2020年6月5日、「個人情報の保護に関する法律等の一部を改正する法律案」が参議院本会議において賛成多数で可決しました。今回で3回目となる個人情報保護法の改正では、望まない形で自分のデータが使われないよう企業に利用停止を要求できるなど個人の権利が拡大されたほか、不正行為などをした法人への罰金上限を1億円に引き上げる等、個人データを利用する企業の責任を重くした内容となっています。個人情報をなんらかの形で扱う企業は、きちんと改正の内容を把握していない場合、知らずに違反を犯し、法的責任を問われかねません。今回は個人情報保護法とその改正ポイントについて詳しくまとめてみました。
個人情報保護法とは
個人情報保護法とは、利用者や消費者が安心できるように、企業や団体に個人情報をきちんと大切に扱ってもらった上で、有効に活用すべく共通のルールを定めた法律です。2003年に初めて制定(2005年全面施行)されて以降、2015年に改正(2017年に施行)され、以降は3年ごとに必要に応じて改正の措置を取ると定められていました。そして今年、3月10日閣議決定され国会に提出、6月5日参院本会議で成立しました。
「個人情報」とは
個人情報保護法では、保護が必要な個人に関する情報を「個人情報」、「個人データ」、「保有個人データ」の3つに分類しています。「個人情報」よりも「個人データ」の方が守るべき義務が増え、また「個人データ」よりも「保有個人データ」の方が、守るべき義務が増えます。
①個人情報
生存する特定の個人を識別できる情報
②個人データ
①のうち「個人情報データベース等を構成する個人情報」と定義され、個人情報を検索が可能なように整理したもの
③保有個人データ
②のうち、開示、訂正等の権限を有し、かつ6ヵ月を超えて保有するもの
守るべき4つのルール
1. 個人情報の取得・利用
個人情報取扱事業者は、個人情報を取り扱うに当たって、利用目的をできる限り特定しなければならないとされています(個人情報保護法第15条第1項)。
2. 個人データの安全管理措置
個人情報取扱事業者は、個人データの安全管理のために必要かつ適切な措置を講じなければならないとされています(個人情報保護法第20条)。
3. 個人データの第三者提供
個人情報取扱事業者は、個人データを第三者に提供する場合、原則としてあらかじめ本人の同意を得なければなりません(個人情報保護法第23条第1項)。また、第三者に個人データを提供した場合、あるいは第三者から個人データの提供を受けた場合、一定事項を記録する必要があります(個人情報保護法第25条、26条)。
4. 保有個人データの開示請求
個人情報取扱事業者は、本人から保有個人データの開示請求を受けたときは、本人に対し、原則として当該保有個人データを開示しなければならないとされています(個人情報保護法第28条)。また、個人情報の取扱いに関する苦情等には、適切・迅速に対応するよう努めることが必要です(個人情報保護法第35条)。
「すべての事業者」が対象
当初の個人情報保護法では5000人以下の個人情報しか有しない中小企業・小規模事業者の方は適用対象外となっていましたが、前回の法改正で、個人情報を取り扱う「すべての事業者」に個人情報保護法が適用されることになっています。「すべての事業者」とは、取り扱う個人情報の数に関わらず、例えば、紙やデータで名簿を管理している事業者は、すべて「個人情報取扱事業者」となり、法の対象になります。「事業者」には、法人に限らず、マンションの管理組合、NPO法人、自治会や同窓会などの非営利組織も含まれます。小規模だからといっても法規制の対象外にはなりません。「個人情報」をなんらかの方法で収集する全ての事業者はルールを守ってそれを管理、運用する義務があります。
2020年の改正の背景と大きな変更点
2020年改定の背景
