ネット営業の遠山行政書士事務所

岐阜県中津川市蛭川2244-2

個人情報の保護に関する法律(個人情報保護法)改正の経緯と概要

契約トラブルを無くして顧客満足度の向上を

 

個人情報保護法は、情報化の急速な進展により、個人の権利侵害の危険性が高まったことや、国際的な法制度の動向を踏まえ、平成15年5月に成立し、平成17年4月に全面施行されました。

法施行後には、過剰反応の混乱もありましたが、今日では事業者が個人情報を取扱いするうえでのルールとして定着しています。

個人情報保護法の成立から15年以上が経過し、その間にも情報化の更なる進展や個人情報の重要性の高まりがあり、新たな問題が生じています。

産業界では、人々の購買行動等を示すビックデータが注目され、そうしたデータから個人を特定する情報を削除したパーソナルデータを活用しようという機運が高まっています。
このビックデータやパーソナルデータの活用を推進するために、データを第三者提供する際の本人同意原則の例外規定を設けることや、安全性確保のために行政処分権限を持つ第三者機関の設置等の法改正が必要となりました。

その一方で、流通する個人情報の名簿に関する問題点も露わになりました。
2014年7月に起きたベネッセコーポレーションの個人情報流出事件では、最大で2070万件の顧客情報が漏洩し、その名簿が名簿業者を経て同業他社へ渡り、消費者の住所にDMが届いて不審の声があがるという問題が起きました。

この問題を受けて個人情報保護法の改正に名簿取引規制を盛り込むべきと意見が強まり、名簿のトレーサビリティ確保や個人情報データベース提供罪が設けられました。

こうした内容を反映して、平成27年9月に改正した個人情報保護法が公布されました。
この改正法は個人情報保護委員会の設置に関する事項が平成28年1月1日に施行され、その他の大部分は平成29年5月30日に全面施行されました。

 

個人情報保護法については、欧州のGDPR等のルールとの整合性やインターネットを介した利活用の観点から、平成27年の改正時に「3年ごと見直し」(附則第12条)をすることが規定されました。
そこで個人情報保護委員会での論議を経て、令和2年6月12日に個人情報保護法の改正事項が交付されました。そして令和4年4月1日に改正内容が施行されます。

 

本ページでは、個人情報保護法の概要を解説します。

 

個人情報保護法の概要

個人情報保護法の概要について、消費者庁が公開する「個人情報保護法のしくみ<改訂版>」を要約して、以下に解説します。

個人情報とは
個人情報とは、「生存する個人に関する情報であって、特定の個人を識別できるもの」をいいます。(第2条)
他人の干渉を許さないプライバシーとは異なります。

個人情報をデータベース化した場合、そのデータベースを構成する個人情報を「個人データ」といいます。
「個人データ」のうち、開示などの期限を有し、6ヶ月以上にわたって保有する情報を「保有個人データ」といいます。

個人情報取扱事業者
個人情報保護法の対象となる個人情報取扱事業者とは、5,000人分を超える個人情報を事業活動に利用する事業者のことです。
一般個人や小規模事業者は対象外となることが多くなります。

 

個人情報取扱事業者の守るべき義務
個人情報取扱事業者は、利用目的の特定(第16条)・通知(第18条)、安全管理措置(第20条)、個人情報の第三者提供にあたって原則本人に同意をとる(第23条)などの義務を負います。

 

個人情報の利用目的の特定(第15条)、目的外利用の禁止(第16条)
個人情報を取り扱うにあたっては、利用目的をできるだけ特定しなくてはなりません。
また、特定された利用目的の達成に必要な範囲を超えて個人情報を取り扱ってはなりません。

 

違法または不当な行動を助長する等の不適正な方法により個人情報を利用してはならないことが明文化されました。(第16条の2)(令和4年施行)

 

適正な取得(第17条)、取得時の利用目的の通知等(第18条)
偽りその他不正な手段によって個人情報を取得してはなりません。
個人情報を取得したときは、本人に速やかに利用目的を通知又は公表しなければなりません。
また、本人から直接書面で取得する場合には、あらかじめ本人に利用目的を明示しなくてはなりません。

 

個人データ内容の正確性の確保(第19条)
利用目的の範囲内で、個人データを正確かつ最新の内容に保つように努めねばなりません。
※具体的な措置例
・個人データ入力時の照合、確認手段の整備
・記録事項の更新
・保存期間の設定等

 

安全管理措置(第20条)
個人データの漏えいや滅失を防ぐため、必要かつ適切な安全管理措置を講じなければなりません。
※具体的な措置例
・セキュリティ確保のためのシステム、機器等の整備
・事業者内部の責任体制の確保(管理者の設置、アクセス管理等)

 

