2020年改正個人情報保護法を徹底解説｜改正の重要ポイントは？

2020年6月5日、個人情報保護法の改正案が参議院本会議で可決・成立しました。

個人情報保護法は、2015年にも大改正が行われました。
今回の改正によって、さらに現代の情報社会に対してキャッチアップすることが期待される内容となっています。

個人情報の改正に伴い、企業としては、これまでの個人情報管理体制を見直す必要が出てくるかもしれません。
企業担当者の方は、法改正の内容を正しく理解して、自社のオペレーションに見直すべき点がないかを見直しましょう。

この記事では、2020年改正個人情報保護法の重要ポイントについて、詳しく解説します。

個人情報保護法改正の理由は？

今回、2020年のこのタイミングで個人情報保護法が改正された理由・背景としては、以下のような事情が存在します。

「3年ごと見直し」制度による定期的な改正

2015年に個人情報保護法が大きく改正された際、情報技術発展のスピードが非常に速いことを考慮し、個人情報保護法の内容もできる限り適時にそのスピードに対応していくことが課題とされました。

このような観点から、改正附則12条3項において、改正法の施行後3年ごとに、個人情報保護に関する実情を勘案した上で改善検討を行い、所要の措置を講ずるものとされました。
いわゆる「3年ごと見直し」と呼ばれるものです。

2015年の改正法は2017年から施行されたため、この2020年がちょうど施行から3年にあたります。
そのため、現在の個人情報保護に関する世間の状況を勘案して、個人情報保護法の内容が見直されたということです。

デジタル化の進展に伴うデータ流通量の増大・利用拡大に対応

今回の改正において最も重視された点は、国際的な個人データ流通量の増大と、利用可能性の拡大が進んでいるという事実です。

特にビッグデータの活用が注目される中で、個人データの流通量・利用可能性がともに大きく広がる一方、個人の権利利益の保護と対立する場面も増えてきました。
実際の例では、就職情報サイトが、Cookieを利用して就活生の内定辞退率を予測し、そのデータを無断で販売していたことが問題となったこともあります。

今回の改正では、個人の権利利益の保護と個人データ利用のバランスを取るためのルールを決めることが一つのコンセプトになっています。

個人の権利の在り方に関する改正

今回の改正でもっとも重要なポイントは、本人の個人情報に関する権利が拡大された点です。
その内容について詳しく見ていきましょう。

利用停止・消去・第三者提供禁止を請求できる場合が拡大

現行法では、本人が個人データの利用停止または消去を請求できるのは、個人情報保護法に違反して不正利用又は不正取得されている場合に限られています。

しかし改正法では、これに加えて以下の場合にも、個人データの利用停止・消去・第三者提供禁止を事業者に対して請求することができるようになります（改正法30条5項、6項）。

• 事業者が個人データを利用する必要がなくなった場合
• 個人情報保護委員会への漏洩報告などが必要となった場合
• その他本人の権利または正当な利益が害されるおそれがある場合

保有個人データに関する開示請求権の拡大

従来から、本人は事業者に対して、本人が識別される保有個人データの開示を請求することができるとされていました。
しかし、開示の方法については政令で定める方法によるとされ、本人が開示方法を指定することはできませんでした。

改正法では、事業者に対する保有個人データの開示に関して、本人が開示方法を指定できるようになりました（改正法28条2項）。
ただし、本人指定の方法による開示に多額の費用を要するなど、その方法による開示が困難な場合には、書面の交付による方法により開示が行われます。

さらに、本人から事業者に対して開示請求が可能な事項として、個人データの第三者提供記録も対象に追加されました（改正法28条5項）。

6か月以内に消去する短期保存データも開示、利用停止等の対象に

本人から事業者に対して開示請求や利用停止請求を行うことができるのは、「保有個人データ」に該当するデータとされています。
従来は、6か月以内消去されることとなる短期保存データ（たとえばCookieなど）については「保有個人データ」の定義に含まれておらず、そのため短期保存データの開示請求や利用停止請求などを行うことはできませんでした。

