世界的に個人情報保護の規制強化が進む中、日本でも2020年6月、改正個人情報保護法が成立・公布され、今後2年以内に施行されることとなりました。今回の改正では、Cookieの利用時に本人の同意が必要になるなど規制が強化・追加されたと同時に、企業への罰金の上限が引き上げられるなど、ビジネスで個人情報を扱う企業には早急な対応が求められる内容となりました。具体的な法律の運用方法や最低限抑えておくべき改正のポイントを整理しておきましょう。
1) 個人の権利
- 利用停止・消去等の個人の請求権について、従来の「不正取得等の一部の法律違反の場合」に加えて、「個人の権利または正当な利益が害されるおそれがある場合」にも適用されました。
- 保有個人データの開示方法については、従来が原則として書面の交付による方法とされていましたが、改正後は電磁的記録の提供を含め、本人が指示できるようになりました。
- 個人データの授受に関する第三者提供記録について、本人が開示請求できるようになりました。
- 6か月以内に消去する短期保存データについては、保有個人データに含めることとし、開示や利用停止の対象とされました。
- オプトアウト規定により第三者に提供できる個人データの範囲を限定し、①不正に取得された個人データ、②オプトアウト規定により提供された個人データは対象外とされました。
2) 事業者の守るべき責務
- 漏洩が発生し、個人の権利・利益を害するおそれがある場合には、委員会の報告及び本人への通知が義務化されました。
- 違法または不当な行為を助長するなど、不適正な方法により個人情報を利用してはならないことが明確に示されました。
3) データの利活用
- 提供元では個人データに該当しないものの、提供先においては個人データとなることが想定される情報(Cookieなど)の第三者提供については、本人の同意が得られていることを事前に確認しなくてはなら
- ないこととされました。
4) 罰則
- 個人情報保護委員会による命令違反・委員会に対する虚偽報告等の法定刑が以下のとおり、引き上げられました。
- 命令違反:(改正前)6月以下の懲役又は30万円以下の罰金
- (改正後)1年以下の懲役又は100万円以下の罰金
- 虚偽報告等:(改正前)30万円以下の罰金
- (改正後)50万円以下の罰金
5) 法の域外適用・越境移転
- 日本国内にある者に関する個人情報等を取り扱う外国事業者も、罰則対象とされます。
- 外国にある第三者への個人データの提供時に、移転先事業者における個人情報の取り扱いに関する本人への情報提供に努めることが求められます。
政府の個人情報保護委員会では、改正法について具体的な運用方法について、2020年内に政令や規則をまとめることとなっています。改正法への対応を誤ると、企業に最大1億円という巨額の罰金が科されるだけでなく、信用面でも大きなダメージを受けるリスクは避けられません。各企業には、改正法を遵守する体制の速やかな整備が求められます。