【2022年4月施行、一部2021年10月先行施行】 個人情報保護法改正とはなんぞや??
2021/07/26
個人情報保護法ですが、3年ごとの大改正が直近で施行されます!
経営者の皆様はこの情報を頭にいれていただき、備えてください(`・ω・´)b
昨今、個人情報がかなりうるさく言われているので、知らない・・・・ではすまされません💦
では、参りましょう!
「個人情報の保護に関する法律等の一部を改正する法律」(2020年6月12日公布)では、個人の権利利益の保護などを目的として、
個人情報保護法が改正されました。改正ポイントは、6つです。
ポイント1
本人の権利保護が強化される
ポイント2
事業者の責務が追加される
ポイント3
企業の特定分野を対象とする団体の認定団体制度が新設される
ポイント4
データの利活用が促進される
ポイント5
法令違反に対するペナルティが強化される
ポイント6
外国の事業者に対する、報告徴収・立入検査などの罰則が追加される
改正の目的は??
①個人の権利利益保護
情報を提供する個人の、自らの情報の取扱いに対する関心や、関与への期待が高まっており、個人情報保護法第1条の目的に掲げている「個人の権利利益を保護」するために必要十分な措置を整備することに配意しながら制度を見直す必要がある。
②保護と利用のバランス
平成27年改正法で特に重視された保護と利用のバランスをとることの必要性は、引き続き重要であり、個人情報や個人に関連する情報を巡る技術革新の成果が、経済成長等と個人の権利利益の保護との両面で行き渡るような制度を目指すことが重要である。
③国際的潮流との調和
デジタル化された個人情報を用いる多様な利活用が、グローバルに展開されており、国際的な制度調和や連携に配意しながら制度を見直す必要がある。
④外国事業者によるリスク変化への対応
海外事業者によるサービスの利用や、国境を越えて個人情報を扱うビジネスの増大により、個人が直面するリスクも変化しており、これに対応する必要がある。
⑤AI・ビッグデータ時代への対応
AI・ビッグデータ時代を迎え、個人情報の活用が一層多岐にわたる中、本人があらかじめ自身の個人情報の取扱いを網羅的に把握することが困難になりつつある。このような環境の下で、事業者が個人情報を取り扱う際に、本人の権利利益との関係で説明責任を果たしつつ、本人の予測可能な範囲内で適正な利用がなされるよう、環境を整備していくことが重要である。
施行日は??
公布日│2020年6月12日
施行日│2022年4月1日
※ただし、改正のポイント5(法令違反に対するペナルティの強化)については、2021年12月12日施行
①個人の権利利益保護
・短期保有データの保有個人データ化
・オプトアウトの強化
・保有個人データの開示請求のデジタル化
・利用停止・消去請求権、第三者への提供禁止請求権の要件緩和
・個人データの授受についての第三者提供記録の開示請求権
・短期保有データの保有個人データ化
旧法│6か月以内に消去する短期保存データは、「保有個人データ」に含まれない。
新法│6か月以内に消去する短期保存データも、「保有個人データ」に含まれるようになる。
・オプトアウトの強化
個人データを第三者提供するためには本人の同意が必要とされています。
例外的に、本人の求めに応じて第三者への提供を停止することとしている場合であって、
個人情報保護法が定める事項を個人情報保護委員会に届けることで、本人の同意なく第三者提供ができます(オプトアウト)。
旧法では、要配慮個人情報を除く個人データについては、オプトアウトにより第三者提供できることとされています。
新法では、名簿屋間において、名簿の交換が行われている実態等に照らし、
さらに、①不正取得された個人データ、②オプトアウト規定により提供された個人データもオプトアウト規定により第三者提供できる個人データの対象外としました。
なお、オプトアウト規制の強化に関する改正は、全面施行に先立つ令和3年(2020年)10月1日が施行期日と指定されています。
・保有個人データの開示請求のデジタル化
旧法│個人情報取扱事業者による保有個人データの開示は、原則として書面の交付による方法とされている。
新法│本人は、電磁的記録の提供による方法など個人情報取扱事業者の開示方法を指定でき、個人情報取扱事業者は、原則として本人が請求した方法によって開示する義務を負う。
旧法│個人情報取扱事業者による保有個人データの開示は、原則として書面の交付による方法とされている。
新法│本人は、電磁的記録の提供による方法など個人情報取扱事業者の開示方法を指定でき、個人情報取扱事業者は、原則として本人が請求した方法によって開示する義務を負う。
