2022年4月1日から改正個人情報保護法の施行が予定されており、上場準備の実務において影響が生じることも想定されます。
本稿では、改正個人情報保護法の改正点の特徴的な事項の概略を中心に取りまとめております。
個人情報保護法改正の経緯
個人情報保護法は、個人の権利や利益の保護と個人情報の有用性とのバランスを図るために2003年に施行された法律で、2015年には施行後3年ごとに実態に沿った内容に見直しを行うことが規定されました。
今回の改正については、2020年6月12日に公布され、2022年4月1日から施行の予定となっております。
ただし、罰則に関する規定については、2021年12月12日から先行して施行されていることに留意が必要です。
個人情報保護法の改正点の概略
今回の個人情報保護法の改正点のポイントは主に下記内容となります。
①保有個⼈データ及び第三者提供記録の開⽰、利⽤停⽌等
・6 ヶ⽉以内に消去するデータも開⽰、利⽤停⽌等の対象とする。
・個⼈データの開⽰⽅法について、書⾯だけではなく電磁的記録も含めて、本⼈が指⽰できるようにする。
・個⼈データの他の事業者との授受の記録(第三者提供記録) について、本⼈が開⽰請求できるようにする。
・内部公益通報受付窓口における公益通報対応業務について、公益通報者や被通報者と一定の親族関係がある者等の事案に関係する者
を、公益通報対応業務に関与させない措置をとる。
・個⼈データの利⽤停⽌・消去等について、違法の場合だけではなく、利⽤する必要が無くなった場合、重⼤な漏えい等が発⽣した場合、個⼈の権利⼜は正当な利益が害されるおそれがある場合にも、本⼈が請求できるよう拡充する。
・①不正取得された個⼈データ、②オプトアウト規定(※)により提供された個⼈データのオプトアウト規定による提供を禁⽌する。
(※)本人の求めがあれば事後的に停止することを前提に、提供する個人データの項目等を公表等した上で、本人の同意なく第三者に個人データを提供できる制度。
②不適正利⽤の禁⽌、漏えい等報告・本⼈通知
・不適正な⽅法により個⼈情報を利⽤してはならない旨を明確化する。
・漏えい等が発⽣し、個⼈の権利利益を害するおそれが⼤きい場合(※)に、個人情報保護委員会への報告及び本⼈への通知を義務化する。
(※)一定の類型(要配慮個人情報、不正アクセス、財産的被害)、一定数以上の個人データの漏えい等
③公表事項及び認定団体制度の充実
・安全管理のために講じた措置を法律上の公表事項に追加する。
・認定団体制度について、企業の特定分野(部⾨)を対象とする団体も認定できるようにする。
④個⼈関連情報の第三者提供の制限、仮名加⼯情報の創設
・個⼈データに該当しない情報でも、提供した先において個⼈データとなることが想定されるものについては、データの提供において本⼈の同意が得られていること等の確認を義務付ける。
・「仮名加⼯情報」を創設し、利⽤を内部分析に限定する等を条件に、利⽤⽬的の変更の制限等を緩和する。
⑤法定刑の引上げ等(2021年12月12日施行済)
・委員会による命令への違反・委員会に対する虚偽報告等の罰則が引き上げられ、特に法人には最高1億円の罰金が課せられる。
⑥越境移転の在り⽅、法の域外適⽤
・同意の取得時に、本⼈への情報提供を求める。また、移転先の外国における個⼈データの適正な取扱いを継続的に確保するための措置等を求める。
・⽇本国内にある者に係る個⼈情報等を取り扱う外国事業者も、個⼈情報保護法による報告徴収・命令の対象とする。