今回の改定の背景には、デジタル経済の拡大で個人情報も含めてデータの流通量が増え、プライバシーを保護する必要性が高まっている状況があります。なので、今回の改定は改めて事業者が守るべきルールを整備し、利用者保護とデータ活用の両立につなげることを目的にしています。一例として、就職情報サイト「リクナビ」が、ウェブの閲覧履歴を記録した「クッキー(Cookie ID)」を利用し、学生の「内定辞退率」を予測して無断で販売していたことが昨年発覚するなど、個人データの利用については問題が顕在化していました。そこで昨年12月に公表された制度改正大綱では、次の法改正に向けて以下の点を見直し、強化していくことが盛り込まれました。
- 個人の権利利益の保護
- 保護と利用のバランス
- 国際的な制度調和や連携
- 域外適用・越境データ移転の増大によるリスクへの対応
- AI・ビックデータ時代における個人情報の適正な利用
これらを踏まえて、今回の改定では個人の権利の在り方や事業者の守るべき責務の在り方について変更が加えられました。
主な改正ポイント
今回の個人情報保護法改正の主な変更ポイントは次の3点です。
- 消費者にとっての透明性
- 消費者によるコントロール権
- 消費者保護
1. 消費者にとっての透明性
消費者にとっての透明性の場合、「同意の内容」はもちろんのこと「同意の取り方、記録」にも注意が必要です。先にあげた就職情報サイト「リクナビ」では、個人情報を取得する際の「同意の取り方」が問題となりました。同時にこのケースでは「同意内容が不明瞭」であったことも大きな問題となっています。従来は問題がないとされた利用規約であっても、今後はユーザー自身が自分のデータがどのように利用され、どのような影響があるかを理解できないような場合、見直しが必要になります。
2. 消費者によるコントロール権
消費者によるコントロール権とは、消費者自身が自分の個人情報の『利用停止』『消去』『第三者提供の停止』を要求できるということです。これまで個人情報の利用停止や消去請求についての対応は努力義務でありましたが、改正後は義務化されることとなり、企業としては新たな対応を求められることになります。
3. 消費者保護
こちらも、先のリクルートによるクッキー提供問題等が背景になっています。事業者が第三者にデータ提供をする際、提供元として個人情報が含まれないデータでも、提供先において第三者のクッキー等と紐付ければ個人情報が特定できてしまうケースがあります。クッキーなど個人情報には該当しないデータでも、企業が個人と照合して利用する場合は本人の同意を得ることを義務付けるようにしました。
その他にも、6ヵ月以内に消去するデータは保有個人データに該当しないとされていましたが、これも保有個人データに該当すると変更されています。個人情報漏えい時の報告についても、これまでは報告は努力義務とされていたものが、報告と本人への通知が義務化されることになります。
ペナルティについて
個人情報保護委員会による命令違反・個人情報保護委員会に対する虚偽報告等の法定刑が引き上げられ、違反した場合のペナルティもより重く変更されています。
・命令違反
従来:命令に違反したとき6ヶ月以下の懲役又は30万円以下の罰金
改正後:1年以下の懲役又は100万円以下の罰金
・虚偽報告等
従来:命令に違反したとき30万円以下の罰金
改正後:30万円以下の罰金
他にもデータベース等不正提供罪、個人情報保護委員会による命令違反の罰金について、法人と個人の資力格差等を勘案し、法人に対しては行為者よりも罰金刑の最高額を引き上げています。(法人重科)
従来:個人と同額の罰金(50万円又は30万円以下の罰金)
改正後:1億円以下の罰金
さいごに
AIの発達やビッグデータの活用が今後も益々進むであろう中、データの活用は企業戦略において非常に重要になっています。半面、そのデータの取り扱いが適切でない場合の影響も大きな責任が伴います。個人情報保護法は今後も数年おきに変化していくでしょう。ユーザは「自分が提供した個人情報がしっかり管理され、自分のために正しく利用されているか不安」だと感じています。企業とユーザの信頼関係を築くためには、ユーザの個人情報を適切に扱い、変化する法改正に沿ってそれを管理していく必要があります。情報漏えい事件に関する報道も日々後を絶ちませんが、企業の信頼を維持するために、情報漏えいの危険性を可能な限り防ぎ、暗号化を含む有効な防御態勢を構築していくことも重要でしょう。
