総務・ファシリティマネジメントのためのメディア

【2022年】個人情報保護法とは?改正ポイントや対応方法を徹底解説

更新日:

2024/4/16

2022年4月に改正個人情報保護法が施行され、個人の権利の拡充や法人の罰則強化といった項目が新たに追加されました。今回の法改正では変更点が多かったこともあり、「個人情報保護法の改正ポイントがつかみづらい」、「具体的にどのような対応が必要なのか」と悩んでいる企業担当者の方も多いのではないでしょうか。
そこで本記事では、個人情報保護法の改正ポイントをまとめたうえで、企業がとるべき対応方法を徹底解説します。

目次

1. 個人情報保護法とは

個人情報保護法とは、個人情報を取り扱う企業や団体が守るべき、4つのルールを定めた法律です。正式名称を「個人情報の保護に関する法律」といい、2005年4月に施行されました。
個人情報保護法を構成するルールには、次の4つの項目があります。

個人情報の保護に関しては、情報通信技術の発展やグローバル化の進展など、時代の変化に合わせた対応が求められます。そのため、2015年9月と2022年4月に改正法が施行され、徐々に時代の流れに沿った適切な法律へと内容が変わりつつあります。

個人情報保護法に抵触する具体例

個人情報保護法における「個人情報」とは、次の3つのうち、いずれかに該当する情報を指します。

  1. 氏名や生年月日など、当該情報に含まれる特定の個人を識別できる情報

  2. ほかの情報と容易に照合ができ、それにより特定の個人を識別できる情報

  3. 個人識別符号(指紋、顔、DNA、マイナンバーなど)が含まれている情報

参照元:個人情報の保護に関する法律 第二条|e-GOV

そのうえで、個人情報保護法に抵触するようなケースは次の通りです。

  • サーバー移設に伴うアクセス権限の設定ミスにより、顧客情報がインターネット上に漏洩した

  • 従業員が社内の顧客情報を持ち出し、インターネット上で流出させてしまった

  • 講演会を開く際に警視庁からの要請を受け参加者名簿を提出したが、参加者の許諾を得ていなかった

そのほか、個人情報保護委員会の公式サイトでは、「個人情報保護法 ヒヤリハット事例集」という情報を公開しています。適切な個人情報の取り扱いができるよう、よく確認しておきましょう。

個人情報保護法に違反した場合の罰則

個人情報保護法には、法律違反を行った場合のさまざまな罰則が定められています。
たとえば、個人情報保護委員会からの命令に違反した際の1年以下の懲役または100万円以下の罰金や、業務で取り扱う個人情報の不正利用や盗用による1年以下の懲役または50万円以下の罰金などがあります。
詳しくは、個人情報保護法の「第八章 罰則」の項目を確認してみてください。

2. 【2022年】個人情報保護法改正の6つのポイント

個人情報保護法は、2022年4月に改正法が施行されました。改正におけるポイントは、次の6点に集約できます。

  • 本人の権利保護の強化

  • 情報漏洩時の報告が義務化

  • 個人情報保護団体の認定対象が拡大

  • 仮名加工情報の新設

  • 法律違反に対する罰則を強化

  • 外国企業への法適用

それぞれのポイントについて詳しく解説します。

本人の権利保護の強化

今回の法改正により、個人情報の主体である本人が個人情報の開示や削除、利用停止を請求できる対象範囲が拡張されました。これまでの対象範囲は、事業者側の法律違反を証明できる場合に限られていましたが、改正後には個人の権利や利益が侵害される可能性がある場合も対象となります。
また、個人情報の第三者への提供が制限されるようになり、本人の権利保護がより一層強化されています。

情報漏洩時の報告が義務化

企業から個人情報が漏洩した場合、これまでは努力義務で個人情報保護委員会への報告や個人への通知をするだけで済みましたが、改正後は義務化へと変更になりました。また、場合によっては、個人の権利や利益を侵害する可能性があるだけで報告が義務付けられます。

個人情報保護団体の認定対象が拡大

個人情報保護団体とは、企業と個人の間で個人情報のトラブルが行った際、第三者機関として仲裁を行う団体です。個人情報保護法の改正により、この個人情報保護団体の認定対象が拡大しました。
個人にとっては、個人情報の取り扱いに関して企業に苦情を申し込んでも解決が難しい場合に、数多くの選択肢のなかから適切な相談先を探せることになります。企業にとっても、個人情報保護団体の認定を受けることで、団体のガイドラインにもとづいたさまざまなサポートを受けられます。

