执笔人  铃木萌 律师

2020年2月成立的个人信息保护法修正法案（以下，称“2020年修正法”）及2021年成立的修正法案（以下，称“2021年修正法”）的部分将于2022年4月1日同时实施。

以下，就2020年修正法及2021年修正法的概要及个人信息保护法修正法案的实施相关企业对策的必要事项进行解说。

第１　修正法案的概要

１　2020年修正法

个人信息保护法要求每3年修改一次，2020年的修改正是对应此要求进行的，主要修改如下：

（１）个人权利【重要】

个人权利主要修改如下：

①对于停止使用·删除等个人请求权，除不当取得等部分违法情形外，个人权利或正当权益可能受害的情形的条件也有所缓和

②对于持有的个人数据的披露方法（现行法原则要求书面交付），也改为本人可指示包含电子记录在内的提供。

③本人可要求披露个人数据的传递相关第三方提供记录

④对于6个月以内删除的短期保存数据，作为包含持有的个人数据，成为披露、停止使用等的对象

⑤限定OPT OUT规定可向第三方提供个人数据的范围，i）不正当获取的个人数据、ii）按OPT OUT规定提供的个人数据也除外。

※所谓“OPT OUT规定是指，以本人有要求时应事后停止为前提，将提供的个人数据的项目等公布后，可无需本人同意向第三方提供个人数据的制度。”

（２）经营者应遵守的责任义务【重要】

有关经营者应遵守的责任义务修改如下：

①　泄露等报告的义务化

发生泄露等可能损害个人权利利益时，有义务向个人信息保护委员会报告并向本人进行通知。

报告对象限定为，1）需要考量的个人信息、2）当可能发生财产损害时、3）非法接触等故意行为导致的、4）超过1000人以上的泄露等

此外，对委员会的报告义务分为速报和确切报告2个阶段。就是说，认识到事态发生后要求立即报告，同时30天（非法接触等故意导致的情形为60天）以内要求有确切的报告。

②　禁止不正当方式的使用

明确不得以助长违法或不当行为等的不正当方式使用个人信息。

所谓“助长违法或不当行为等的不正当方式”是指，比如以下例子就是设想的相当恶劣的事例。

1） 向经营违法行为的第三方提供个人信息
2） 对于法院公告等公开的个人信息，即使预见可能引起误差仍集中后处理成数据库，在网络上进行公开

（３）促使经营者自主进行处理的结构

认证团体制度，现行法中比如认证团体处理作为对象的企业的所有领域的投诉的方法，修正案中，考虑到使用个人信息的业务实态的多样化和IT技术的进步，企业特定领域（部门也可作为对象作团体认证。

（４）数据灵活应用【重要】

有关数据的灵活应用，修正如下：

①　假名加工信息

从促进积极性角度来看，创设删除姓名等的“假名加工信息”，限定内部分析等条件下可以缓和披露·停止使用请求对策等的义务。

当然，有关假名加工信息的制作方式，作为最低限度标注，要求采取以下措施

a ）删除姓名等可识别特定个人的记述等（比如：姓名）
b ）删除全部个人识别符号
c ）删除有损害财产可能的记述等（比如信用卡号码）

②　个人有关信息的第三方提供限制

即使提供方并不属于个人数据，但设定在提供对象处将作为个人信息处理的数据而提供给第三方的，必须经过本人的同意等确认。

比如，A公司中，持有ID和购买记录等个人相关信息数据（不属于个人数据），该数据提供给与A公司共享ID的B公司，使用该数据的ID与B公司内部持有的ID所关联的个人数据相结合A公司数据将成为个人数据等设定场景，原则上需经本人同意。此时，提供方作为保留记录的义务，应i）提供年月日、ii）第三方的姓名等、iii）对个人相关信息的项目等作记录后原则上要求保存3年。

（５）罚则

委员会的违规·对委员会的虚假报告等的法定刑提高。另外，数据库等不当提供罪、委员会违规罚款，则考量法人与个人的能量差异等，相对行为人对法人的罚金刑的最高额进行提高（法人重责）。