改正法では、「保有個人データ」の定義が改正され、短期保存データについても開示請求や利用停止請求などの対象となりました（改正法2条7項）。

オプトアウト方式による第三者に対する個人データ提供を制限

従来（現行法では）、オプトアウト方式を利用することにより、本人の同意なく個人データの第三者提供を行うことができます。
オプトアウト方式とは、本人が反対しない限り、個人データの第三者提供に同意したものとみなすものです。

具体的には、以下の要件を満たす場合には、本人の同意なく個人データの第三者提供を行いつつ、本人の請求があって初めて個人データの第三者提供を停止するという取り扱いをすることができます。

1. 以下の事項を本人に通知し、または本人が容易に知り得る状態に置くこと
   ・第三者への提供を利用目的とすること
   ・第三者に提供される個人データの項目
   ・第三者への提供の方法
   ・本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること
   ・本人の求めを受け付ける方法
2. 上記の時効を個人情報保護委員会に届け出ること

改正法では、本人の個人データに関する権利を保護するため、以下の個人データについては、オプトアウト方式による第三者提供の対象外とされました（改正法23条2項）。

• 要配慮個人情報
• 不正取得された個人データ
• 他の個人情報取扱事業者からオプトアウト方式により提供を受けた個人データ

さらに、本人へ通知等を行い、個人情報保護委員会に対する届け出を行うべき事項として、以下の事項が追加されました。

• 事業者の氏名または名称および住所
• （法人等の場合）代表者の氏名
• 第三者に提供される個人データの取得の方法
• その他個人の権利利益を保護するために必要なものとして個人情報保護委員会規則で定める事項

事業者の守るべき責務の在り方に関する改正

個人情報を取り扱う事業者の責務に関する規定も、より厳格な内容へと変更されています。

個人情報漏洩時の漏洩報告および本人への通知を一部義務化

現行法下では、個人情報の漏洩、滅失、毀損などが発生した場合、個人情報保護委員会に対する漏洩報告を行うかどうかの判断は事業者に委ねられています。

しかし改正法では、個人情報の漏洩等が発生した場合、漏洩報告が一部義務化されることになりました（改正法22条の2第1項）。
漏洩報告が義務化される対象となる漏洩等は、「個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるもの」とされていますので、今後制定される規則の内容を注視する必要があります。

なお、事業者が個人情報保護委員会に対する漏洩報告を行う義務を負うケースでは、原則として漏洩等について本人にも通知しなければならないものとされています（改正法22条の2第2項）。

不適正利用の禁止

事業者は、違法または不当な行為を助長し、または誘発するおそれがある不適正な方法で個人情報を利用してはならない旨が明確化されました（改正法16条の2）。

事業者による自主的な取り組みを促す仕組みの在り方に関する改正

現在、民間における自主的な個人情報保護の取り組みを支援するため、個人情報保護委員会による認定制度が運用されています。

現行法では、対象事業者のすべての分野（部門）を対象とした認定しかできないことになっています。
しかし改正法では、対象事業者の特定分野（部門）を対象とする認定も可能となり、事業者側にとって認定制度の利用可能性が広がりました（改正法47条2項）。

データ利活用に関する施策の在り方に関する改正

個人データを活用したイノベーションを促進する観点や、個人データの加工方法が多様化したことによる新しい問題に対応する観点から、「仮名加工情報」「個人関連情報」という新しい概念を導入したルールの変更が行われています。

「仮名加工情報」の概念を新設し、開示請求等への対応義務を緩和

仮名加工情報とは、個人情報に含まれる記述の一部や個人識別符号を削除することにより、他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工した情報をいいます（改正法2条9項）。
仮名加工情報の加工方法としては、既存の「匿名加工情報」よりも簡易なものが想定されています。