仮名加工情報の新設

仮名加工情報とは、別々の情報と照合しない限り、特定の個人を識別できないように加工した情報です。今回の法改正によって、この仮名加工情報が新たに設置されました。
これまでの企業は、個人情報を利用するために、個人をいっさい特定できない程度まで情報を加工する匿名加工情報を取り扱う必要がありました。しかし、仮名加工情報が新設されたことで、特定の条件を満たせば、加工に手間と時間がかかる匿名加工情報を用いず個人情報を取り扱えるようになっています。

法律違反に対する罰則を強化

2022年の改正法では、重罰化による抑止効果を期待して、法律違反に対する罰則が強化されました。従来は、法人に対する罰則は個人と同じ法定刑でしたが、法改正によって高額な罰金制度が適用されるようになりました。
たとえば、措置命令の違反に対して30万円以下だった罰金が1億円以下に変更になったり、個人情報データベースの不正利用に対しても、50万円以下から1億円以下に変わったりといった形です。

外国企業への法適用

日本で事業を展開する外国企業に対しても、日本居住者の個人情報を取り扱う場合は、罰則によって担保された報告徴収・命令および立入検査などの対象となります。今後は、外国企業による個人情報の不適切な取り扱いに対して、より実効的な措置の実施が期待されます。

3. 個人情報保護法の改正に伴う企業の対応方法

個人情報保護法によって、個人情報を取り扱う企業にはどのような対応が求められるのでしょうか。ここでは、先述した6つの改正ポイントにもとづいた対応方法をご紹介します。

個人情報の利用状況を棚卸しする

現在、自社でどのような個人情報を取り扱っているのか、その利用状況の棚卸しを行いましょう。法的な観点から不適切に利用していないか、情報提供者の権利や利益を侵害する恐れがないかといった点を徹底的に洗い出します。
法律の改正により、個人の権利や利益を侵害する可能性がある場合は、個人データの利用停止や消去を求められることもあります。

デジタルデータによる開示請求への対応準備を進める

企業が保有する個人データをデジタル上で開示するためには、デジタルデータによる開示請求への対応が必要になります。法改正後は、請求者である個人が、デジタルデータでの提供を含む開示方法を選択できるようになったためです。
個人情報のデジタル化を進めるのはもちろんですが、開示請求に対する社内ルールを策定することも必要になるでしょう。

情報漏洩が発生した際の対応方法を見直す

法改正によって個人情報が漏洩した際の報告義務が追加されたため、対応方法の見直しが必要です。具体的には、あらかじめ情報漏洩を見越した業務フローや対応マニュアルを確立しておく必要があります。
ただし、個人情報の取り扱いを委託されている場合や本人への通知が難しい場合には、報告義務が免除されることもあります。

プライバシーポリシーや社内規定を再検討する

改正個人情報保護法に則った情報の取り扱いができるよう、プライバシーポリシーや社内規定を再検討しましょう。個人情報の取扱方法や提供範囲などについて、項目の新設や改訂を実施します。
また、個人情報の提供が必要な取引先に対しては、契約内容を見直さなければならないケースもあります。

4. まとめ

個人情報保護法は、情報通信技術の発展やグローバル化の進展など、時代の変化に合わせて何度も改正が行われました。2022年4月の法改正では、個人の権利の拡充や法人の罰則強化などが実施され、企業が守るべきセキュリティ要件がさらに厳しくなっています。
法律に違反した場合は厳しいペナルティを受けるだけではなく、信用力の低下や企業イメージの悪化といった副次作用をもたらす可能性もあります。今回ご紹介した4つの対応方法を参考に、個人情報の安全管理を徹底しましょう。

SNSシェア

総務・ファシリティマネジメントの価値を最大化させる
資料やセミナーを提供しています

トドケールでは荷物の受け渡しの改善を通してお客さまの業務負担軽減に繋がるソリューション開発に取り組んでおります。
今お困りの状況にお役に立てることがあるか・既存のフローにどうアレンジできるかなどのご相談にもお答えいたします。
まずはお気軽にご連絡ください。

RECOMMEND

おすすめ記事

Tag

タグ

©︎ 2024 Todoker Inc. All rights reserved.