2022年4月に中小企業に適用される個人情報保護法が一部改正されます。

情報社会が浸透していくなか、個人情報の取り扱いに対する社会の関心は、年々高まっています。そのため、企業においても個人情報の取り扱いおよび管理を徹底する必要があります。

個人情報の取り扱いに関する整備がなされていないと、トラブルになりかねません。

個人情報保護法の改正点を把握・理解し、トラブル回避につなげましょう。

改正個人情報保護法とは

「個人情報の保護に関する法律等の一部を改正する法律」は、2020年6月12日に公布され、2022年4月1日より施行されます。

※「法令違反に対するペナルティの強化」については、2021年12月12日より施行

個人情報保護委員会では、平成27年の改正個人情報保護法で設けられた「いわゆる3年ごと見直し」に関する規定に基づき、個人情報をめぐる実態把握や論点整理を実施し、今回の改正（2020年6月交付）では、その過程で得られた知見が反映されたものになっています。

【参考】　個人情報の保護に関する法律等の一部を改正する法律（概要）| 個人情報保護委員会

個人情報保護法改正点のポイント

改正個人情報保護法の改正ポイントは、以下の6つです。

本人の請求権の拡充等

旧法では、本人が保有個人データに対する利用停止・消去を請求できる場合は、一定の法律違反があった場合に限られていました。

新法では「個人データが漏えいした場合」や「個人データを事業者が利用する必要がなくなった場合」など個人の権利が害される可能性がある場合にも請求権を行使できるように拡充されました。

そのため、企業においては法律違反の場合でなくても、個人データの利用停止などの措置を取らなければならないこともあると把握しておきましょう。

事業者の責務の追加

改正法では新たに事業者の責務に「漏えい時の報告義務」と「不適正な利用の禁止」が追加されました。

• 漏えい時の報告義務

旧法では、個人データ漏えい等が発生した際、個人情報保護委員会に対する法的義務はありませんでした。

新法では、個人情報保護委員会に対する報告義務が新たに追加されています。

また、個人データを取り扱う事業者は、漏えい等が発生した場合、本人に通知する義務も課されます。

万が一、漏えい等が発生した場合に、すばやく対応できる体制を整えておきましょう。

• 不適正な利用の禁止

旧法では、個人情報データの不適正な利用の禁止（違法・不当な行為を助長・誘発する恐れがある方法による利用）について明文で禁止されていませんでした。

新法では個人情報取扱事業者について、個人情報データの不適正な利用の禁止が定められます。

企業が通常通り個人情報データを取り扱う分には問題ありませんが、不適正な利用にあたらないような取り扱いに留意しましょう。

新たな情報類型の創設

新法では「仮名加工情報」と「個人関連情報」が新たな情報類型として創設されました。

• 仮名加工情報制度の創設

仮名加工情報とは、ほかの情報と照合しない限り、特定の個人を識別できないように個人情報を加工して得た個人に関する情報です。

旧法では、仮名加工情報の取り扱いは「利用目的を特定」と「取得時の利用目的の公表」など、通常の個人情報と同様に取り扱わなければなりませんでした。

新法では仮名加工情報制度が新設され、仮名加工情報について取り扱う事業者の義務が緩和されました。

仮名加工情報にあたる個人データは、漏えい等の報告義務や開示請求、利用停止などの適用対象外となります。

そのため、企業の個人データ管理における負担が軽減されます。

• 個人関連情報制度の創設

個人関連情報とは、「生存する個人の情報であって、個人情報、仮名加工情報、匿名加工情報のいずれにも該当しないもの」であり、インターネットの閲覧履歴や位置情報やCookieなどの情報が該当します。

旧法では、提供先で個人データとなることが想定される「個人関連情報」に関する規制はありませんでした。

新法では、個人関連情報を第三者が取得する場合、提供元の事業者は本人の同意が得られていることを確認する義務を負うことになりました。

また、個人情報取扱事業者は確認にかかる事項などの記録の作成・保存義務などが課されます。

個人関連情報を活用する機会の多い企業（デジタルマーケティング企業など）は、影響がある改正となるため、注意が必要です。

部門別の認定個人情報保護団体の制度化

認定団体制度とは、個人情報保護委員会のほかに、民間団体を利用して情報保護を図る制度です。

旧法での認定団体制度では、対象事業者すべての分野における個人情報等の取り扱いを対象とする団体に対して認定をおこなう制度でした。

新法では、対象事業者の部門単位で組織される民間団体も認定の対象となりました。

ペナルティの強化

措置命令・報告義務違反の罰則について法定刑の引き上げ、法人に対する罰金刑の引き上げがされました。

法人に対する罰金刑の改正点は以下の通りです。

【旧法の罰金刑】

• 個人情報保護委員会からの命令違反：30万円以下の罰金
• 個人情報データベース等の不正提供等：50万円以下の罰金
• 個人情報保護委員会への虚偽報告等：30万円以下の罰金

【新法の罰金刑】

• 護委員会からの命令違反：1億円以下の罰金
• 個人情報データベース等の不正提供等：1億円以下の罰金
• 個人情報保護委員会への虚偽報告等：50万円以下の罰金

法人に対する罰金刑の上限額が引き上げられます。

罰金刑による大きな損失だけでなく、企業イメージの損失につながるため、個人情報の取り扱いには十分注意しましょう。

外国事業者関係

旧法では、日本国内者に関する個人情報を取り扱う外国の事業者は、報告徴収・立入検査などの対象ではありませんでしたが、新法では対象となりました。

情報保護の重要性

個人情報の取り扱いは、企業側も従業員側も十分に注意しなければなりません。

入退社時に情報の取り扱いについて徹底管理する

個人情報の取り扱いは、特に入退社時に注意しましょう。

企業の管理者が従業員の個人情報データを取り扱うだけでなく、従業員も業務を遂行するうえで顧客などの個人データを取り扱う場面があります。

そのため、個人情報に関する取り扱いについて、就業規則を整備し、しっかり周知させていないと、思わぬトラブルが発生してしまう可能性があります。

また、在職中だけでなく、従業員が退職したあとの個人情報の取り扱いおよび漏えいに関しても注意が必要です。

個人情報の取り扱いは入退社時に就業規則や誓約書で注意喚起および管理を徹底し、トラブル回避へとつなげましょう。

事故があった際のトラブルについて

個人情報管理に付随して、事故が起きてしまった場合の責任の所在に対する署名（書類）の取得および管理もトラブル回避へとつながります。

万が一に備えて、整備しておきましょう。

定期的な就業規則の見直し

個人情報保護法などの法律は定期的に改正されます。

そのため、必要に応じて改正法の内容に沿った就業規則の見直しが必要となります。

定期的に就業規則を見直し、万が一に備えるようにしましょう。

また、就業規則の改正や個人情報の取り扱い方法は、従業員への周知を徹底することが大切です。

まとめ

改正個人情報保護法は、改正点を理解しておくことが大切です。

トラブル回避のために定期的な社内規定を見直し、従業員への周知を徹底しましょう。

また、在職中だけでなく、退職後の情報漏えいにも十分注意しましょう。

企業側だけでなく、従業員側も情報漏えいをしっかり意識することが、個人情報トラブル回避へとつながります。