要点をまとめて紹介！個人情報保護法改正の実務対応ポイント6つ

みなさんの会社でも、毎月データベースを使って請求書を送付したり、挨拶状を送付したりしていませんか？　このように個人データベースを事業のために継続的に利用していると、営利・非営利を問わず、すべて個人情報取扱事業者となり、個人情報保護法の適用となります（国の機関や地方公共団体や独立行政法人などを除く）。

個人情報とは、生存する個人に関する情報で、特定の個人を識別することができるものです。顧客情報だけでなく、従業員情報や取引先の名刺といったものも個人情報になります。例として、「氏名」、「生年月日と氏名の組み合わせ」、「顔写真」が挙げられます。

2005年施行当初は取り扱う個人情報が5,000件以上の企業のみが対象だった同法は、2017年施行の改正により、取り扱う個人情報の数に関わらず適用するようになっています。

この改正により、多くの中小企業に適用されることとなった同法ですが、今回2020年6月にさらなる改正が公布（一部を除き2022年施行）されました。今回の改正では、いったいどのような点が変更になるのでしょうか？

本記事では個人情報保護法改正について、実務対応ポイント6つをご紹介していきます。

※最終更新：2021年9月

2022年まで施行「個人情報保護法改正」のポイントについて

個人情報保護法の2回目となる今回の改正は、2020年6月に公布され、改正された個人情報保護法の施行は公布後2年以内とされています（一部を除く）。今回の改正の主なポイントは、下記の通りです。

（1）個人の権利確保
・利用停止、消去等の請求権緩和
・保有個人データの電磁的記録による開示や第三者提供記録の本人への提示

（2）事業者の責任の強化
・漏えい等により個人の権利利益を害する場合、個人情報保護委員会への報告を義務化
・違法又は不法な行為を助長するような不適正な個人情報の利用を禁止
・オプトアウト届出（退会手続き）にて第三者提供できる個人データの範囲を限定

（3）個人情報の利活用促進
・仮名加工情報の定義を設け、個人情報に関する利活用促進を図る
・提供先において個人データとなることが想定される場合の第三者提供に関する本人の同意確認を義務化

（4）ペナルティの強化
・法人に対する罰則の大幅引き上げ
個人情報保護委員会の命令違反した場合：1年以下の懲役または100万円以下の罰金（行為者）1億円以下の罰金（法人）
個人情報取扱事業者（従業員又は従業員であった者）が不正な利益を図る目的で個人情報データベース等を提供、又は、盗用した場合：1年以下の懲役又は50万円以下の罰金（行為者）1億円以下の罰金（法人）
個人情報保護委員会に対する虚偽報告した場合：50万円以下の罰金（行為者／法人）

次の項目から、今回の改正の6つのポイントを説明していきましょう。

ポイント１：個人情報利用の実務

利用目的の特定

個人情報取扱事業者は、その事業活動で取り扱う個人情報の利用目的をできる限り特定することが求められています（第15条）。下記のような表現では、利用目的が特定が不十分です。

・事業活動に用いるため
・マーケティング活動に用いるため

より利用目的を特定できるよう、下記のような表現が望ましいとされています。

・事業における商品の発送、関連するアフターサービス、新商品、サービスに関する情報のお知らせために利用したします、などの利用目的を明示していること

同意の取得

利用目的による制限では、あらかじめ本人の同意を得ないで、特定された利用目的の達成に必要な範囲を超えた利用を行わないように求めています（第16条）。本人からの同意としては下記のようなものが挙げられています。

・本人からの同意する旨の口頭による意思表示
・本人からの同意する旨の書面（電磁的記録を含む。）の受領
・本人からの同意する旨のメールの受信
・本人からの同意する旨の確認欄のチェック
・本人からの同意する旨のホームページ上のボタンのクリック
・本人からの同意する旨の音声入力、タッチパネルへのタッチ、ボタンやスイッチ等による入力

