令和4年改正の個人情報保護法のポイント解説
個人情報保護委員会は、平成27年の個人情報保護法の改正以来、社会・経済情勢の変化を踏まえて、令和元年1月に示した「3年ごと見直しに係る検討の着眼点」に即し、3年ごとに個人情報保護法の見直しを進めてきました。
いわゆる令和2年改正(「個人情報の保護に関する法律等の一部を改正する法律」(令和2年法律第44号))では、保有個人データに関する取扱いが強化されるとともに、個人情報以外の個人に関する情報(個人関連情報)の取扱いについて定められ、外国の第三者への個人データの提供に際しての情報提供の充実が求められることになりした。
また、令和3年改正法(デジタル社会の形成を図るための関係法律の整備に関する法律」(令和3年法律第37号))では、今まで縦割りだった国・独立行政法人・地方公共団体の個人データの取扱いがようやく一元化され、個人情報保護制度の官民一元化のための改正が行われました。
令和4年に全面施行された「個人情報保護保護法」は、令和2年改正と令和3年改正を合わせた改正となっております。
上図は、旧「個人情報保護法」と改正後の「個人情報保護法」の条項を比較したものです。
なお、個人情報保護委員会のホームページに「改正個人情報保護法対応チェックポイント」が掲載されています。合わせてご参照ください。
(参考)
2020年(令和2年)6月12日(公布)(令和2年改正法)
個人情報の保護に関する法律等の一部を改正する法律
利用停止・消去等の拡充、漏えい等の報告・本人通知、不適正利用の禁止、「仮名加工情報」の創設、個人関連情報の第三者提供制限、越境移転に係る情報提供の充実等。
- ・個人の権利利益の保護と活用の強化
- ・越境データの流通増大に伴う新たなリスクへの対応
- ・AI・ビッグデータ時代への対応 等
2021年(令和3年)5月19日(公布)(令和3年改正法)
デジタル社会の形成を図るための関係法律の整備に関する法律
第50条 個人情報の保護に関する法律
デジタル社会形成整備法に基づく改正。官民を通じた個人情報保護制度の見直し(官民一元化)。
- ・官民通じた個人情報の保護と活用の強化
- ・医療分野・学術分野における規制の統一
- ・学術研究に係る適用除外規定の見直し 等
2022年(令和4年)4月1日(全面施行)
個人情報保護法改正
令和2年改正法における内容の追加・変更、新規項目
個人の権利の在り方
- 定義(第2条第7項)【変更】
- ・6ヶ月以内に消去する短期保存データについて、保有個人データに含めることとする。
- 第三者提供の制限(第27条第2項)【追加】
- ・オプトアウト規定により第三者に提供できる個人データの範囲を限定し、不正取得された個人データ、オプトアウト規定により提供された個人データについても対象外とする。
- 開示(第33条第1項及び第5項)【追加】
- ・保有個人データの開示方法について、電磁的記録の提供を含め、本人が指示できるようにする。
- ・個人データの授受に関する第三者提供記録について、本人が開示請求できるようにする。
- 利用停止等(第35条第5項及び第6項)【追加】
- ・利用の必要性がなくなった場合、漏えいなどにより本人の権利または利益が害される恐れがある場合にも、利用停止等又は第三者提供の停止を請求できるようにする。
事業者の守るべき責務の在り方
- 不適正な利用の禁止(第19条)【新規】
- ・違法又は不当な行為を助長し又は誘発するおそれがある方法により個人情報を利用してはならない。
- 漏えい等の報告等(第26条)【変更】
- ・漏えい等が発生し、個人の権利利益を害するおそれがある場合、一定数以上の個人データの漏えい、一定の類型に該当する場合に限定し、委員会への報告及び本人への通知を義務化する。
事業者による自主的な取組を促す仕組みの在り方
- 認定(第47条第2項)【変更】
- ・認定団体制度について、現行制度に加え、企業の特定分野部門を対象とする団体を認定できるようにする。(現行の認定団体は、対象事業者のすべての分野(部門)を対象とする。)
