576.わかりやすく 改正個人情報保護法

2022年7月29日

再更新:2022.08.30

インターネットは日常生活においてはもちろんこと、ビジネス社会においても欠かせないものとなっています。

最近では売上を伸ばすことが難しい時代なので、インターネットを活用し、売上を伸ばそうとしている企業も数多く見られます。

 

ところがそのような中で新たな社会問題が生じて来ました。

そのような新たな社会問題に対処するため改正されたのが『改正個人情報保護法』です。

「個人情報保護法なんて、あまり関係がない!」と考えておられる経営者の方も多いかもわかりません。

確かに、日常的にはその通りなのかもしれません。

しかし、私たちの社会活動は徐々にインターネットに関係が生じる活動が多くなっており、いずれは切っても切れない存在になると

思われます。

したがって、一般教養としても『個人情報保護法』を認識しておくことは大切なことです。

そんな『個人情報保護法』ですが、今回の改正についてわかりやすく解説します。

 

 

1 改正の目的

個人情報保護委員会は2015年(平成27年)の個人情報保護法の改正以来、社会や経済情勢の変化を踏まえて、2019年(令和元年)1月

に示した「3年ごと見直しに係る検討の着眼点」に即し、3年ごとに個人情報保護法の見直しを進めてきました。

今回の改正は、3年ごと見直しの過程で得られた共通の視点を反映したものです。

 

 

2 改正のスケジュール

公布日 2020年(令和2年)06月12日

施行日 2022年(令和4年)04月01日

※ただし、改正事項の内「法令違反に対する罰則の強化」だけは、2020年(令和2年)12月12日からの施行となっています。

 

 

3 『個人情報保護法』改正の流れ

(1)2003年(平成15年)『個人情報保護法』の制定から始まった

1980年(昭和50年)頃からの「高度情報通信社会」の進展に伴い、プライバシー侵害などの新たな問題が生じてきました。

また同年1980年にはOEDでも『個人情報保護の8原則』が打ち出され、国際的にも個人情報保護の必要性が高まり出しました。

そんな関係から、日本でも2003年『個人情報保護法』が制定されたというわけです。

 

(2)2015年(平成27年)『個人情報保護法』第一次改正    ※詳しくはコラム312参照

その後も情報通信技術は発展し続け、ターゲティングアフィリエイトなど、2003年当時では想定できなかった個人データの活用が活発となり、さらに国境を超えたデータ流通も多くなり、2015年『個人情報保護法』が改正されました。

 *ターゲティングとは、見方によっては「押し売り」のようなものです。アフィリエイトも誇大広告や虚偽広告など、一部、問題化しています。

 

(3)2020年「3年ごとの見直し規定」による第2次改正 ※その施行が本年2022年4月1日

そのような中、2015年の改正では個人情報保護に関する国際的動向や情報通信技術の進展あるいは個人情報を活用した新たなビジネスの出現などを想定して、3年ごとに制度見直しすることが決まりました。

そのことを「3年ごとの見直し規定」といいますが、2020年にその規定に基づく法改正が初めて行われ、今年2022年4月1日から

施行される運びとなったわけです。

 

 

4 2022年4月1日施行の『改正個人情報保護法』のポイント

(1)本人請求権が拡大

不適正な利用について利用停止などの本人請求ができるなど、「本人請求権」が拡大されています。

 ・短期保有データの保有個人データ化

 ・保有個人データの開示請求のデジタル化

 ・利用停止、消去請求権、第三者への提供菌糸請求権の要件緩和

 ・個人データ授受についての第三者提供記録の開示請求権

 

(2)事業者責務の追加

個人情報取扱事業者において個人情報の漏えいなどが発生した場合、その報告義務と本人に対する通知義務が新設されました。

同時に個人情報取扱事業者の個人情報の不適正な利用の禁止義務が明文化されてました。

 ・漏洩時の報告義務

 ・不適正な利用の禁止

 

