執筆者：弁護士　鈴木萌

　令和2年に成立した個人情報保護法の改正法（以下「令和2年改正法」と言います。）と、令和3年に成立した改正法（以下「令和3年改正法」と言います。）の一部が、令和4（2022）年4月1日に同時に施行されることが予定されています。

　以下では、令和2年改正法と令和3年改正法の概要、及び、改正個人情報保護法の施行に伴い各企業において対応が必要な事項について解説します。

第１　改正法の概要

１　令和2年改正法について

　個人情報保護法は、3年ごとの見直しが求められており、令和2年改正は、これに対応するためのものです。主な改正点は、以下のとおりです。

（１）個人の権利の在り方【重要】

　個人の権利の在り方に関して、以下のように改正されます。

①　利用停止・消去等の個人の請求権について、不正取得等の一部の法違反の場合に加えて、個人の権利又は正当な利益が害されるおそれがある場合にも要件を緩和する。

②　保有個人データの開示方法（現行は原則として書面交付）について、電磁的記録の提供含め、本人が指示できるようにする。

③　個人データの授受に関する第三者提供記録を、本人が開示請求できるようにする。

④　６ヶ月以内に消去する短期保存データについて、保有個人データに含めることとし、開示、利用停止等の対象とする。

⑤　オプトアウト規定により第三者に提供できる個人データの範囲を限定し、ⅰ）不正取得された個人データ、ⅱ）オプトアウト規定により提供された個人データについても対象外とする。

※オプトアウト規定とは、本人の求めがあれば事後的に停止することを前提に、提供する個人データの項目等を公表等した上で、本人の同意なく第三者に個人データを提供できる制度。

（２）事業者の守るべき責務の在り方【重要】

事業者の守るべき責務の在り方に関して、以下のように改正されます。

①　漏えい等報告の義務化

漏えい等が発生し、個人の権利利益を害するおそれが大きい場合に、個人情報保護委員会への報告及び本人への通知が義務となります。

報告対象は、ⅰ）要配慮個人情報、ⅱ）財産的被害が発生するおそれがある場合、ⅲ）不正アクセス等故意によるもの、ⅳ）1,000人を超える漏えい等に限られます。

また、委員会への報告は、速報と確報の二段階が義務となります。すなわち、事態の発生を認識した後速やかな速報が求められるとともに、30日（不正アクセス等故意による場合は60日）以内の確報が求められます。

②　不適正な方法による利用の禁止

違法又は不当な行為を助長する等の不適正な方法により個人情報を利用してはならない旨が明確化されます。

「違法又は不当な行為を助長する等の不適正な方法」とは、例えば、下記のような、相当程度悪質なケースが想定されます。

ⅰ） 違法行為を営む第三者に個人情報を提供すること。
ⅱ） 裁判所による公告等により散在的に公開されている個人情報について、差別が誘発されるおそれがあることが十分に予見できるにもかかわらず、それを集約してデータベース化し、インターネット上で公開すること。

（３）事業者による自主的な取組を促す仕組み

認定団体制度について、現行では、例えば認定団体は対象となる企業の全ての分野の苦情に対応する方法となっていますが、改正法では、個人情報を用いた業務実態の多様化やIT技術の進展を踏まえ、企業の特定分野（部門）を対象とする団体を認定できるようになります。

（４）データ利活用【重要】

データの利活用に関して、以下のように改正されます。

①　仮名加工情報

イノベーションを促進する観点から、氏名等を削除した「仮名加工情報」を創設し、内部分析に限定する等を条件に、開示・利用停止請求への対応等の義務が緩和されます。

なお、仮名加工情報の作成方法に関して、最低限の基準として、以下の措置を講ずることが求められます。

ⅰ）氏名等の特定の個人を識別できる記述等（例：氏名）を削除
ⅱ）個人識別符号の全部を削除
ⅲ）財産的被害が生じるおそれのある記述等（例：クレジットカード番号）の削除

②　個人関連情報の第三者提供規制

提供元では個人データに該当しないものの、提供先において個人データとなることが想定される情報の第三者提供について、本人の同意が得られていること等の確認が必要となります。

例えば、Ａ社においては、ＩＤと購買履歴等の個人関連情報データを保有している（個人データではない）場合であっても、そのデータが、Ａ社とＩＤを共有するＢ社へ提供され、当該データをＩＤを使用してＢ社内で保有するＩＤに紐づいた個人データと結合することにより、Ａ社のデータが個人データとなることが想定される場合は、原則として本人の同意が必要となります。 なお、提供元における記録保存の義務として、ⅰ）提供年月日、ⅱ）第三者の氏名等、ⅲ）個人関連情報の項目等を記録したうえ、原則3年の保存が求められます。

（５）ペナルティ

委員会による命令違反・委員会に対する虚偽報告等の法定刑が引き上げられます。また、データベース等不正提供罪、委員会による命令違反の罰金について、法人と個人の資力格差等を勘案して、法人に対しては行為者よりも罰金刑の最高額を引き上げられます（法人重科）。

