2022年 4月1日 改正個人情報保護法 施行 どう変わるの?
昨今のインターネットの発展とそれに伴う企業のデータ活用のひろがりから、個人情報を取り巻く環境は大きく変化してきました。インターネット上におけるプライバシーへの懸念から、EUやアメリカでは先行して法整備に取り組んでいました。欧米諸国の動きを鑑みて日本でも、2003年から幾度かの改正を行い準備をしていた、法改正の本格稼働が、2022年4月1日、に施行されます。
改正に伴い、何が変わるのか?どう対応すればよいのか?解らないことばかりです。しかし、知っておかなければいけない法律でもあります。では、解説していきましょう。
個人の権利・利益の保護、個人情報の有用性とのバランスを図るための法律
基 本 理 念 を 定 め る ほ か 、 民 間 事 業 者 の 個 人 情 報 の 取 扱 い に つ い て 規 定
目的
① 個人情報の適正な取扱いに関して、基本理念及び政府による基本方針の作成、その他の個人情報保護に関連する施策の基本となる事項を制定し、国及び地方公共団体の責務等を明らかにする。
② 個人情報を取り扱う事業者の遵守すべき義務等を定めることにより、個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであること、その他の個人情報の有用性に配慮しつつ、個人の権利利益を保護する。
個人情報保護法はもともと、2003年に成立した法律です。
施行から約10年が経った2015年、制定時には想定されていなかったパーソナルデータの様々な利活用が可能になったことで、より厳格に個人情報を扱う必要性が出てきました。2015年に最初の個人情報保護法の見直しが行われ、その際に定められたのが、「3年ごとに個人情報保護法を見直す」という規定。今回の改正個人情報保護法は、この見直し規定に基づく初めての法改正となります。
2003年 個人情報保護法成立
2015年 個人情報改正。3年毎の見直し検討へ
2019年 個人情報保護委員会が、個人情報保護法の3年毎の見直し制度改正大綱を公表し、 意見募集を開始
2020年 改正個人情報保護法 成立
2022年 4月1日 改正個人情報保護法 施行
ペナルティの厳罰化
◆現行法:
個人情報取扱事業者に科される罰則は、最大でも1年以下の懲役又は 50 万円以下の罰金
◆改正法:
①行為者に対するペナルティの厳罰化
個人情報保護委員会からの命令への違反の場合1年以下の懲役 又は 100万円以下の罰金
②法人処罰規定に係る重科(※1)の導入
法人の両罰規定(※2)が1億円以下の罰金に引き上げ
※1法人に対して行為者よりも罰金刑の最高額を引き上げること
※2個人のみならず、法人も併せて罰せられる規定のこと
罰金刑の効果は、刑罰を科せられる者の資力によって大きく異なります。個人情報取扱事業者の中には、十分な資力を持つ者も含まれるので、法人に対して、現行法通り、行為者と同額の罰金を科したとしても、罰則として十分な抑止効果は期待できません。このため、改正個人情報保護法では法人処罰規定に係る重科が導入されました。
個人情報漏えいの報告義務と本人への通知義務
◆現行法:
個人情報保護委員会への報告はあくまでも「努力義務」
◆改正法:
個人情報保護委員会への報告が「法令上の義務」へ
◆報告対象となる事案
1. 要配慮個人情報が含まれる個人データ(健康情報など)
2. 不正利用されることにより、財産的被害が生じる恐れがある個人データ(クレジットカード番号など)
3. 不正の目的をもって行われた恐れがある個人データ(サイバー攻撃、内部者による情報持ち出しなど)
4. 個人データに係る本人の数が1000を超える漏えい等が発生し、又はその恐れがある事態
◆報告の期限
①把握している範囲内で「速報」を報告<3日〜5日目安>
②続報として「確報」を報告<30日以内>
※不正の目的での漏えい事件(サイバー攻撃等)の場合は、60日以内
◆報告事項
概要や漏えい等が発生、又は発生した恐れがある個人データの項目や個人データに係る本人の数、本人への対応の実施状況、再犯防止措置など、必要事項を記載
https://www.ppc.go.jp/index.html
改正個人情報保護法の施行に伴い実施べき3つの対策
① 会社のデータを脅威から守るための総合的なセキュリティ対策
② 社内の個人情報管理の強化
③パソコン内のデータ管理の強化
①総合的なセキュリティ対策