従業者・委託先の監督(第21・22条)
安全に個人データを管理するために、従業員に対し必要かつ適切な監査を行わなくてはなりません。
また、個人データの取扱いについて委託する場合には、委託先に対し必要かつ適切な監督を行わねばなりません。
※具体的な措置例
・個人情報保護意識を高めるための教育研修の実施
・個人情報保護措置の委託契約への明記など

 

個人情報漏えいの報告義務、本人通知義務(第22条の2)
個人情報取扱事業者は、個人情報の漏えいが発生し、個人の権利利益を害する恐れがある場合で一定の類型に該当するケースでは、個人情報保護委員会への報告、および本人への通知が義務となります。(令和4年施行)

 

第三者提供の制限(第23条)
あらかじめ本人の同意を得ないで、本人以外の第三者に個人データを提供してはいけません。
ただし、次の4つの場合には、本人の同意を得ずに第三者提供をすることができます。
(1)法令に基づく場合
(2)人の生命、身体又は財産の保護に必要な場合
(3)公衆衛生、児童の健全育成に特に必要な場合
(4)国等に協力する場合

 

本人の求めがあれば事後的に停止することを前提に、提供する個人データの項目を公表した上で、本人の同意なく個人データを第三者に提供することができます。(オプトアウト制度)

 

不正取得された個人データ、オプトアウト制度により提供された個人データについては第三者に提供することは禁止となります。(第23条の2)(令和4年施行)

 

利用目的の通知、開示、訂正、利用停止(第24-27条)
保有個人データの利用目的、開示等に必要な手続、苦情の申出等について本人の知りうる状態に置かなければなりません。
本人からの求めに応じて、保有個人データを開示しなければなりません。

保有個人データの内容に誤りがあるときは、本人からの求めに応じて、利用目的の達成に必要な範囲内で、調査し、訂正等を行わなければなりません。
保有個人データを法の義務に反して取り扱っているときは、本人からの求めに応じて、利用停止等を行わなければなりません。

 

提供元では個人情報に該当しないものの、提供先において個人データとなることが想定される情報を第三者提供するには、本人同意が得られていることの確認が必要になります。(第26条の2)(令和4年施行)

 

保有個人データの開示方法は、従前は書面による交付に限定されていたものを、本人の選択により電磁的記録の提供も可能となります。(第28条1項)(令和4年施行)

 

個人の権利または正当な利益が害されるおそれがある場合にも、本人が取扱事業者に対して、保有個人データの利用停止・消去・第三者提供の停止の請求が可能となります。(第29条5項)(令和4年施行)

 

保有個人データデータの授受に関する第三者提供記録について、本人が開示請求可能となります。(第32条2項)(令和4年施行)

 

苦情の処理(第35条)
本人から苦情などの申し出があった場合は、適切かつ迅速な処理に努めなければなりません。
本人からの苦情を、適切かつ迅速に処理するため、苦情受付窓口の設置、苦情処理手順の策定など必要な体制の整備に努めなければなりません。

個人情報保護法の改正内容

個人情報保護法の改正概要について、以下に解説します。条項番号は改正法に対応したものです。

1.個人情報の定義の明確化

個人情報の定義の明確化(第2条1項、2項)
特定の個人の身体的特徴を変換したもの(例:顔認識データ)等は特定の個人を認識する情報であるため、これを個人情報として明確化する。

 

個人識別符号(第2条2項)
指紋・手指の静脈・顔・DNAなどの生体情報をデジタルデータに変換したものや、運転免許証・パスポート・各種保険証の番号、住民票コードやマイナンバーなど、特定の個人を識別できる文字・番号・記号などの符号のこと。

 

要配慮個人情報(第2条3項)
本人に対する不当な差別または偏見が生じないように人種、信条、病歴等が含まれる個人情報については、本人同意を得て取得することを原則義務化し、本人同意を得ない第三者提供の特例(オプトアウト)を禁止。
※この「要配慮個人情報」は改正法により新設されるものであり、その具体的内容については政令で指定される予定。

 

仮名加工情報(第2条9項)
個人情報を、他の情報と照合しない限り特定の個人を識別することができないように加工して得られる情報をいいます。(令和4年施行)

 

匿名加工情報(第2条11項)
特定の個人を識別することができないように個人情報を加工し、当該個人情報を復元できないようにした情報のこと。
一定のルールの下で、本人同意を得ることなく、事業者間におけるデータ取引やデータ連携を含むパーソナルデータの利活用を促進することを目的にしています。

 

2.適切な規制の下で個人情報等の有用性を確保

 

仮名加工情報(第2条9項。第35条の2)

氏名等を削除し、他の情報と照合しない限り、特定の個人を識別できないように加工したものを仮名加工情報と定義し、内部分析に限定する等の条件の下で、開示・利用停止請求への対応義務を緩和し、利活用の促進を図ります。(令和4年施行)

