質問

令和4年4月から改正個人情報保護法が施行されると聞きました。今回の改正でどのような点が変わるのでしょうか。

 

回答

令和2年6月12日に公布された改正個人情報保護法が令和4年4月1日から施行されます。本改正において個人情報取扱事業者(個人情報のデータベース等を事業の用に供する者、以下「事業者」といいます)に影響があると思われるポイントを紹介します。

1 本人の権利強化

⑴利用停止、消去等の請求権の強化

事業者が保有する特定の個人情報を検索できるよう体系的に構成されている個人情報(個人データ)の利用停止または消去の請求権について、現行法が認める場合に加え、違法または不当な行為を助長し、または誘発するおそれがある方法により個人データが取り扱われている場合にも認めることとしました(改正法30条1項)。さらに、事業者が当該個人データを利用する必要がなくなった場合、改正法22条の2が定める漏えい等の事態が生じた場合、その他本人の権利または正当な利益が害されるおそれがある場合に、個人データ利用停止、消去に加え第三者提供停止の請求権を本人に認めることとしました(改正法30条5項)。

⑵本人の開示請求権の強化

現行法は、本人から事業者に対する個人データの開示請求に対しては、書面交付の方法による開示を原則としています。

改正法は、本人が電磁的記録の提供その他規則で定める方法による開示を請求することができるとし(改正法28条1項)、請求を受けた方法により個人データを遅滞なく開示することを事業者に義務付けました。請求を受けた方法による開示が困難である場合に限り、本人に遅滞なくその旨通知したうえで書面の交付による方法で開示することができるとしました。(同2項、3項)。

⑶ 第三者提供記録の開示請求権

事業者が個人データを第三者に提供した場合、当該個人データを提供した年月日、第三者の氏名、名称その他規則で定める事項に関する記録を作成しなければならず、提供を受けた事業者もまた、当該個人データの提供を受けた年月日、当該確認に係る事項その他規則で定める事項に関する記録を作成しなければなりません。

改正法はこれらの作成された記録についても本人の開示請求の対象とし、請求を受けた事業者に開示を義務付けました(改正法28条5項)。

⑷開示、利用停止等の対象拡大

現行法は、事業者が6か月以内に消去する短期保存データを本人による開示、訂正等、利用停止等の請求の対象となる保有個人データから除外しています。

改正法は短期保存データを保有個人データから除外するのをやめ(改正法2条7項)、本人による開示、訂正等、利用停止等の請求対象としました。

⑸オプトアウト規制の強化

本人の求めがあれば事後的に停止することを前提に、提供する個人データの項目等を公表などしたうえで、本人の同意なく第三者への個人データ提供を認めるオプトアウト制度につき、現行法は「本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要する個人情報(要配慮個人情報)」をオプトアウトの対象外としています。改正法はさらに、偽りその他不正の手段により取得された個人データ、他の事業者からオプトアウトにより提供された個人データについてオプトアウトの対象外としました(改正法23条2項ただし書き)。

2 事業者の責務について

⑴漏えい等の報告、通知義務

現行法は、個人データの漏えい、滅失、毀損があっても本人への通知や個人情報の取扱いについての監督機関である個人情報保護委員会への報告を事業者に義務付ける規定はなく、事業者の自主的な対応に委ねています。

改正法は、個人データの漏えい等、その他個人データの安全の確保にかかる事態であって、個人の権利利益を害する恐れが大きいものとして規則が定めるものが生じたときは、個人情報保護委員会に報告し、本人に通知をすることを事業者に義務付けました(改正法22条の2)。

⑵個人データの適正利用義務の明確化

現行法には個人データ取得後の事業者の利用態様について明文の規定がありませんが、改正法は、事業者は違法または不当な行為を助長または誘発するおそれがある方法により個人情報を利用してはならないとして、不適正な個人情報利用の禁止を明文化しました(改正法16条の2)。

3 データの利活用について

⑴仮名加工情報の創設

改正法は、氏名等を削除し他の情報と照合しない限り特定の個人を識別できないよう加工した「仮名加工情報」の規定を設けました。仮名加工情報は開示、利用停止等の請求の対象とならず、当初の利用目的とは別の新しい目的での分析が許容されますが、内部での分析に限定されます。仮名加工情報は完全に個人を識別できないよう加工された匿名加工情報と異なり個人情報への復元性が残ることから、事業者は対照表等の安全管理義務、第三者への提供禁止、本人への到達行為の禁止、利用目的の制限、利用目的達成時の消去努力義務といった匿名加工情報にはない取扱上の責務を負います(改正法35条の2および35条の3)。

⑵提供先で個人データとなると想定される情報の第三者提供制限

現行法では、提供元では個人データに該当しないが提供先では個人データとなることが想定される情報について、本人の同意なしに第三者提供をすることが許容されています。

改正法は、提供元において個人データに該当しない情報を第三者に提供する場合であっても提供先がその情報を個人データとして取得することが想定されるときは、提供元は、当該情報を個人の識別ができる個人データとして取得することについて提供先が本人の同意を得ていることを提供先に確認することなく当該情報を提供してはならないとしました(改正法26条の2第1項)。

福島の進路2022年2月号掲載