(3)事業者の自主取り組みの推進

個人情報保護法は個人情報を取り扱う「すべての事業者」に適用される法律ですので、汎用的な規律のみが規定されています。

そのため、民間においては自主的な取り組みが行われることが望ましいとということになり、「認定団体制度」という認定制度が

設けられました。

 ・認定団体制度

 

(4)データ利用活用の推進

データの利用や活用を促進する観点から仮名加工情報に関する事業者の義務が緩和され、提供先で個人データとなることが想定され

る場合に、「確認義務」が新設されました。

特に後段「確認義務」は、cookieなどのような情報は「本人の同意を得る確認義務」が必要となっています。

いま大手企業のウェブサイトなどを閲覧すると、多くのサイトで「同意する、同意しない」確認する、ポップアップメッセージが

表示されていることに気づきますが、これがこの「確認義務」に当たります。 

 ・仮名加工情報制度の新設

 ・提供先で個人データとなることが想定される場合の確認義務の新設

 

(5)罰則規定の強化

措置命令に違反した個人には、6か月以下の懲役又は30万円以下の罰金」から「1年以下の懲役又は100万円以下の罰金」に強化

されました。

また、報告義務違反に対しては「30万円以下の罰金」から「50万円以下の罰金」に強化されました。

法人の罰金刑は旧法では個人と同じでしたが、今回の改正で措置命令違反と個人情報データベース等の不正流用は「1億円以下」に

引き上げられています。

 ・措置命令、報告義務違反の罰則法定刑の引き上げ

 ・法人に対する罰金刑の引き上げ

 

(6)域外適用等の拡充

これまで、罰則対象外であった外国事業者も対象となりました。

つまり、外国事業者も罰則によって、担保された報告徴収・命令および立ち入り検査などの対象となりました。

 ・外国事業者への域外適用

 

 

5 改正法に対する対応の現状

事業者責務の追加や罰則規定の強化などを受けて、大手企業やインターネット専業事業者を中心に対応が急がれている状況です。

たとえば、エアコンで有名なダイキン工業社では、以下のようなメールをユーザに配信しました。

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

  この度、CLUB DAIKIN 会員規約の一部改定を行いますので、お知らせいたします。

  本改定により会員の皆様に新たにご対応いただくことはございません。

  今後もお客様に安心してサービスをご利用いただけるよう、引き続き適正な管理に

  努めてまいりますので、よろしくお願い申し上げます。

  1.改定日  2022年4月1日(金)

  2.改定内容(詳細は下記3.のURLよりご確認ください。)

    ①2022年4月1日に施行される改正個人情報保護法への対応に伴い、

    第6条「会員情報の利用」に下記内容を追記しました。

    ・第三者から収集する情報とその利用方法

    ・利用目的の拡大(当社商品・サービスの提供、広告・宣伝・販売推進活動)

    ②fuhaポイントの運用変更にともない、第10条「fuha ポイントについて」の内容を一部変更しました。

  3.改定後の「CLUB DAIKIN 会員規約」全文はこちらからご確認ください。

    https://www.clubdaikin.jp/agreement/index.html

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

 

 

6 改正法に対する中小零細企業の対応

(1)中小零細企業は現実的には直ちに対応する必要はない?

2022年4月1日に施行されたばかりですから、直ちに日本の全企業約380万社すべてが対応できるわけではありません。

したがってその意味では、インターネット専業事業者は除き、現実的には直ちに対応する必要はないかと思われます。

とはいえ、中小零細企業であってもCookieを利用したリスティング広告やアフィリエイターを活用した広告を活用している企業も

ありますので、このことはしっかり認識しておくべきことと思われます。

 

(2)会社の信用と品位という立場から考える

中小零細企業もそれぞれの事業は、多くのお客様によって支えられています。

そのお客様から多くの信頼を得るためには、同業他社よりも一早く「法令遵守」を心がけることが大切です。

戦略的には、たとえ少々コストがかかろうとも、少しでも早く「法令遵守」に努めることが会社の信用や品位を高めることになり

すので、コストを活きた費用にできます。

 

当たり前になってからの対応は企業価値はない

しかし当り前となる前に対応すれば企業価値が生まれる!