令和2年個人情報保護法改正（完）

2021.11.12

2020年の改正個人情報保護法は、原則として2022年4月1日（法定刑引上げは2020年12月12日、法23条2項は2021年10月1日）から施行されます。
改正の主要ポイントは、①個人の権利の強化、②事業者の責務の強化、③事業者による自主的取組の強化、④データ利活用の見直し、⑤罰則の強化、⑥域外適用の拡大です。
今回は③以下についてご説明します。

３．事業者による自主的取組の強化
・民間の認定個人情報保護団体が特定の事業の種類その他業務の範囲に限定した個人情報を対象とする場合も認められるようになりました（47条2項）。

４．データ利活用の見直し
・事業者が個人データには該当しないが提供先において個人データとして取得されることが想定される情報（「個人関連情報」）を第三者に提供する場合は、（原則として提供先が）本人の同意を得ていること等を確認しなければなりません（26条の2）。
・「仮名加工情報」（他の情報と照合しない限り特定の個人を特定できないように個人情報を加工して得た個人に関する情報）（2条9項）及び仮名加工情報である個人データ・保有個人データについては、目的外利用禁止（15条2項）、漏洩等の報告（22条の2）、保有個人データ事項の公表（27条）、保有個人データの開示・訂正・利用停止等（28条乃至34条）の規定が適用されないこととなりました（35条の2第9項）。

５．罰則の強化
・措置命令（42条2項、3項）違反の法定刑が6月以下の懲役又は30万円以下の罰金から1年以下の懲役又は100万円以下の罰金に引き上げられました（83条）。
・報告義務（40条1項、56条）違反の法定刑が30万円以下の罰金から50万円以下の罰金に引き上げられました（85条）。
・法人が83条及び84条に違反した場合は1億円以下の罰金を科されることになりました（87条1項）。


６．域外適用の拡大
・外国にある第三者に個人データを提供するためには、①本人の同意を得ること、②第三者が基準に適合する体制を整備していること、又は③日本と同等の水準の個人情報保護制度を有する外国であることのいずれかが必要です。今回の改正により、①については、同意取得時に所在国の名称・当該外国における個人情報保護制度・移転先が講ずる個人情報保護措置に関する情報を本人に提供しなければならず、②については、移転先における適正取扱の実施状況等の定期的確認及び移転先における適正取扱に問題が生じた場合の対応等の必要な措置をしなければならず、本人の求めに応じて必要な措置に関する情報を提供しなければなりません（24条2項、3項）。
・国内にある者に対する物品役務の提供に関連して国内にある者を本人とする個人情報等を外国において取り扱う事業者も、罰則により担保された報告徴収・命令・立入検査等（40条）の対象となりました（75条）。