法人への罰金は最高1億円へ引き上げ
令和4年4月1日施行
改正個人情報保護法への備えと対応
令和4年4月1日に改正個人情報保護法が施行される。実はこの改正には二つの要件が含まれている。一つは従来の法令を見直した「令和二年改正法」だ。そしてもう一つがEUのGDPRなど海外の個人情報保護法と足並みをそろえるべく改正される「令和三年改正法」(50条改正)である。それぞれの法令改正のポイントと必要な対応策、そしてビジネスへの影響について解説する。
個人情報保護法の二つの改正ポイントと
ビジネスへの影響
OVERVIEW
企業や組織ではデータの有効活用が求められる一方で、そのプライバシーの保護も厳しく求められている。年々厳しくなるプライバシー保護への要求に応えながら、グローバルでのビジネスの競争力強化を両立するにはどのような取り組みが有効なのだろうか。まずは間もなく日本で施行される改正個人情報保護法の内容と、必要な取り組みを理解し、データプライバシーへの考え方を整理しておこう。
グローバルと日本で異なる
個人情報保護の考え方
所長、弁護士
牧野二郎 氏
中央大学法学部卒業、1983年3月に弁護士登録。東京弁護士会所属。龍谷大学法科大学院客員教授、同ロースクール講師、中央大学法科大学院講師、東京大学大学院情報学環講師を歴任。社会保険労務士連合会個人情報保護委員会副委員長。
まず個人情報保護法の歴史を振り返ってみよう。個人情報保護法が最初に施行されたのは今から約20年前の2003年(平成15年)だ。同年3月に法案が成立し、5月より施行された。同時に行政機関個人情報保護法や独立行政機関個人情報保護法も同年5月に成立、施行されるとともに、各地方公共団体も個人情報保護条例を制定し、2006年ごろまでに全国で成立、施行された。
当時の個人情報保護法の成立について牧野総合法律事務所の代表を務める弁護士の牧野二郎氏は次のように指摘する。
「当時は個人情報をはじめとするビジネスに関して企業が得たさまざまな情報は企業に所有権があるものだと広く認識されていました。ところが個人情報保護法によって個人情報は企業の所有物ではないと定義され、個人情報に対する考え方、扱い方が一気に変わりました」(牧野氏)
当初、個人情報保護法は各分野の監督省庁が企業や組織の取り組みを指導していた。当時、総務省で個人情報保護法の執行に携わっていた、現在はインハウスハブ東京法律事務所で弁護士を務める関原秀行氏は「総務省や経済産業省などがそれぞれ管轄する分野に関する個人情報保護法に基づいた企業への監督を行っていました。その後、平成27年(2015年)に個人情報保護法に基づく企業への監督権限が個人情報保護委員会に統一されました。ちょうどそのころから個人情報保護に対する意識が、グローバルで厳しくなってきたことを覚えています」と説明する。
関原氏の指摘の通り、日本の個人情報保護法と、EUをはじめとした海外の個人情報保護法とで乖離があることは以前より指摘されていた。そのことも今回の改正に盛り込まれているのだが、2022年4月1日に施行される今回の個人情報保護法の改正には大きく二つのポイントがあることを理解しておきたい。具体的には「令和二年改正法」と「令和三年改正法」(50条改正法)の二つだ。
令和二年改正法は
不正利用事件への対策
まず令和二年改正法は、3年ごとに見直すことを求められている個人情報保護法を、時代の変化への対応や問題点の改善などを実施するために行われた改正だ。例えばこれまでは、個人情報を積極的に利活用するために「匿名加工情報」が定義されてきたが、求められる加工水準が高く実用的ではなかったため、令和二年改正法では仮名加工情報が新設されている。令和二年改正案で問題視されたのが次の二つの事件である。
まず大学卒業生を対象にした就職あっせんサービスの中で、就職希望の学生のサイト閲覧情報やクッキー情報を取得して内定辞退率を算出し企業に提供していた問題だ。
内定辞退率の提供先企業では個人情報になることを知りながら、提供元では個人を特定できないとして、本人から同意を取らず内定辞退率を提供し、それらの情報を入手した企業が利用していたことで世間から批判された。
このほか2019年ごろから官報に公表される破産者の氏名を収集してデータベース化し、公開するサービス「破産者マップ」が提供された問題も挙げられる。この問題では破産に関する手続きを行った人の氏名を特定でき、そのサイトを利用すると破産者の住所が明示されるなど、2019年3月ごろに個人情報保護委員会が行政指導を出す深刻な問題となった。
牧野氏は「これらの二つの問題を踏まえて、不正利用などへの対策を講じたのが令和二年改正の内容であり、企業がこれから対応しなければならない法令となります」と説明する。
