2022年改正・個人情報保護法の要点は？｜変更点や対策について解説

個人情報保護法（正式名称：個人情報の保護に関する法律）は、個人情報の有用性に配慮するとともに個人の権利と利益を保護することを目的とした法律です。

特に近年では、デジタル社会の進展に伴って個人情報の利用が非常に拡大していることに鑑み、個人情報保護法の改正がたびたび行われています。

1. （1）個人情報保護法の概要

   個人情報保護法は、「個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的」としています（同法第1条）。
   
   個人情報をうまく活用すれば、事業者は自社の商品やサービスを必要とする顧客・ユーザーなどに対して、適切にマーケティングを行うことができます。その一方で、事業者が保管している個人情報が流出すると、本人の意図しない形で個人情報が悪用される事態になりかねません。
   
   そこで個人情報保護法では、個人情報の有効利用を確保しながら漏えいなどの防止を図るため、個人情報の取り扱いなどに関するルールを定めています。

2. （2）令和4年4月施行・個人情報保護法改正の目的

   個人情報保護法は、デジタル社会の発展に伴う個人情報の利用拡大に対応するため、おおむね3年ごとに見直しが行われています。
   
   令和4年4月に改正が施行された個人情報保護法でも、AIやビッグデータの普及などを念頭に、拡大した個人情報の利用に対応したルール変更が盛り込まれました。

令和4年4月に施行された個人情報保護法改正の主なポイントは、以下のとおりです。

1. （1）本人の権利の拡大

   データベースによって管理されている（データベースを構成する）個人情報を「個人データ」といいます（個人情報保護法第16条第3項）。
   
   本人は、事業者が保有する個人データ（＝保有個人データ）について、開示・利用停止・消去・第三者提供の禁止などを請求する権利を有します。
   
   個人データに関する本人の権利は、改正個人情報保護法に基づく以下の変更により、全体的に強化されました。

   ① 短期保有データも開示等請求権の対象になった
   従来は対象外とされていた6か月以内に消去される個人データ（Cookieなど）も、新たに開示・利用停止等の請求権の対象となりました（同法第16条第4項）。
   
   ② 本人が開示方法を指定できるようになった
   個人データの開示方法を、原則として、以下のいずれかのうちから本人が指定できるようになりました（同法第33条第1項、第2項）。

   • 電磁的記録の提供
   • 書面の交付
   • その他の個人情報取扱事業者が定めた方法

   
   ③ 利用停止・消去・第三者提供禁止請求の要件が緩和された
   以前から認められていた不正利用・不正取得に加えて、以下の場合にも個人データの利用停止・消去・第三者提供の禁止を請求できるようになりました（同法第35条第5項、第6項）。

   • 保有個人データを利用する必要がなくなったとき
   • 保有個人データの漏えいなどが発生したとき
   • その他、本人の権利または正当な利益が害されるおそれがあるとき

   
   ④ 第三者提供記録の開示請求が可能になった
   本人は原則として、個人情報取扱事業者による保有個人データの第三者提供記録の開示を請求できるようになりました（同法第33条第5項）。

2. （2）オプトアウト方式による第三者提供の制限

   従来の個人情報保護法では、利用目的・項目・方法・停止請求の方法などを本人へ通知し、または本人が容易に知り得る状態に置いた上で、当該事項を個人情報保護委員会に届け出れば、オプトアウト方式※による保有個人データの第三者提供が認められていました。

   ※オプトアウト方式：本人による停止請求がなされるまでは、本人の明示的な同意がなくても保有個人データを第三者へ提供すること

   改正個人情報保護法では、個人情報保護の強化のため、以下の個人データについてオプトアウト方式による第三者提供が禁止されています。（個人情報保護法第27条第2項）。

   • 要配慮個人情報
   • 不正取得された個人データ
   • 他の個人情報取扱事業者からオプトアウト方式により提供を受けた個人データ

3. （3）事業者の義務の強化

   個人情報保護を強化する観点から、改正個人情報保護法では以下の各点につき、個人情報取扱事業者の義務が強化されました。

   ① 個人データの漏えいなどに関する対応
   個人データの漏えい・滅失・毀損（＝漏えいなど）について、従来は個人情報保護委員会への報告が任意とされていました。
   
   改正個人情報保護法では、以下の個人データの漏えいなどが発生、または発生したおそれがある場合には、新たに個人情報保護委員会への報告が義務付けられました（個人情報保護法第26条第1項、同法施行規則第7条）。

   • 要配慮個人情報が含まれている個人データ（高度の暗号化などがなされたものを除く）
   • 不正利用により財産的な被害が生じるおそれがある個人データ
   • 不正な目的をもって漏えいなどが行われたおそれがある個人データ
   • 本人の数が1000人を超える個人データ

   
   また、個人情報保護委員会への報告が義務付けられる漏えいなどについては、原則として本人への通知も義務付けられました（同法第26条第2項）。
   
   ② 個人情報の不適正利用の禁止
   違法または不当な行為を助長し、または誘発するおそれがある方法による個人情報の利用が、明示的に禁止されました（同法第19条）。

4. （4）仮名加工情報・個人関連情報に関する規制の新設

   個人データの適正な利活用を促進する観点から、仮名加工情報・個人関連情報に関する規制が新設されました。

   ① 仮名加工情報
   個人情報に含まれる記述の一部または個人識別符号を削除することで、他の情報と照合しなければ特定の個人を識別できないように加工した情報です（個人情報保護法第2条第5項）。
   
   仮名加工情報は、漏えいなどの報告義務・開示請求・利用停止等請求の対象外となるなど、通常の個人情報に比べて事業者の義務が緩和されています。
   
   ② 個人関連情報
   個人情報・匿名加工情報・仮名加工情報のいずれにも該当しない、個人に関する情報です（Cookieなど。同条第7項）。
   個人情報・仮名加工情報・匿名加工情報に関する規制は適用されませんが、提供先において個人データとして取得することが想定される個人関連情報については、本人の同意が得られていることなどを確認した上で、確認記録の作成・保存を行う必要があります（同法第31条第1項、第30条第2項～第4項）。

上記のほか、令和4年4月に施行された改正個人情報保護法では、以下の変更が行われました。

顧客や従業員などの個人情報（個人データ）を取り扱う事業者は、個人情報保護法改正によるルール変更に対応しなければなりません。特に、昨今では多くの企業がWEBページを用いていてプライバシーポリシーを設定しています。個人方法保護法に違反せず個人情報を第三者に提供するための規定や、個人情報の開示手続など、改正箇所も含めて個人情報保護法に関する措置は、プライバシーポリシーにて行われることが多いので、その作り方などは意識すべき点になります。

対応すべき内容は事業者ごとに異なりますが、最低限以下の事項については対応の要否を確認しましょう。具体的に講ずべき対応の内容については、弁護士にご相談ください。

個人情報保護法は、今後もデジタル社会の進展に合わせたアップデートが想定されます。法改正へタイムリーに対応するためには、顧問弁護士のアドバイスを受けるのがおすすめです。

ベリーベスト法律事務所は、企業法務に関するご相談を随時受け付けております。個人情報保護法を含む法改正へ適切に対応するために、まずはベリーベスト法律事務所にご相談ください。