開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

  • 会員限定
  • 2022/06/23

個人情報保護法「改正ポイント6点」、国際比較でわかりやすく罰則強化などを解説する

2022年4月に個人情報保護法が改正された。個人情報の取り扱いが厳しくなり、企業に課される責任や義務、罰則が強化された。個人情報の取り扱いを誤れば法的な制裁だけでなく、社会的な信頼を失い、ビジネス継続すら危ぶまれることも考えられる。さらに日本の法律への対応だけでなく、海外に事業を展開する場合はその国の法律にも対応する必要がある。本稿では、2018年に施行されたEU一般データ保護規則(GDPR)や、直近では2022年6月に改正となったタイ個人情報保護法(PDPA)など、海外における個人情報保護法の内容と比較しつつ、日本における改正法のポイントを解説する。

東京電機大学 サイバーセキュリティ研究所 研究員 久山 真宏

東京電機大学 サイバーセキュリティ研究所 研究員 久山 真宏

東京電機大学大学院でAIとセキュリティの研究により博士(工学)を取得。Security Operations Center(SOC)のセキュリティアナリストを経て、現在、大手コンサルティングファームでコンサルタントとして勤務。セキュリティやテクノロジー戦略を中心としたコンサルティング業務を担当。会社と兼務で東京電機大学サイバーセキュリティ研究所でセキュリティや人工知能の研究に従事。

photo
日本における個人情報保護法改正のポイント6点を解説。海外との違いは何か
(Photo/Getty Images)

個人情報保護法「6つの改正ポイント」を世界と比較

 改正個人情報保護法では、個人情報の保護を強化する一方で、個人を特定できないように加工した情報を指す「仮名加工情報」を円滑に利用できるように変更された。個人情報保護法の改正で変更となった内容をまとめると、以下の6点になる。

  • 個人情報の開示請求などの対象拡大
  • 情報漏えい時の報告の義務化
  • 個人情報保護団体の認定対象の拡大
  • 仮名加工情報の新設
  • 懲役刑・罰金刑の強化
  • 外国企業への法の適用

 この6点をさらに詳しく解説する。

1. 個人情報の開示請求などの対象拡大
 個人情報の主体である本人(個人)が個人情報の開示や削除、利用停止を請求できる対象範囲が拡大されたほか、第三者への提供が制限されるなど、個人の権利がより尊重された。

 請求できる対象範囲について、改正前は事業者側の法律違反を証明できる場合に限り、停止や削除の請求が認められていた。しかし、改正により法律違反の証明だけでなく個人の権利や利益が害される恐れがある場合でも請求できるよう変更された。開示に関しても書面交付が原則であった開示方法を、データでの提供を含めて個人が指定できるようになった。

2. 情報漏えい時の報告「義務化」
 個人情報が漏えいした際には、個人情報保護委員会への報告および個人への通知が義務化された。改正前は努力義務だったが改正後は「義務化」される。これは漏えいの「恐れ」がある場合にも適用され、また漏えいが個人情報そのものでなくても個人の権利・利益を害する恐れがある場合でも報告が義務となるケースがある。

 報告の義務化は、先述の「個人情報の開示請求などの対象拡大」とともに、世界の流れに追随したものと考えられる。個人の権利の強化については、GDPRが主体(個人)の権利(Subject Right)を重視しているほか、タイでは2022年6月施行の改正個人情報保護法でデータ主体(個人)の権利が明文化される。また、報告の義務化ではEUのGDPRをはじめ、米国のHIPPA(医療保険の相互運用性と説明責任に関する法律)、インドのIT法、台湾のPDPAなどですでに報告が義務化されている。

3. 個人情報保護団体の認定対象の拡大
 業界や事業分野ごとの民間団体が個人情報の保護を推進するために、自主的な取り組みを行う「認定個人情報保護団体」の認定対象が拡大した。この団体は、個人が企業に対し個人情報の取り扱いに関する苦情を申し出ても解決が困難だった場合に、第三者機関として関与することで円滑な解決を図ることが1つの役割となっている。

 つまり個人にとっては、対象企業に苦情を申し出ても、らちが明かない時に頼れる機関が増えることになる。企業にとっては、業界の民間団体が指定されることで、団体が用意するその業界の特性に応じたガイドラインおよびそのガイドラインに基づいた支援を受けられるようになる。

4. 「仮名加工情報」の新設
 DXの推進でデータの利活用がキーポイントになっている状況を踏まえ、イノベーションの促進を目的とした「仮名加工情報」が新設された(図1)。

画像
図1:イノベーションの促進を目的とした仮名加工情報(枠内)が新設された
(出典:個人情報保護委員会「個人情報保護法令和2年改正および令和3年改正案について」より編集部作成)

 仮名加工情報は、個人を特定できないように加工した情報を指し、ほかの情報と照合しない限り特定の個人を識別することはできない。これに併せて一定の条件を満たしていれば、個人から請求された個人情報の開示・利用停止に対する企業対応などの義務は緩和された。

 従来は、個人情報から個人を一切特定できない程度まで加工し、復元できないという特徴を持つ「匿名加工情報」とすることで、企業は当初の利用目的に該当しない形で活用できた。しかし、個人情報を匿名加工情報へ加工するには手間がかかり、さらに分析する際には加工によって分析方法に制限が生まれるなどの弊害があった。

 一方、仮名加工情報はほかの情報と照合しなければ個人を特定できない程度での加工のため、加工の手間がかかりにくくなった。この上、セキュリティの確保や企業内部での利活用などの条件を満たせば、個人からの開示や停止といった請求への対応を必要とせずに分析に活用できるようになった。

 海外も、韓国では2020年8月に改正した個人情報保護法により、仮名加工情報の概念を定義・規定しており、日本を含め今後の活用事例や成果に期待したい。

【次ページ】5. 懲役刑・罰金刑の強化

画像
次のページ以降では、懲役刑・罰金刑の強化や外国企業への法の適用範囲などについても解説します

お勧め記事

個人情報保護・マイナンバー対応 ジャンルのトピックス

個人情報保護・マイナンバー対応 ジャンルのIT導入支援情報

PR

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!