個人情報を取得する際、その情報がどのように扱われるかを本人がイメージできるように、具体的かつ、わかりやすく示すことが必要となります。

ポイント2：安全管理措置

個人情報取扱事業者が、その取り扱う個人データの漏えい、滅失、又は毀損の防止その他個人データの安全管理のために必要かつ適切な措置を講じることが求められています（第20条）。事業者が行う安全管理措置について、ガイドラインでは、以下6つの措置が定められています。

（1）  基本方針の策定
（2）  個人データ取扱いに係る規律の整備
（3）  組織的安全管理措置
（4）  人的安全管理措置
（5）  物理的安全管理措置
（6）  技術的安全管理措置

なお、個人情報の保護に関する法律についてのガイドラインの別添『講ずべき安全管理措置』の内容では、下記のような安全管理措置の対象と具体例を挙げています。

・個人データを取り扱う区域の管理（物理的安全管理措置）
・機器及び電子媒体等の盗難等の防止（物理的安全管理措置）
・電子媒体等を持ち運ぶ場合の漏えい等の防止（物理的安全管理措置）
・アクセス者の識別と認証（技術的安全管理措置）
・外部からの不正アクセス等の防止（技術的安全管理措置）
・情報システムの使用に伴う漏えい等の防止（技術的安全管理措置）

昔からやっていたからといったような惰性的な理由から離れ、本当に個人情報のコピーや保管や回覧が必要か、ということを今一度見直して、業務の適正化を図る必要があります。

ポイント3：個人データの第三者提供

第三者提供の制限では、個人情報取扱事業者が個人データを第三者に提供する場合に本人に同意を得ること、あるいは、同意を得ない場合に本人への通知または本人が容易に知り得る状態に置く必要にあること、個人情報保護委員会への届出することなどが求められています。

同意が不要な例外として、（1）法令に基づく場合、（2）委託、事業承継、共同利用の場合（3）オプトアウトを用いる場合があります。オプトアウトを用いる場合は、下記の改正があり見直しが必要です。

・要配慮個人情報はオプトアウト不可（必ず本人の事前同意が必要）
・オプトアウトに関して本人に通知または容易に知りえる状態に置くように
・オプトアウトによる第三者提供を行う際に委員会への届出が必要
・オプトアウトについて本人に通知または本人に容易に知り得る状態に置く場合の強化

個人データの取得の経緯については、個人情報取扱事業者が第三者から個人データの提供を受ける場合、提供する第三者がどうやって個人データを取得したかを、個人データの取得の経緯を示す契約書やその他の書面を受ける方法や、その他の方法により、確認することが求められます。

ポイント4：外国にある第三者への提供

個人情報取扱事業者は、個人データを海外にある第三者に提供する場合、次に掲げる場合を除いては、あらかじめ、本人の同意を得ることが求められます（第24条）。

・法令に基づく場合
・当該第三者が、わが国と同等の水準にあると認められる個人情報保護制度を有している国である場合
・当該第三者が、個人情報取扱事業者が講ずべき措置を継続的に講ずる体制にある場合

関連会社や子会社であっても外国にある別法人の場合は、外国にある第三者に該当します。しかし、同一法人の海外支社は、外国にある第三者に該当しません。また、外資系の東京支店は、個人情報取扱事業者として通常の第三者提供となり、外国の第三者には該当しません。

ポイント5：保有個人データ開示等に関する実務

個人情報取扱事業者は、保有個人データに関し、次の事項を、本人の知り得る状態に置くことを求めています（第27条）。

・個人情報取扱事業者の氏名または名称
・すべての保有個人データの利用目的
・本人からの求めに応じる手続き（手数料を徴収する場合は、その額も含む）
・保有個人データの取扱いに関する苦情の申出先

以前より、本人からの開示請求や訂正、利用停止の申出があった場合は対応が義務づけられていましたが、今回の改正で本人に裁判上の開示請求権があることが明確化されました。

『個人情報保護法ガイドライン』では、開示しないことができる場合の事例を下記のように解説しています。

・医療機関において、病名等を患者に開示することにより、患者本人の心身状況を悪化させるおそれがある場合
・試験実施期間において、採点情報の全てを開示することにより、試験制度の維持に著しい支障を及ぼすおそれがある場合
・他の法令（刑法など）に違反することとなる場合