仮名加工情報の利用用途は事業者の内部分析に限定されますが、その一方で開示請求・利用停止請求への対応義務などが緩和されています。

仮名加工情報に関する規制の詳細は、今後制定される個人情報保護委員会規則で定められる予定となっているため、今後のアップデートが注目されます。

一定の場合に「個人関連情報」の第三者提供を制限

個人関連情報とは、個人に関する情報ではあるものの、個人情報・仮名加工情報・匿名加工情報のいずれにも該当しないものをいいます。
そのため、個人関連情報は個人情報保護法による規制の対象外となるのが原則です。

しかし、個人関連情報が第三者提供される場合に、提供先においては個人データとして取得されることが想定される場合には、本人の同意を取得することが必要となります（改正法26条の2）。

個人情報保護法違反時のペナルティの在り方に関する改正（厳罰化）

個人情報保護法による規制をより実効化するため、各違反についての法定刑が引き上げられました。

個人情報保護委員会の命令違反

個人情報保護委員会が、個人情報保護法の規定に違反した事業者に対して是正命令を行った場合に、事業者が是正命令に違反したときは、刑事罰の対象となります。

現行法下での命令違反の法定刑は、「6月以下の懲役または30万円以下の罰金」とされています。
一方、改正法83条では、命令違反の法定刑が「1年以下の懲役または100万円以下の罰金」に引き上げられました。

個人情報保護委員会への虚偽報告など

個人情報保護委員会が事業者に対して報告を求めた場合に、事業者が報告をせず、または虚偽の報告をしたときなどは、やはり刑事罰の対象となります。

現行法下での虚偽報告などの法定刑は、「30万円以下の罰金」とされています。
一方、改正法85条では、虚偽報告などの法定刑が「50万円以下の罰金」に引き上げられました。

法人による違反の重罰化

現行法下では、法人がデータベース等不正提供罪や個人情報保護委員会の命令違反を犯した場合の罰金の上限は、個人の違反と同じとされていました。

しかし、法人と個人の資力格差を考慮し、法人がこれらの違反行為を行った場合の罰金の上限額が1億円に引き上げられました（改正法87条1項1号）。

法の域外適用・越境移転の在り方に関する改正（外国での個人情報）

インターネットを利用することによって、個人データを日本国内から海外に対して送信することも容易に行える状況があるなかで、外国事業者に対しても個人情報保護法の規制を広く適用していく方向での改正が行われました。

外国事業者も報告徴収・命令の対象に

現行法下では、外国事業者については一律で、個人情報保護委員会による報告徴収や命令の対象外とされていました。

しかし、個人データなどの越境移転が盛んに行われている実態に鑑み、日本国内にある者に係る個人情報等を取り扱う外国事業者が、新たに報告徴収・命令の対象とされました（改正法75条）。

外国における個人データの取り扱いに関する本人への情報提供義務など

国内の事業者が外国事業者に対して個人データを提供する場合、本人から見て個人データがどのように取り扱われることになるかがわかりにくいという問題があります。
これに対応して、外国事業者に対して個人データを提供する場合には、本人の同意を取得する際に、当該外国における個人情報の保護に関する制度などについての情報を提供しなければならないものとされました（改正法24条2項）。

また、国内の事業者が外国事業者に対して個人データを提供する際には、外国事業者においても日本の個人情報取扱事業者が講ずべきとされている措置に相当する措置が実施されるように、必要な措置を講じなければならないことも併せて規定されています（改正法24条3項）。

まとめ

今回の個人情報保護法改正は、際限のない個人データの利用に一定の歯止めをかけるため、全体的に規制を強化する方向性が見られます。
個人情報を取り扱う事業者は、改正法の内容を踏まえて、個人情報の取り扱い方法について見直す必要があるでしょう。

また、今後改正法の施行に向けて、個人情報保護委員会規則の整備など、実際の運用を見据えたアップデートが行われることになります。
そのため、個人情報保護法の改正に関する最新の動向を注視しなければなりません。

企業が改正法に合わせたオペレーションの見直しを行う際には、弁護士のアドバイスを受けて法的に万全を期すことをおすすめします。