データ利活用に関する施策の在り方
- 第三者提供の制限(第27条第5項)【追加】
- ・個人データを共同利用する場合に、本人に通知または容易に知りうる情報として、「管理について責任を有する者の住所」および「法人である場合、その代表者の氏名」が追加。
- 個人関連情報の第三者提供の制限等(第31条)【新規】
- ・提供元では個人データに該当しないものの、提供先において個人データとなることが想定される情報の第三者提供について、本人同意が得られていること等の確認を義務付ける。
- 仮名加工情報の作成等(第41条)及び第三者提供の制限等(第42条)【新規】
- ・イノベーションを促進する観点から、氏名等を削除した「仮名加工情報」を創設し、内部分析に限定する等を条件に、開示・利用停止請求への対応等の義務を緩和する。
法の域外適用・越境移転の在り方
- 外国にある第三者への提供の制限(第28第2項・第3項)【追加】
- ・外国にある第三者への個人データの提供時に、移転先事業者における個人情報の取扱いに関する本人への情報提供の充実等を求める。
- 公示送達(第16条)及び適用範囲(第166条)【変更】
- ・日本国内にある者に係る個人情報等を取り扱う外国事業者を、罰則によって担保された報告徴収・命令の対象とする。
ペナルティの在り方
- 罰則(第173条, 第177条, 第179条)【変更】
- ・委員会による命令違反・委員会に対する虚偽報告等の法定刑を引き上げ。
- ・データベース等不正提供罪、委員会による命令違反の罰金について、法人と個人の資力格差等を勘案して、法人に対しては行為者よりも罰金刑の最高額を引き上げ(法人重科)。
令和3年改正法における民間事業者に関連する新規項目
学術研究機関等の責務
- 学術研究機関にも個人情報保護法が適用(第59条)
個人情報取扱事業者である学術研究機関等が、学術研究目的で個人情報を取り扱う場合の責務を規定。
- ・当該個人情報の取扱いについて、個人情報保護法を遵守。
- ・個人情報等の適正な取扱いを確保するために必要な措置を自ら講じ、かつ当該措置の内容を公表(努力義務)。
学術研究目的で個人情報を取り扱う場合の「例外規定」
- 利用目的変更の制限の例外(第18条)
- ・学術研究機関等が、個人情報を学術研究目的で取り扱う必要がある場合
- ・学術研究機関等に個人データを提供し、かつ当該学術研究機関等が当該個人データを学術研究目的で取り扱う必要がある場合
- 要配慮個人情報取得の制限の例外(第20条第2項)
- ・学術研究機関等が、要配慮個人情報を学術研究目的で取り扱う必要がある場合
- ・個人情報取扱事業者が、要配慮個人情報を学術研究目的で取得する必要があり、かつ当該個人情報取扱事業者と共同して学術研究を行う学術研究機関等から当該要配慮個人情報を取得する場合
- 第三者提供の制限の例外(第27条)
- ・個人データを提供する個人情報取扱事業者が学術研究機関等である場合であり、かつ当該個人データの提供が学術研究の成果の公表又は教授のためやむを得ない場合など
- その他
- ・外国第三者提供の制限(第28条)、第三者提供の確認記録義務(第29条・第30条)等も例外となる。
規律移行法人等と公的部門関係
- 独立行政法人等、地方公共団体の病院・大学等及び地方独立行政法人にも個人情報保護法が適用
(開示等や行政機関等匿名加工情報の提供等は、引き続き公的部門の規律が適用)
- ・国公立の病院、大学等、法別表第2に掲げる法人(規律移行法人等)については、原則として民間の病院、大学等と同等の規律を適用。
- ・ただし、開示、訂正及び利用停止に係る取扱いや行政機関等匿名加工情報の提供等については、公的部門の規律が適用される。(第5章 行政機関等の義務等)
※詳細に関しては、ISM Web store プライバシーマーク関連商品に収録された「令和4年改正個人情報保護法ポイント解説資料」をご覧ください。