ポイント6：匿名加工情報について

匿名加工情報制度は、ビックデータ活用を推進するための制度です。匿名加工情報とは、特定の個人を識別できないように個人情報を加工し、その個人情報を復元できないようした情報のことです。加工にあたっては、個人情報保護委員会規則で定める基準を満たすことが求められますが、加工の基準が抽象的であるため、経済産業省では『匿名加工情報マニュアル』を公表しています。

匿名加工情報は、一定の取り扱いルールの下、本人の同意や利用目的の特定も不要。第三者提供も可能なので、自由なデータ活用ができます。

これまで、特定の個人を識別できないように加工し、非個人情報として制限なく扱ってきた情報のうち、“匿名個人情報”と位置づけられることにより規制が強化されている部分があることにも注意が必要です。

プライバシーマーク取得のメリットとデメリット

プライバシーマークとは、個人情報マネジメントシステムに適合し、個人情報について適正な保護措置を講ずる体制を整備している事業者等を評価して、その取得、認定維持を示すプラバシーマークを付与し、事業活動に関してプラバシーマークの使用を認める制度です。『JIDEC』（一般財団法人情報経済社会推進協会）が運営しています。

プライバシーマークを取得した事業者では、定期的に監査があり、個人情報の取り扱いを適切に行っていると認定されています。

取得のメリットとして、名刺や会社パンフレットにプラバシーマークが入ることで、顧客の信頼を得ることや、個人情報管理に積極的取り組んでいると外部の評価をえることができます。

一方、デメリットは、プライバシーマーク取得後も個人情報保護マネジメントシステムを運用し続け、2年毎に審査費用を支払いして更新する必要があります。その更新の際には、取得時と同様に膨大な書類を作成し、更新申請をして審査期間の現地審査を受け、指摘があれば指摘事項の是正を行う必要があります。

メリットとデメリットを考慮したうえで、プライバシーマークの取得を検討してもよいでしょう。

個人情報管理を社員に浸透させるためには？

ところで、日本ではなぜ個人情報管理が浸透しないのでしょうか？　世界的な個人情報保護に関する制度および法制化の動きは、1980年『OECD』 （経済協力開発機構）より『OECDプライバシーガイドライン』が発行されたことに始まります。その後、1995年『EUデータ保護指令』が発令されています。

一方、日本では、1997年に『民間部門における電子計算機処理に係る個人情報の保護に関するガイドライン』が発行されました。そして、2003年に官民包括的な法律として、『個人情報保護法』が成立しました。個人情報保護法は、外国から来たルールという印象があり、比較的新しい法律のため、浸透していないのではと筆者は考えています。

そのため、従業員における個人情報に対する意識を変えていくことも大事でしょう。筆者は、個人情報保護法に関しての基本を知り、ルールを浸透させることに役立つ資料として、『はじめての個人情報保護法～シンプルレッスン～』（個人情報保護委員会）をおすすめしています（記事末URL参照）。社員教育用にも利用可能なので、ぜひ活用してみてください。

 

本記事では個人情報保護法改正について、実務対応ポイント6つをご紹介しました。

個人情報管理を社内にて浸透さえるために、まず「個人情報に関する基本方針」を作成し、社内で公開してみることをおすすめします。会社としてこの課題に真摯に取り組む姿勢を打ち出すのです。そのうえで、個人情報取扱規則など各規程を整備しいきましょう。

個人情報保護法への対応は、一度、ルールや諸規程を作成したら、完成というものではありません。定期的に、セルフチェックや内部監査を行うことで、個人情報保護に関する管理体制が構築されていきます。「ローマは1日にして成らず」と言います。多くの人が関わる複雑なルールの構築になりますので、日々の運用、教育によって活きた制度になるのではないでしょうか。

【参考】
『はじめての個人情報保護法～シンプルレッスン～』 / 個人情報保護委員会

* C-geo / PIXTA(ピクスタ)