登録

会員登録いただけると、

  • メールマガジンの受け取り
  • 相談の広場への投稿 等

会員限定のサービスが利用できます

登録(無料)を続ける
TOP > 記事一覧 > 総務・法務 > 情報は財産からリスクに…?罰則が強化「2022年個人情報保護法改正」の要点まとめ
個人情報保護法

情報は財産からリスクに…?罰則が強化「2022年個人情報保護法改正」の要点まとめ

2021.07.29

映画『ソーシャル・ネットワーク』では、マーク・ザッカーバーグ氏が大学在学中に大学のコンピューターに侵入し、女性学生たちの写真を並べてユーザーがランク付けするフェイススマッシュを立ち上げます。

2021年現在、世界中で28億人を超えるユーザーを持つソーシャルネットワークサービス『フェイスブック』の始まりのストーリーです。映画上の物語ですが、個人情報保護法の対象になるのでしょうか。

原則として、写真は本人を容易に特定できるので個人情報になります。そして、個人情報保護法上、情報管理の責任を負うのは個人情報取扱事業者になります。時代や舞台が違うものの、個人情報取扱事業者とは個人情報データベース等を事業用に供している者をいい、個人であっても条件に合致すれば個人情報取扱事業者に該当します。よって、この映画の主人公も例外ではないといえるでしょう。

今回は、2021年6月12日に交付され、2022年4月1日より施行される個人情報保護法の改正点を中心にご紹介してきます(ペナルティの強化は2021年12月12日施行予定)。

個人情報保護法とはどのような法律なのか

個人情報保護法とは、“個人情報”を扱う規制と義務を定めた法律です。個人情報保護法では、個人情報取扱事業者に5つ義務を課しています。

・取得する前に利用目的を伝えなさい
・利用目的の範囲で利用しなさい
・情報漏えいしないように管理しなさい
・第3者提供は、本人の同意を得なさい
・本人に公表・開示しなさい

“個人情報”とは、生存する個人に関する情報であって、以下のいずれかに該当するものをいう、と定義されています。

・当該情報に含まれる氏名、生年月日その他の記述等に記載され、もしくは記録され、又は音声、動作その他の方法を用いて表された一切の事項により特定の個人を識別することができるもの
(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む)
・個人識別符号が含まれるもの

同法のガイドラインでは、個人情報の具体例を示しています。

・本人の氏名
・生年月日、連絡先(住所・居所・電話番号・メールアドレス)など
・防犯カメラに記録された情報等本人が判別できる映像情報
・特定の個人を識別できる音声録音データ
・特定の個人を識別できるメールアドレス
・個人情報を取得後に当該情報に付加された個人に関する情報
・官報、電話帳、職員録、法定開示書類(有価証券報告書など)、新聞、ホームページ、SNS,等で公にされている特定の個人を識別できる情報

個人識別符号に関する補足について、以下のように定めています。

・身体の特徴(容貌、静脈、または掌紋など)のいずれかを電子計算機の用に供するため変換した文字、番号、記号その他符号であって、基準の適合するもの
・旅券の番号
・基礎年金番号
・免許証の番号
・住民票コード
・個人番号(マイナンバー)
・証明書(国民健康保険証など)に記載された文字、番号、記号その他の符号
・その他準ずるものとして、個人情報保護委員会規則で定める文字、番号、記号、その他の符号

2022年施行される改正の内容は?