 

匿名加工情報(第2条9項、10項。第36条~第39条)
特定の個人を識別することが出来ないように個人情報を加工したものを匿名加工情報と定義し、その加工方法(復元不可能)を定めるとともに、事業者による公表などその取扱いについての規律を設ける。

 

個人情報保護指針(第53条)
認定個人情報保護団体が個人情報保護指針を作成する際には、消費者の意見を聴くとともに個人情報保護委員会に届出。個人情報保護委員会はその内容を公表。

 

3.個人情報の保護を強化(名簿屋対策)

 

トレーサビリティの確保(第25条、第26条)
名簿の受領者は提供者の氏名やデータ取得経緯等を確認し、一定期間その内容を保存。また、提供者も、受領者の氏名等を一定期間保存。

データベース提供罪(第83条)
個人情報データベース等を取り扱う事務に従事する者又は従事していた者が、不正な利益を図る目的で提供し、又は盗用する行為を処罰。

 

4.個人情報保護委員会の権限。民間団体による保護促進

 

個人情報保護委員会 (第40条~第44条、第50条~第65条、第59条~第74条)
内閣府の外局として個人情報保護委員会を新設(番号法の特定個人情報保護委員会を改組)し、現行の主務大臣の有する権限を集約するとともに、立入検査の権限等を追加。(なお、報告徴収及び立入検査の権限は事業所管大臣等に委任可。)

 

民間団体の認定(第47条)
個人情報等の適正な取扱いの確保の業務や苦情処理業務を行う法人は、個人情報保護委員会の認定を受けることができます。

民間団体は、企業の特定分野(部門)対象とする団体も認定できるようになります。(令和4年施行)

 

5.個人情報の取扱いのグローバル化

 

国境を越えた適用と外国執行当局への情報提供(第75条、第78条)
日本国内の個人情報を取得した外国の個人情報取扱事業者についても個人情報保護法を原則適用。また、執行に際して外国執行当局への情報提供を可能とする。

 

外国事業者への第三者提供(第24条)
個人情報保護委員会の規則に則った方法、または個人情報保護委員会が認めた国、または本人同意により外国への第三者提供が可能。

 

海外事業者への個人データの提供時には、移転先の海外事業者における個人情報保護制度や保護措置に関する情報を本人へ提供しなくてはなりません。(第24条2項)(令和4年施行)

日本国内にある者に係る個人情報等を取り扱う外国事業者を報告徴収・命令の対象とします。この報告徴収・命令には罰則適用があります。(第75条)(令和4年施行)

 

6.その他改正事項

 

オプトアウト規定の厳格化(第23条2項~4項)
オプトアウト規定による第三者提供をしようとする場合、データの項目等を個人情報保護委員会へ届出。個人情報保護委員会は、その内容を公表。

 

利用目的の制限の緩和(第15条2項)
個人情報を取得した時の利用目的から新たな利用目的へ変更することを制限する規定の緩和。

 

小規模取扱事業者への対応(第2条5項)
取り扱う個人情報が5,000人以下であっても個人の権利利益の侵害はありえるため、5,000人以下の取扱事業者へも本法を適用。

 

短期保存データ
6ヶ月以内に消去する短期保存データについても、保有個人データに含めることとし、開示、利用停止等の対象とされます。(第2条7項)(令和4年施行)

 

ペナルティの引き上げ(令和2年施行)
個人情報保護委員会による命令違反:1年以下の懲役又は100万円以下の罰金。(第83条)
個人情報保護委員会への虚偽報告:50万円以下の罰金。(第84条)
法人による命令違反(法人重科):1億円以下の罰金。

 

個人情報保護法の概要は以上のとおりです。

 

商用サイトに表示するプライバシーポリシーや、サイト運営事業者が個人情報を加工したパーソナルデータの社内活用や第三者提供を行う場合など、ビジネスで個人情報を取扱いする場合の契約書については、当事務所で作成した下記雛形をご参照下さい。

 

サイト規約やプライバシーポリシーの作成|IT事業の契約書サイト(遠山行政書士事務所)

 

電子商取引や消費者取引に関する契約書については、上記のテキストリンク先ページを閲覧下さい。

遠山行政書士事務所の運営サービス

遠山行政書士事務所では、インターネット取引に関する講演・セミナー・(ネット)コンサルティングを承ります。

消費者契約法の改正(2019年)遠山行政書士のコンサルティング契約

以下は、遠山行政書士事務所が運営するサイトやWebサービスです。
(バナーをクリックすると、当事務所の運営する別サイトに移行します。)

クーリングオフと中途解約の支援継続サービスの契約書

IT事業の契約書遠山行政書士のメルマガ

遠山桂ブログ

広告