お問い合わせ

2022年改正個人情報保護法の4つのポイントを弁護士が解説!

目次

はじめに

2020年6月に「個人情報の保護に関する法律等の一部を改正する法律」が公布されました。
全面的に施行されるのは、2022年4月とされていますが、法定刑の引き上げについては、2020年12月より施行されています。

個人情報の重要性が高まる現状において、事業者は「個人情報」との向き合い方をいまいちど見直す必要があります。
今回の改正により、事業者はどのような影響を受けることになるのでしょうか。

今回は、2022年改正個人情報保護法のポイントをわかりやすく解説します。

1 改正個人情報保護法のポイント


改正個人情報保護法のポイントを、以下の4点に分けて解説します。

  1. 個人の権利
  2. 事業者が遵守すべき義務
  3. データの利活用
  4. 罰則の引き上げ

2 個人の権利


技術革新を踏まえた個人情報の保護と利活用のバランスをとることが、今回の法改正の趣旨の一つとされています。
そのため、事業者のデータ利活用に関する規制が緩和される一方で、個人のプライバシー保護などは強化されています。

個人情報に対する本人の権利は、以下のように拡充されることになりました。

  • 利用停止請求権の拡充
  • 第三者提供記録の開示請求権
  • オプトアウト適用の限定


本人が自己の個人情報について、利用の停止や消去などを求める場合、これまでは事業者が法律に違反して個人情報を不正取得するなど、一部の法違反がある場合に限られていました。
今回の改正により、権利の範囲が拡充され、自己の権利や利益が害されるおそれがある場合にも利用停止や消去を請求することが可能になりました。

また、個人データの授受に係る第三者提供記録について、本人が開示請求できるようになりました。

さらに、オプトアウトにより第三者提供する個人データの範囲を限定し、不正取得された個人データとオプトアウトにより提供された個人データについては対象から外されることとなりました。
ここでいう「オプトアウト」は、本人の要求があれば事後的に利用を停止することを前提として、提供する個人データの項目などを公表したうえで、本人の同意なく第三者に個人データを提供できる制度です。


このように、個人のプライバシー保護を強化するという観点から、自己の個人情報に対するコントロール権が強化された形になっています。

3 事業者が遵守すべき義務


事業者が遵守すべき義務として、以下の2点が追加されました。

  • 個人情報保護委員会と本人への通知義務
  • 不適正な方法による個人情報の利用を禁止する旨の明確化


個人情報が漏えいし、本人の権利利益を害するおそれがある場合には、事業者は個人情報保護委員会にその旨を報告することが義務付けられます。
併せて、その旨を本人にも通知しなければなりません。

もっとも、個人情報保護委員会への報告が義務付けられるのは、以下の4点とされています。

  1. 要配慮個人情報
  2. 財産的被害が発生するおそれがある場合
  3. 故意によるもの(不正アクセスなど)
  4. 漏えいした個人情報が1000人を超える場合


また、個人情報保護委員会への報告は、速報と確報の二段階に分けて実施することが必要です。具体的には、個人情報の漏えいなどが発生したことを認識した後、速やかに報告を行う「速報」と、その後30日以内に報告を行う「確報」が求められます。

なお、上記3にあたる場合、確報は60日以内に行う必要があります。

4 データの利活用


データの利活用に関しては、以下のような改正がなされました。

  • 仮名加工情報の創設
  • Cookieデータへの規制


ここでいう「仮名加工情報」とは、事業者が保有する個人情報から氏名などを削除することにより、特定の個人を識別できないように加工した情報のことをいいます。
イノベーションを促進する観点から、仮名加工情報を創設し、社内での分析に限定することなどを条件に、本人による開示・利用訂正請求権の対象から外れることになります。
この場合、加工基準として、「氏名などの特定の個人を識別できる記載」、「個人識別符号」、「財産的な被害が生じるおそれのある記載」が挙げられており、これらの記載については削除したり置換したりすることが求められます。

現行法では、仮名化された個人情報を取り扱う場合には、通常の個人情報を取り扱う場合と同様の義務を課されることになっていますが、それが、事業者におけるイノベーション促進の障害にもなっていました。
今回の改正により、仮名化された購買データなどを分析し、商品開発などに役立てるといった事業者が増え、イノベーションの促進にも繋がると期待されています。

また、提供元では個人データに該当しないものであっても、提供先において個人データとなることが想定される情報を第三者に提供する場合には、本人の同意が得られていることの確認を行うことが義務付けられます。

この改正の対象となるのが、「Cookie(クッキー)」です。
「Cookie」とは、ウェブサイトの閲覧履歴などを記録・保存する仕組みのことをいいますが、現行法では、Cookieで得られるデータは、個人情報にあたらないとされています。
ですが、Cookieから得たデータを他の情報と照合することにより、特定の個人を識別することも可能であるため、今回の改正で規制が強化されました。

今後、事業者は、Cookieで得られるデータであってもそのデータを第三者に提供する場合には、必要に応じて、本人の同意が得られていることの確認を行わなければなりません。

5 罰則の引き上げ


罰則に係る規定は、2020年12月より既に施行されていますが、今回の改正により罰則が引き上げられたのは、以下の2点です。

(1)個人情報保護委員会に対する虚偽報告等

個人情報保護委員会に虚偽報告をした場合の罰則が以下のように引き上げられました。

    【改正前】

     最大30万円の罰金

    【改正後】

     最大50万円の罰金


また、違反行為などを行った事業者に対して、個人情報保護委員会から違反行為の中止・是正を命じることがありますが。この命令に違反した場合の罰則が以下のように引き上げられました。

    【改正前】

     最大6ヶ月の懲役
         or
     最大30万円の罰金

    【改正後】

     最大1年の懲役
         or
     最大100万円の罰金

(2)法人に対する罰金の引き上げ

個人情報保護委員会による命令に違反した場合、データベース等不正提供罪について、個人との資力の格差などから、法人に対する罰金の上限額が引き上げられました。

これまでは、個人(行為者)と同額の罰金(50万円または30万円以下の罰金)が科されていたものについて、法人は今後、

  • 最大1億円の罰金

を科される可能性があります。

6 まとめ

今回の改正を踏まえ、事業者は、たとえば、プライバシーポリシーや社内規定を見直すなどして、個人情報の利用を停止する条件が改正法に則した内容になっているかを確認することが必要になってきます。
また、マニュアルなどを作成することにより、個人情報の漏えい時における報告義務や通知義務の履行に備えることも必要になってくるでしょう。

このほかにも、個人情報の運用のあり方や契約書の改訂の要否など、事業者が対応すべきことは多岐にわたります。
これから整備されるガイドラインなどを参考に、2022年の全面施行に備えた準備を行うことをおすすめします。

弊所は、ビジネスモデルのブラッシュアップから法規制に関するリーガルチェック、利用規約等の作成等にも対応しております。
弊所サービスの詳細や見積もり等についてご不明点がありましたら、ぜひお気軽にお問い合わせください。

この記事は役に立ちましたか?
もし参考になりましたら、下記のボタンで教えてください。

弁護士(東京弁護士会)・中小企業診断士 GWU Law LL.M.〔IP〕/一橋大学ソーシャル・データサイエンス研究科(博士前期・2026年~) 金融規制、事業立上げ、KPI×リスク可視化を専門とする実務家×研究者のハイブリッド。

関連記事

目次