令和2年個人情報保護法改正（その1）

2021.10.4

2020年の改正個人情報保護法は、原則として2022年4月1日（法定刑引上げは2020年12月12日、法23条2項は2021年10月1日）から施行されます。
改正の主要ポイントは、①個人の権利の強化、②事業者の責務の強化、③事業者による自主的取組の強化、④データ利活用の見直し、⑤罰則の強化、⑥域外適用の拡大です。
今回は①と②についてご説明します。

１．個人の権利の強化
・本人が事業者に対して個人データの利用停止・消去を請求できる場合として、目的外使用・不正取得の場合（16条、17条）に加えて、不適正利用禁止違反の場合（16条の2）、利用する必要がなくなった場合、重大な漏洩等が発生した場合（22条の2第1項）及び本人の権利又は正当な利益が害されるおそれがある場合が追加されました（30条1項、5項）。
・事業者から第三者に対する個人データの提供の停止を請求できる場合として、第三者提供義務違反の場合（30条3項）に加えて、利用する必要がなくなった場合、重大な漏洩等が発生した場合（22条の2第1項）及び本人の権利又は正当な利益が害されるおそれがある場合が追加されました（30条5項）。
・但し、多額の費用を要する等の理由で利用停止・消去・第三者提供停止が困難な場合において、事業者が本人の権利利益を保護するために必要な代替措置を講じるときは、この限りではありません（30条6項）。
・本人が事業者に対して保有個人データの開示を請求できる方法として、書面の交付に加えて、電磁的記録（CD-ROM、電子メール、ウェブサイト等）の提供によることも可能となりました（28条1項）。但し、多額の費用を要する等の理由で電磁的記録の提供によることが困難な場合は、この限りではありません（28条2項）。
・本人への開示・訂正・利用停止等の対象となる「保有個人データ」には6ヶ月以内に消去することとなるものが除外されていましたが、6ヶ月以内に消去されることとなる短期保有データも保有個人データに含まれることになりました（2条7項）。
・第三者提供記録（個人データの第三者提供の際に提供する側と提供される側で作成する記録（25条1項、26条3項））についても、公益その他の利益が害される場合（施行令9条）を除き、本人による開示請求の対象になりました（28条5項）。
・オプトアウト規定(*)により第三者に提供できる個人データから、要配慮個人情報、不正取得された個人データ及びオプトアウト規定により提供された個人データが除外されました（23条2項）。
(*)本人の求めがあれば事後的に停止することを前提に、提供する個人データの項目等を公表等した上で、本人の同意なく第三者に個人データを提供できる制度。

２．事業者の責務の強化
・個人データの漏洩等が発生し個人の権利利益を害するおそれが大きい場合(*)は、事業者は個人情報保護委員会に報告し、且つ本人に通知しなければなりません（22条の2第1項）。但し、本人に対する通知については、通知が困難な場合において事業者が本人の権利利益を保護するために必要な代替措置を講じるときは、この限りではありません（22条の2第2項）。また、事業者が個人データの取扱の委託を受けた場合において事業者が個人データの漏洩等を委託者に通知したときは、この限りではありません（22条の2第1項）。
(*)要配慮個人情報の漏洩等、財産的被害のおそれのある漏洩等、不正目的によるおそれのある漏洩等、1000件を超える漏洩等又はそれらのおそれ（施行規則6条の2）
・事業者の個人情報を適正に取得する義務（17条）に加えて、違法又は不当な行為を助長し又は誘発するおそれがある方法による個人情報の利用（「不適正利用」）が禁止されました（16条の2）。
・事業者が公表しなければならない事項として、安全管理のために講じた措置(*)が追加されました（27条1項4号）。
(*)組織的安全管理措置、人的安全管理措置、物理的安全管理措置、技術的安全管理措置、外的環境の把握等（施行令8条1号）