・利用停止・消去請求権、第三者への提供禁止請求権の要件緩和
旧法│利用停止・消去請求ができる場合は、次の場合に限定されていた。
・個人情報を目的外利用した場合(旧個人情報保護法16条)
・不正の手段により取得した場合(同法17条)
新法│次の場合も、請求できるようになった。
・違法又は不当な行為を助長し又は誘発するおそれがある方法で利用した場合
・保有個人データを、事業者が利用する必要がなくなった場合
・保有個人データの漏えい等が生じた場合(個人情報保護法22条1項)
・その他、保有個人データの取扱いにより、本人の権利利益が害されるおそれがある場合
・個人データの授受についての第三者提供記録の開示請求権
旧法│第三者提供の停止請求ができる場合は、次の場合に限定されていた。
・本人の同意なく第三者に提供した場合(旧個人情報保護法23条1項)
・本人の同意なく外国にある第三者に提供した場合(同法24条1項)
新法│次の場合も請求できるようになった。
・保有個人データを、事業者が利用する必要がなくなった場合
・保有個人データの漏えい等が生じた場合(個人情報保護法22条1項)
・その他、保有個人データの取扱いにより、本人の権利利益が害されるおそれがある場合
旧法│第三者提供記録は、本人による開示請求の対象ではなかった。
新法│第三者提供記録が、本人による開示請求の対象となった。
②事業者の責務が追加される
・漏えい時の報告義務
・不適正な利用の禁止
・漏えい時の報告義務
旧法│個人業法取扱事業者による、個人情報の漏えい等の発生時の個人情報保護委員会への報告、本人への通知は法定の義務ではなかった
(「個人データの漏えい等の事案が発生した場合等の対応について」(平成29年個人情報保護委員会告示第1号)告示参照)。
新法│個人情報取扱事業者は、個人情報の漏えい等の発生時は、個人情報保護委員会に報告し、本人に通知すること義務を負う(個人情報保護法22条の2)
・不適正な利用の禁止
旧法│違法・不当な行為を助長・誘発するおそれがある方法による個人情報の利用、について明文で禁止されていなかった。
新法│違法・不当な行為を助長・誘発するおそれがある方法による個人情報の利用、が明文で禁止された。
④企業の特定分野を対象とする団体の認定団体制度が新設される
旧法│認定団体制度は、事業者の全ての分野における個人情報等の取扱いを対象とする団体の認定を行っていた。
新法│認定団体制度において、事業者の特定の事業における個人情報の取扱いを対象とする団体を認定することが可能となった。
⑤データの利活用が促進される
・「仮名加工情報」について事業者の義務を緩和
・提供先で個人データとなることが想定される場合の確認義務を新設
⑥法令違反に対するペナルティが強化される
旧法│罰則は、それぞれ以下のとおりであった。
・措置命令(42条2項、3項)の違反の罰則︓6 か月以下の懲役又は30 万円以下の罰金
・個人情報データベース等の不正流用:1年以下の懲役又は50万円以下の罰金
・報告義務(40条)違反の罰則︓30 万円以下の罰金
新法│それぞれ以下のとおり強化された。
・措置命令(42条2項、3項)違反の罰則︓1 年以下の懲役又は100 万円以下の罰金
・個人情報データベース等の不正流用:1年以下の懲役又は50万円以下の罰金
・報告義務(40条)違反の罰則︓50 万円以下の罰金
旧法│法人への罰則は、それぞれ以下のとおりであった。
・措置命令(42条2項、3項)の違反の罰則:30万円以下の罰金
・個人情報データベース等の不正流用:50万円以下の罰金
・報告義務(40条)違反の罰則:30万円以下の罰則
新法│それぞれ以下のとおり強化された。
・措置命令(42条2項、3項)違反の罰則:1億円以下の罰金
・個人情報データベース等の不正流用:1億円以下の罰金
・報告義務(40条)違反の罰則:50万円の罰則
⑦外国の事業者に対する、報告徴収・立入検査などの罰則が追加される
旧法│日本国内にある者の個人情報を取り扱う外国の事業者は、報告徴収・立入検査(40条)などの対象ではなかった。
新法│日本国内にある者の個人情報を取り扱う外国の事業者も、報告徴収・立入検査(40条)などの対象となった。
こちらに上記をまとめた資料を添付します<(_ _)>
個人情報保護制度の見直しに関するタスクフォース「個人情報保護制度の見直しに関する最終報告」(令和2年12月)
https://www.cas.go.jp/jp/seisaku/kojinjyoho_hogo/pdf/r0212saisyuhoukoku.pdf
以上、細かいですね💦
貴社のプライバシーポリシーの見直し等も実施が必要だと思いますので、ご相談があれば、クオーレ労務経営へご相談ください<(_ _)>