執筆者:遠藤裕介
1.改正個人情報保護法(2022年4月1日施行)
「個人情報の保護に関する法律」、いわゆる個人情報保護法が改正され、2022年4月1日に施行されました。今回施行された部分は2020年に成立した個人情報保護法の改正法、及び2021年に成立した個人情報保護法の改正法の一部となります。
以下では、改正個人情報保護法の施行に伴い各企業において対応が必要な事項を、ポイントを絞って解説します。
2.公表事項の見直し
個人情報取扱事業者である企業は、自社の保有個人データについて一定の事項を本人の知り得る状態にすることが求められています(法27条1項)。例えば、改正個人情報保護法では、個人情報取扱事業者の氏名又は名称及び住所(法人の場合は、これに加えて代表者の氏名。)を本人の知り得る状態に置く必要があるとされています(同項1号)。「本人の知り得る状態」とは、例えばプライバシーポリシーに記載しWebサイト上に掲載するような場合だけではなく、「本人の求めに応じて遅滞なく回答を行う場合」も含まれます(本稿では、これらをまとめて「公表」と呼びます。)。
改正個人情報保護法では、安全管理措置[1]についても公表することが求められています。企業の対応として必要なことは、まず安全管理措置を講じ、それを公表するということになります。
ガイドライン通則編[2]では、以下の7点が講ずべき安全管理措置として挙げられています。
- 基本方針の策定
- 個人データの取扱いに係る規律の整備
- 組織的安全管理措置
- 人的安全管理措置
- 物理的安全管理措置
- 技術的安全管理措置
- 外的環境の把握
個人データの取扱いを外国の第三者に委託している場合などは、⑺外的環境の把握として、当該外国の個人情報の保護に関する制度等を把握した上で安全管理措置を講じなければならないため留意が必要です。
3.個人関連情報
改正個人情報保護法では、提供元では個人情報に該当しない個人関連情報(生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないもの)でも、提供先において他の情報と容易に照合することで特定の個人を識別することができるため個人データとなることが想定されるときは、提供元が、提供先において本人の同意が得られていることなどを確認し、記録することが求められています(法26条の2)。
例えば、ECサイトを有する企業(提供先)が、第三者(提供元)からサードパーティCookieを取得し、自社が保有する会員情報と結び付けて個人を特定した上でターゲティング広告を行う場合等に本条が適用されます。このとき、Cookieを提供する第三者(提供元)が、ECサイトを有する企業(提供先)に対し本人の同意が得られているか確認することになりますが、本人の同意を取得する主体はECサイトを有する企業(提供先)とされています。
4.個人データの越境移転
外国にある第三者へ個人データを提供する場合、原則として本人の同意が必要になります。改正個人情報保護法では、移転元となる個人情報取扱事業者に対して、本人の同意を根拠に移転する場合は、⑴移転先となる外国の名称、⑵適切かつ合理的な方法により得られた当該外国における個人情報の保護に関する制度に関する情報、⑶当該外国にある第三者が講ずる個人情報の保護のための措置に関する情報、以上の3点を情報提供しなければならないとされています(法28条)。
5.ペナルティの強化
個人情報保護委員会の措置命令に違反した者に対する罰則は、「6月以下の懲役または30万円以下の罰金」とされていましたが、改正個人情報保護法では「1年以下の懲役又は100万円以下の罰金」に強化されました。
また、法人と個人の資力格差等を考慮し、法人の代表者や従業員が、その法人の業務に関して措置命令違反、又は個人情報データベース等不正流用した場合、1億円以下の罰金が科せられることになりました(法人重科)。
[1] 法20条 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。
[2] 個人情報の保護に関する法律についてのガイドライン(通則編)
- 東京、福岡、上海、香港、シンガポール、ホーチミン、ハノイ、ダナンの世界8拠点から、各分野の専門の弁護士や弁理士が、企業法務や投資に役立つ情報をお届けしています。
- 本原稿は、過去に執筆した時点での法律や判例に基づいておりますので、その後法令や判例が変更されたものがあります。記事内容の現時点での法的正確性は保証されておりませんのでご注意ください。