【令和4年4月】個人情報保護法の改正
<改正の背景>
・個人情報に対する意識の高まり
・技術革新を踏まえた保護と利用のバランス
・個人情報が多様に利活用される時代における事業者責任の在り方及び越境移転データの流通増大に伴う新たなリスクへの対応等の観点
個人の権利利益の保護
「個人の権利益を保護」するため、必要十分な措置を整備する必要があります。
漏洩等が発生した場合に、個人の権利利益を害する恐れが大きい事態については、個人情報保護委員会編報告および本人への通知が義務化されます。
技術革新の正解夜保護と活用の強化
技術革新の成果が、経済成長等と個人の権利利益の保護との両面にいきわたるようにする必要があります。
国際的な制度調和と連携
国際的な制度調和や連携に配意する必要があります。
越境データの流通増大に伴う新たなリスクへの対応
海外事業者によるサービスの利用や、国境を越えて個人情報を扱うビジネスの増大による、個人が直面するリスクの変化に対応する必要があります。
外国にある第三者への個人データの提供時に、本人に対し、移転先事業者における個人情報の取扱いに関する情報提供の充実等を求められます。
AI・ビッグデータ時代への対応
AI・ビックデータ時代を迎え、個人情報の活用が一層多岐に渡る中、事業者が個人情報を取り扱う際に、本人の権利利益との関係で説明責任を果たしつつ、本人が予測可能な範囲内で適正な利用がなされるよう環境を整備する。
安全管理のために講じた措置を公表等する義務がある事項として追加
公表等(本人が知りうる状態(本人からの求めに応じて遅滞なく回答する場合を含む)に置くこと)により支障を及ぼす恐れがあるものを除きます。
違法又は不当な行為を助長する等の不適正な方法により個人情報を利用してはならない旨を明確化
「違法」とは法令に違反することをいう一方で、「不当」とは単にその行為が道徳上非難されるべきというにとどまる場合等、法令の規定に違反しているとはいえないものの、その
制度の目的からみて適当でないことです。
個人関連情報の第三者提供規制
個人関連情報とは、生存する個人に関する情報で、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいいます。
個人関連情報を第三者に提供する場合、提供先(B社)において個人データとして取得することが想定されるときは、提供元(A社)に第三者提供に関して本人同意が得られていることの確認が義務付けされます。
※仮名加工情報とは
他の情報と照合しない限り、特定の個人を識別できないように個人情報を加工して得られる個人に関する情報。加工により一定の安全性を確保しつつ、匿名加工情報よりもデータの有用性を保ち、詳細な分析を実施し得るもののことをいいます。
保有個人データの開示方法は本人が指示できる
改正前は、書面による交付が原則でしたが、電磁的記録の提供(CD-ROM等の媒体の郵送、電子メールによる送信、ウェブサイトでのダウンロード等)を含め、本人が指示できるようになります。
また、第三者提供記録の開示請求が可能になり、保存期間にかかわらず6か月以内に消去する保有個人データも開示・利用停止・賞与等の対象となります。
利用停止・消去等の請求権について、個人の権利又は正当な利益が害されるおそれがある場合にも拡充
改正前は、利用停止・消去ができるのは、目的外利用や不正取得の場合に限定され、また第三者提供の停止ができるのは、第三者提供義務違反の場合に限定されていました。
改正後は、以下の3点についても追加されました。
①利用する必要がなくなった場合
②個人情報保護委員会への報告義務のある、重大な漏洩等が発生した場合
③本人の権利または正当な利益が害される恐れがある場合
認定個人情報保護団体制度の拡充
企業単位だけでなく、企業の特定分野・部門を対象とする団体も新たに認定の対象になります。
主な改正点を記載しましたが、ほかにも改正される内容がありますので、詳しくは個人所法保護委員会のホームページなどでご確認ください。