企業秘密保持の重要性
企業の信頼度を測る指針の一つにJIPDECが運用するプライバシーマーク制度があります。厳しい審査を通過してプライバシーマーク ( 通称Pマーク ) を付与された企業 ( 日本国内で2万社弱 ) は業務上で得た個人情報の正しい管理に努め、一件でも情報を漏洩させるインシデントが発生した場合は、発覚後30日以内に事故報告を行う義務があります。
AIの急速な広がりと共に各企業が自社のwebサービスを利用した顧客の個人情報をビッグデータとして保存し、経営戦略のために活用することが当たり前になってきたことや、仕事を依頼するときに預けた個人情報データを子会社などが個人情報データの取り扱い不備によって情報漏洩がおきてしまう事件が度重なったことなどにより、2022年4月に「改正個人情報保護法」が施行されました。個人の権利・利益を保護するために個人情報を漏洩させた企業に対する罰則が一段と厳しいものとなっています。
改正個人情報保護法のポイントは大きく分けて6つあります。
- 1.本人の権利保護強化と請求権の拡大
- 2.事業者の責務の追加
- 3.事業者の自主的な取り組みの推進
- 4.データ利活用の促進
- 5.法人に対するペナルティの強化
- 6.域外適用の拡充
1.本人の権利保護強化と請求権の拡大
旧法においては、本人が、事業者に対し個人情報の利用停止や個人情報データの消去を請求できるのは、本人の同意なく第三者から提供された場合に限りました。
改正後は、本人の個人情報データを保持する必要がなくなったときや、データの取り扱いで本人の正当な権利・利益が阻害されるおそれがあるときなども利用停止を請求できるようになりました。但し、本人の権利・利益保護のための代替措置がある場合は、取り扱い事業者の負担は軽減されるようになっています。また、本人が第三者へのデータの提供に関する記録の開示請求を行った場合、事業者はそれに応じる必要があります。
2.事業者の責務の追加
個人情報取り扱いについての適切な苦情処理や個人情報の取り扱いに関する情報提供などを積極的に行う企業については、旧法においても「個人情報保護団体」として認定する制度がありました。旧法では、取り扱い事業者の全ての部門が 旧法においては、情報漏洩のインシデントが生じてもその報告や通知は義務ではありませんでした。改正後は個人情報データの流出により、個人の権利・利益が阻害されるおそれがある場合、個人情報保護委員会への報告と本人への通知が義務付けられました。
また、違法行為をする第三者への個人情報のリストの提供の禁止なども明示されました。
3.事業者の自主的な取り組みの推進
個人情報取り扱いに関する適切な苦情処理や、個人情報取り扱いのためのしくみづくりや情報提供を積極的に行っている事業者においては、「認定個人情報保護団体」として認定される制度が旧法にもありましたが、旧法では、その事業者の全ての部門が対象になっていたのに対し、新法では個人情報の保護が特別必要となる部門においてのみ対象とすることができるようになりました。
新法では、より一層の各事業者の積極的な取り組みを推進しています。これにより、事業者の自主的なデータ保護のしくみづくりの加速が期待されます。
4.データ利活用の促進
AIの技術を応用してのさまざまな分野での技術革新がめざましい昨今、収集したデータが医療分野その他においてイノベーションの助けになることを鑑みて旧法では厳格に規制されていた個人情報が新法では若干の緩和がされています。新法では他の情報と照合して個人が特定されないよう、加工すること、クレジットカード情報など本人に不利益を及ぼすおそれがある情報を削除するなどすれば、データを有効に活用できる方向に舵を切られています。
同時に新法では、個人関連情報を第三者提供する場合、提供元が提供先に対して本人の同意を得ていることを確認する義務が付け加えられています。
5.法人に対するペナルティの強化
旧法に比べ、改正後に個人情報保護委員会からの措置命令違反や同委員会への虚偽報告、個人情報の不正提供、不正利用に関してペナルティが強化されています。
措置命令違反があり、それに対する是正措置がとられない場合や、個人情報データベースの不正流用が判明した場合、取り扱い事業者は1億円以下の罰金を支払わなければなりません。なお、個人情報データベース等の不正流用の個人に対するペナルティに変更はなく(1年以下の懲役または50万円以下の罰金)、報告義務違反の法人の罰則は個人と同じ50万円以下の罰金となっています。
6.域外適用の拡充
国外の事業者が日本在住者のデータを扱うケースが増加しています。 旧法においても海外の事業者に対して一部の条項の適用はありましたが、立ち入り調査などの対象にはなりませんでした。
新法では海外事業者であっても個人情報保護法が適用されるようになり、日本国内にいる人間の個人情報を取り扱う外国事業者も報告徴収・命令の対象となり、違反した場合はペナルティも課されるようになりました。