個人情報保護法の今回の改正は2020年6月に交付され、2022年4月1日に施行されます。ただし、法令違反のペナルティの強化については、2021年12月12日に施行されます。主な改正点は下記の5つのポイントが挙げられます

(1)個人(本人)の権利保護が強化

第2条(定義)”保有個人データ”から短期保有個人データの除外条件を削除

第28条(開示)電磁的記録の提供などによる開示方法や、第3者提供に関する記録を対象とすることを追記

第30条(利用停止等)利用停止等を求めることができる条件を追加

(2)事業者の責務が追加及び強化

第16条の2(不適正な利用の禁止)新設・個人情報を、差別や中傷につながるような方法で利用することを禁止

第22条の2(漏えい等の報告等)新設・個人情報の漏えいなどが発生した場合は、個人情報委員会へ報告すること

第23条(第三者提供の制限)第三者提供を行う場合の条件強化

第27条(保有個人データに関する事項の公表等)事業者の公表すべき項目に、事業者の住所・代表者名を追加

(3)個人データの利活用が促進

第2条(定義)”仮名加工情報”および”仮名加工情報取扱事業者”を追加

第35条の2(仮名加工情報の第三者提供の制限等)仮名加工情報の作成・取扱い・公表などに関する条文を新設(新設)

第26条の2(個人関連情報の第三者提供の制限等)提供を受ける側で個人データとして取得される場合には、提供元は、提供先が本人から同意を得ていることを義務化(新設)

(4)法令違反に対するペナルティが強化

第83条 / 第84条 / 第85条 / 第87条 罰金の金額引上げ(次章で紹介)

(5)その他の改正点

第24条(外国にある第三者への提供の制限)本人への情報提供を充実

第47条(認定)第49条(変更の認定等)第51条(対象事業者)認定個人情報保護団体の認定に関する要件を改正

第75条(適用範囲)個人情報取扱事業者等が国内にいる本人の個人情報・個人関連情報等を海外において取り扱う場合にも適用するよう改正

第78条の2(国際約束の施実な履行等)国が締結した条約や国際約束の誠実な履行と、確立された国際法規の順守を規定(新設)

なお、この改正のきっかけは、破産者マップ問題と大手就職サイトの運営会社によるデータ販売、海外法規制との整合があげられます。

ペナルティは?罰則強化された点

国は事業者に対して、必要に応じて報告や立入検査ができます。さらに実態に応じて、指導・助言、勧告・命令を行うことができます。監督に従わない場合は、ペナルティが適用される可能性があります。

前章の(4)で紹介した、ペナルティの強化の内容は次のとおりです。

個人情報保護委員会の命令違反

改正点:法人に対する罰則金を追加
(改正後”1年以下の懲役または100万円以下の罰金(自然人)1億円以下の罰金(法人)”)

個人情報保護委員会に対する虚偽報告

改正点:30万円以下の罰金→50万円以下の罰金

従業員が不正な利益を図る目的で個人情報データベース等を提供、又は、登用した場合(個人情報データベース等不正提供罪)

改正点:6月以下の懲役又は30万円以下の罰金→1年以下の懲役又は50万円以下の罰金

押さえておきたい!海外での動き

GDPR(General Data Protection Regulation)は、EU一般データ保護規則と呼ばれるルールで、欧州経済領域(EEA)の個人データの移転や処理を規制しています。

もともと1995年からデータ保護指令と呼ばれるルールがあったのですが、加盟国で異なるものでした。各加盟国で異なるため、グローバル化する個人データの管理に対応するため2018年から適用開始になったのが、GDPRです。

なお、GDPRは、EEA領内の個人データを扱う、すべての企業や団体を対象にしています。当然、ネットショップを個人で運営している個人事業主も対象になります。GDPRの罰則は、違反によっても変わりますが、最高で”2,000万ユーロ(約26億円)”か”全世界年間売上高の4%”のいずれかの方の制裁金が課されると報道がありました。フランスの規制当局は、米国Googleに対し、5,000万ユーロ(約62億円)の制裁を課すと発表しました。

 

情報を持てば財産といわれた時代は過ぎ去り、今や情報を持つことはリスクであり、漏えいや拡散は、企業へのダメージは計り知れません。

リスク回避のためには、個人情報保護の必要性を正しく理解し、意識を高めながら、しっかりと遵守して頂く体制および教育が必要です。

* ふじよ / PIXTA(ピクスタ)