「個人情報の保護に関する法律等の一部を改正する法律」が2020年6月12日に公布されました。
まず押さえるべき6つのポイントは次の通りです。
- 個人の権利を強める
- 個人に関するデータの開示方法が、今までは書面のみだったが電磁的方法も可能となる
- 「オプトアウト」の位置づけが弱められる
- 「仮名加工情報」が新設される
- 個人情報を管理する法人に対するペナルティが重くなる
- 外国事業者も日本の個人情報保護法の影響を受ける場合が明記される
目次
位置づけ
平成27年改正個人情報保護法に設けられた「いわゆる3年ごと見直し」に関する規定(附則第12条)に基づき、個人情報保護委員会において、関係団体・有識者からのヒアリング等を行い、実態把握や論点整理等を実施。
自身の個人情報に対する意識の高まり、技術革新を踏まえた保護と利活用のバランス、越境データの流通増大に伴う新たなリスクへの対応等の観点から、今般、個人情報保護法の改正を行い、以下の措置を講ずることとしたもの。
個人情報の保護に関する法律等の一部を改正する法律 2020年 の 内容
1.個人の権利の在り方
- 利用停止・消去等の個人の請求権について、不正取得等の一部の法違反の場合に加えて、個人の権利又は正当な利益が害されるおそれがある場合にも要件を緩和する。
- 保有個人データの開示方法(※)について、電磁的記録の提供を含め、本人が指示できるようにする。
江藤先生
(※)現行は、原則として、書面の交付による方法とされています。
- 個人データの授受に関する第三者提供記録について、本人が開示請求できるようにする。
- 6ヶ月以内に消去する短期保存データについて、保有個人データに含めることとし、開示、利用停止等の対象とする。
- オプトアウト規定(※)により第三者に提供できる個人データの範囲を限定し、①不正取得された個人データ、②オプトアウト規定により提供された個人データについても対象外とする。
江藤先生
(※)本人の求めがあれば事後的に停止することを前提に、提供する個人データの項目等を公表等した上で、本人の同意なく第三者に個人データを提供できる制度です。
2.事業者の守るべき責務の在り方
- 漏えい等が発生し、個人の権利利益を害するおそれがある場合(※)に、委員会への報告及び本人への通知を義務化する。
江藤先生
(※)一定数以上の個人データの漏えい、一定の類型に該当する場合に限定されます。
- 違法又は不当な行為を助長する等の不適正な方法により個人情報を利用してはならない旨を明確化する。
3.事業者による自主的な取組を促す仕組みの在り方
- 認定団体制度について、現⾏制度(※)に加え、企業の特定分野(部門)を対象とする団体を認定できるようにする。
江藤先生
(※)現行の認定団体は、対象事業者のすべての分野(部門)が対象とされます。
4.データ利活用に関する施策の在り方
- イノベーションを促進する観点から、氏名等を削除した「仮名加工情報」を創設し、内部分析に限定する等を条件に、開示・利用停止請求への対応等の義務を緩和する。
- 提供元では個人データに該当しないものの、提供先において個人データとなることが想定される情報の第三者提供について、本人同意が得られていること等の確認を義務付ける。
5.ペナルティの在り方
- 委員会による命令違反・委員会に対する虚偽報告等の法定刑を引き上げる。
江藤先生
(※)
命令違反:6月以下の懲役又は30万円以下の罰金→ 1年以下の懲役又は100万円以下の罰金
虚偽報告等:30万円以下の罰金 → 50万円以下の罰金
- データベース等不正提供罪、委員会による命令違反の罰金について、法人と個人の資力格差等を勘案して、法人に対しては行為者よりも罰金刑の最高額を引き上げる(法人重科)。
江藤先生
(※)個人と同額の罰金(50万円又は30万円以下の罰金) → 1億円以下の罰金
6.法の域外適用・越境移転の在り方
- 日本国内にある者に係る個人情報等を取り扱う外国事業者を、罰則によって担保された報告徴収・命令の対象とする。
- 外国にある第三者への個人データの提供時に、移転先事業者における個人情報の取扱いに関する本人への情報提供の充実等を求める。
