠」が必要になりました。

「根拠が必要」という考え方は、グローバルスタンダードに近づいていると言えます。

個人情報の取り扱い規制のグローバルスタンダードであるEU一般データ保護規制(GDPR)では、“事業体が追求する正当な利益のために必要である。ただし、そうした利益よりも個人データ保護を求めるデータ主体の利益または基本的権利と自由が優先する場合を除きます。”としています。日本でも同様のプライバシーポリシーが求められ、今後は情報をどのように活用し企業の利益として活用しているのかをはっきり示さないと違法になります。

 

「個人関連情報」によりCookie・DMPの扱い方にも変化

改正法案では、「個人関連情報」という新たな概念が記載されています。従来の概念と何が異なるのかを解説します。

「生存する個人に関する情報であって、個人情報、仮名加工情報、匿名加工情報のいずれにも該当しないもの(改正法案第26条の2第1項)」

と指定されています。個人情報のうちどれにも該当していない、個人を特定できてしまう情報のことを指します。「Cookie」や「DMP」が新しい概念に該当します。

インターネット上の情報を蓄積して管理するプラットフォームである「DMP」に、ブラウザの閲覧情報を記録する「Cookie」の情報が蓄積されると、ユーザーのインターネット上の閲覧履歴などの情報が記録され、結果的にユーザーを特定することが可能になります。

今後、DMPやCookie情報を使って個人情報を得る際は、利用者個人に対して同意を得る必要があり、同意を得ずに勝手にデータを収集してしまうと違法になります。

 

違反した場合のペナルティがより重く

違反した場合の企業や個人に対するペナルティが厳しくなりました。これまで委員会への命令違反・委員会に関する虚偽報告は下記の通りでした。

 

  • 命令違反:6ヶ月以下の懲役又は30万円以下の罰金
  • 虚偽報告:30万円以下の罰金

 

改正後は、罰則が以下になります。

 

  • 命令違反:1年以下の懲役又は100万円以下の罰金
  • 虚偽報告:50万円以下の罰金

 

法人に対する罰金額の最高額は1億円と引き上げられるため、個人情報の取り扱いを従来通りのやり方で実施してしまうと、最悪の場合は厳しい罰則を受ける可能性があります。

企業担当者は、個人情報を取り扱う上で該当する項目がどのように変化するのか改正内容を細かく確認し対策をする必要があると認識しておきましょう。

 

まとめ

令和2年に改正される個人情報保護法では、これまで違法ではなかった規定が違法に該当する可能性があり、企業担当者の方は見直しが必要です。

施行される前に個人情報改正のポイントを理解し、利用者が安心出来るような個人情報の取り扱い方へとシフトするようにしましょう。