（６）法の域外適用・越境移転【重要】

①　域外適用の強化

日本国内にある者に係る個人情報等を取り扱う外国事業者が、報告徴収・命令の対象（罰則あり）となります。

②　越境移転に係る情報提供の充実

外国にある第三者への個人データの提供時に、移転先事業者における個人情報の取扱いに関する本人への情報提供が必要となります。具体的には、

ⅰ）本人同意に基づく越境移転の場合：同意の取得時に、本人への情報提供が必要となります
※同意取得時に事業者が本人に提供すべき情報

ア　移転先の所在国名
イ　適切かつ合理的な方法で確認された当該国の個人情報保護制度
ウ　移転先が講ずる措置

ⅱ）体制整備要件に基づく越境移転の場合： 移転先による個人データの適正な取扱いの継続的な確保のための「必要な措置」及び本人の求めに応じた情報提供が必要となります。
※移転元が講ずべき「必要な措置」　

ア　移転先における個人データの取扱状況及びそれに影響を及ぼしうる移転先の所在国の制度の有無の定期的な確認
イ　適正な取扱いに問題が生じた場合の対応（適正な取扱いの継続的な確保が困難な場合は個人データの提供を停止）

２　令和3年改正について

　個人情報保護制度の官民一元化が改正の目的であり、段階的に施行される予定です。

　第1回は令和4年4月1日施行予定であり、個人情報保護法・行政機関個人情報保護法・独立行政法人等個人情報保護法の一元化等を目的としています。

　第2回は令和5年5月18日までの政令で定める日（未定）であり、個人情報保護法と各地方公共団体の個人情報保護条例の一元化を目的としています。

　令和3年改正法の主な内容は次のとおりですが、多くの一般企業には、直接的には関係はありません。

【令和3年改正法の主な内容】
① 個人情報保護法、行政機関個人情報保護法、独立行政法人等個人情報保護法の3本の法律を1本の法律に統合するとともに、地方公共団体の個人情報保護制度についても統合後の法律において全国的な共通ルールを規定し、全体の所管を個人情報保護委員会に一元化する。
② 医療分野・学術分野の規制を統一するため、国公立の病院、大学等には原則として民間の病院、大学等と同等の規律を適用する。
③ 学術研究分野を含めたGDPRの十分性認定への対応を目指し、学術研究に係る適用除外規定について、一律の適用除外ではなく、義務ごとの例外規定として精緻化する。
④ 個人情報の定義等を国・民間・地方で統一するとともに、行政機関等での匿名加工情報の取扱いに関する規律を明確化する。

第２　各企業において対応が必要な事項

　各企業においては、上記改正の内容を踏まえた取扱いの変更及び社内規程・プライバシーポリシー・契約書等の整備が必要となりますが、特に対応が必要と思われる事項は以下のとおりです。

１　個人情報漏えい時の対応フローの見直し

個人情報が漏えいした場合、一定の場合には、個人情報保護委員会への報告及び本人への通知が義務化されますので、遅滞なく報告及び通知できる体制を社内に設けておく必要があります。
まずは、現行の自社の対応がどのようになっているかを確認し、迅速に個人情報保護委員会への報告及び本人への通知が行えるよう、必要に応じてフローの改訂を行う必要があります。

２　移転先である外国企業の情報開示

外国にある第三者に個人データを移転する場合、移転先事業者における個人情報の取扱いについて、本人への情報提供が求められます。 そのため、外国企業に対して個人情報を提供又は共有している場合には、提供先の企業及び国名、提供先が講じている措置の概要、体制の整備方法等の必要情報を確認し、プライバシーポリシー等に反映する必要があります。

３　開示請求への対応

個人情報の開示請求があった場合、これまでは書面による交付が原則でしたが、改正によって、本人が電磁的記録による交付も選択できるようになります。そのため、企業側では、電磁的記録による個人情報開示に対応できるよう、フローやプライバシーポリシーの見直し等の準備が必要です。
また、個人データの授受に関する第三者提供記録の開示義務も生じるため、これを開示することができる体制も、同様に構築しておく必要があります。

４　個人関連情報についての確認

提供元では個人データに該当しないものの、提供先において個人データとなることが想定される個人関連情報については、本人の同意が得られていること等の確認が必要となりますので、自社においてこのような情報の取り扱いがないかを確認する必要があります。

５　権利利益の侵害のおそれがないか確認

改正法では、個人の権利又は正当な利益が害されるおそれがある場合にも利用停止・消去等の請求ができるようになったため、保有している個人データについて、権利等の侵害がないか、現行の取扱いを確認する必要があります。

６　仮名加工情報の活用

法改正により新設された「仮名加工情報」について、活用するか否かを検討し、活用する場合には、それに合わせた準備が必要となります。