では令和二年改正では主にどのような事柄が求められるのだろうか。令和二年改正法では主に次のような改正点が挙げられる。
令和二年改正法の主な内容
①本人の権利強化(利用停止、開示請求の拡張等)
②保有個人データ安全管理措置の公表義務等
③漏えい報告・通知の義務化
④仮名加工情報の新設とその効果
⑤個人関連情報の新設とその効果
⑥データの越境移転時の情報提供の充実等
⑦違反行為の評価と罰則の強化
ここでは各法令に対しての説明は省くが、企業の対応、備えとしては開示請求されたらすぐに情報を提供できるデータの整理を行っておくこと、万が一事故や事件が発生した際は状況が把握できる仕組みを整えておくことがどの企業にも求められる。
複雑化する法令内容
理解するのは困難
弁護士
関原秀行 氏
総務省において個人情報保護法、通信の秘密の運用・執行などを担当し、その後、法律事務所や企業に所属して実務運用に携わっている。
令和二年改正法への対応について関原氏は「法律が複雑になっており、その内容を理解するのは容易ではありません。特に企業が提供するさまざまなサービスや利用するテクノロジーに関して、法律が求める要件に合うように実装を落とし込んでいくのが非常に難しい。しかも従来よりも情報開示の対象が広がったり、報告が義務化されたりするなど、個人情報を扱う企業はさまざまな対応が求められます。喫緊の対応策としてはプライバシーポリシーを見直すとともに、データの越境移転に関して追加された規制に対応するために、個人情報の保存場所やアクセス状況を整理しておくことから取り組むべきでしょう」とアドバイスする。
また牧野氏も「企業が保有する個人情報に対する安全管理措置について、本人からの問い合わせに迅速に回答できる準備をしておくことが重要です。さらに漏えい報告・通知の義務化に関しては、個人情報の漏えい事件や事故、ランサムウェアによる情報の乗っ取りや盗難なども毎日のように発生しており、被害の把握や本人への報告などが速やかに行える仕組みと体制を整えておくことも、その企業の評価につながります。情報を請求しても半年ほど音沙汰がないケースもあり、そうした企業への信頼は極めて悪くならざるを得ません」と指摘する。
令和三年改正法で国内産業が活性化
データプライバシーへの投資で成長
冒頭で触れた通り、今回の2022年4月1日に施行される改正個人情報保護法では二つのポイントがある。一つ目がすでに解説した令和二年改正法で、従来の法令がより厳格化された内容となる。そしてもう一つの改正ポイントが「令和三年改正法」である。これはEUのGDPRなど海外の個人情報保護法の考え方と歩調を合わせた改正内容といえよう。
令和三年改正法の主な内容
①3法統一(民間企業・行政機関・独立行政法人の保護法を統一)
②医療・学術分野の規制の統一(病院・大学には官民で同等の規律を適用)
③学術研究の適用除外の精緻化(学術研究のGDPR十分性認定を実現)
─以上、50条改正
④全国自治体の条例を統一ルールによる調整
─以上51条改正
令和三年改正法では「個人情報保護法の対象に学術研究機関が含まれておらず、学術研究機関が個人情報を利用した研究を推進できなかったこと」(牧野氏)、さらに「国立病院と県立病院、私立病院とで個人情報の取り扱いに関するルールが異なり、医療機関の連携が難しかった」(関原氏)などの問題に対して、令和三年改正法で問題点の解決を図るというものだ。
これは「デジタル社会形成整備法」の50条と51条により行政機関個人情報保護法と独立行政法人個人情報保護法が廃止され、令和三年改正法(50条改正法)に一本化される。さらに令和五年4月ごろには各自治体の個人情報保護に関する条例も51条改正法にて全国的な共通ルールが定められる見通しだという。
こうした動きにより民間から学者に個人情報等のデータの提供が可能になるほか、学者間でのデータのやりとりも可能になり、成果を学会などで公表することもできるようになる。
牧野氏は「グローバルでは企業と研究機関が一体化しており、そうした組織によってグローバルで競争力のあるビジネスが次々と生まれています。日本では研究機関と企業が個別に活動しており、コラボレーションする機会が極端に少なかったのですが、令和三年改正法(50条改正法)を契機に日本の産業にもグローバル競争力が備わるのではないかと期待しています」と強調する。
さらに関原氏は「現在、アジアの各地域でもEUのGDPRを手本にして、個人情報保護法の整備が進められています。今後は世界各地でデータプライバシー保護法制への対応が求められるようになるため、情報収集が重要になります。さらにデータプライバシーへの投資が企業の競争力に直結する時代になりますので、人材の確保と育成にも力を入れるべきでしょう」とアドバイスする。