（６）法的域外适用·跨境转移【重要】

①　强化域外适用

处理日本国内人员相关个人信息等的外国经营者也是征集报告·命令的对象（有处罚）。

②　跨境转移相关信息提供的充实

向外国的第三方提供个人数据时，转移对象经营者对个人信息处理相关的对本人的信息提供也成为必须，具体是指：

ⅰ）根据本人同意进行跨境转移时，取得同意时，需要向本人进行信息提供。
※取得同意时，经营者必须提供给本人的信息

a.　转移对象所在国名
b.　以妥当且合理的方法确认到的该国的个人信息保护制度
c.　转移对象采取的措施

ⅱ）体制完备条件下跨境转移时，转移对象确保对个人数据的妥善处理的“必要措施”及应本人要求进行的信息提供也是必须的。
※转移对象需采取的“必要措施”

a．转移对象的个人数据处理情况及对其有影响的转移对象所在国的制度的有无的定期确认
b．妥善处理下，问题发生时的处理（难以确保妥善处理的持续时应停止个人数据的提供）

２　2021年修正法

修改目的为个人信息保护制度的官民一元化，将按阶段实施。

第1次预定于2022年4月1日实施，目的为个人信息保护法·行政机关个人信息保护法·独立行政法人等个人信息保护法的一元化等。

第2次为2023年5月18日前法规规定之日（待定），目的在于个人信息保护法·各地方公共团体的个人信息保护条例的一元化。

2021年修正法的主要内容如下，对大部分一般性企业来说无直接关系

【2021年修正法的主要内容】
①个人信息保护法将行政机关个人信息保护法、独立行政法人等个人信息保护法3个法律统合为1个法律，同时，对于地方公共团体的个人信息保护制度，在统合后的法律中规定为全国共同的规定，一元化到个人信息保护委员会。
②为统一医疗领域·学术领域的规定，国公立医院、大学等原则上与私立医院、大学等适用同样的规则。
③针对包含学术研究领域的GDPR的充分性认定的应对，学术研究相关适用的除外规定中，并非一刀切的排除适用，作为义务的例外规定而细致化
④个人信息的定义等在国家·民间·地方范围内统一，明确行政机关等匿名加工信息的处理相关规则。

第２　各企业中必须要处理的事项

　各企业中，根据上述修改内容变更处理及内部规则·隐私政策等调整是非常有必要的，特别需要处理的事项如下：

１　个人信息泄露时的应对处理的调整

个人信息泄露时，特定场合下，向个人信息保护委员会报告及向本人的通知是作为义务确定下来的，需要在公司内部设置能立即进行报告及通知的体制。

首先，确定现行的本公司处理的情况如何，进行修改，确保能迅速向个人信息保护委员会进行报告及向个人进行通知。

2　披露转移对象的外国企业的信息

向外国的第三方转移个人数据时，有关转移对象的经营者的个人信息的处理，要求向本人提供信息。因此，向外国企业提供或共享个人信息时，应确定提供对象的企业及国家、提供对象采取的措施的概要、体制的整备方法等必要信息，体现在隐私政策等中间。

３　对披露请求的处理

当被要求披露个人信息时，此前原则上要求交付书面资料，修改后，本人可以选择电子记录方式的交付
因此，对企业来说，应做好准备应对可以用电子记录披露个人信息，修改隐私政策等。

４　个人相关信息的确认

即使在披露方并非个人数据，但预定在披露对象处作为个人数据时的个人相关信息，需确认已获得本人的同意，确认本公司内部是否有对信息进行处理。

５　确认是否有可能侵害权利利益

修改法中，在个人权利或正当利益可能被侵害时可以要求停止使用·删除等，因此，对于持有的个人数据，需要确认是否侵害权利等，对现行的处理方式进行确认。

６　假名加工信息的灵活应用

对于修改法中新设定的“假名加工信息”，应讨论是否可灵活应用，灵活应用时应做好相应的准备。