改正個人情報保護法が，2022年4月1日から施行されます。

近年，「内定辞退率」の提供サービスをめぐる「リクナビ問題」や業務委託先の中国の関連会社の従業員が国内の個人情報データにアクセス可能な状態であったり，データを海外で保管していたことなどを利用者に十分説明していなかった「ＬＩＮＥ問題」などが報道を賑わし，個人情報に対する意識が高まっています。

 

今回の改正の内容は多岐に渡りますが，次のような改正がされています。

１．個人本人の請求権が拡充

２．漏えい時の報告義務など事業者の責務が追加

３．新たな情報類型の創設（仮名加工情報・個人関連情報）によるデータの利活用の促進

 

この内，個人情報取扱い事業者にとって規制の強化となる１．と２．について解説します。

 

１．個人本人の請求権の拡充

本人の請求権が拡充する裏返しとして，それに対応する事業者の対応事項が増えることになります。

(1) 利用停止・消去等請求の要件の緩和

本人が事業者に対し，「保有個人データ」の利用停止・消去請求できるのは，①個人情報を目的外利用したときと，②不正の手段により個人情報を取得したときに限られており，また第三者の提供の停止請求ができるのは，①本人の同意なく第三者提供した場合と②本人の同意なく外国にある第三者に提供した場合に限られていました。

今回の改正では，これに加えて，①事業者が，保有個人データを利用する必要がなくなったとき，②保有個人データの重大な漏えい等が生じたとき，③保有個人データの取扱いにより，本人の権利又は正当な利益が害されるおそれがあるときにも，利用停止・消去・第三者提供の停止を請求できるようになりました。

(2) 開示方法の指示

本人は，事業者に対し，保有個人データの開示請求ができますが，従前は，原則として，書面の交付によるとされていました。しかし，情報量が膨大であったり，動画や音声データのように，そもそも書面による交付に適さないデータもあることから，電磁的記録の提供など，本人が方法を指示できるようになり，事業者は指示された方法により開示する義務を負うことになりました。

(3) 第三者提供記録の開示請求

事業者は，個人データを第三者に提供する際と，個人データの第三者提供を受ける際に記録を作成する必要がありましたが，本人はこの第三者提供記録の開示請求はできませんでした。改正により本人が第三者提供記録についても，開示請求できるようになりました。

(4) 短期保存データの開示等請求

６ヶ月以内に消去する短期保存データについて，従前は保有個人データに含まれないとされていましたが，短期間で消去されるデータでも，漏えい等が発生すれば，瞬時に拡散し，本人によっては修復困難な損害が生じる可能性もあることから，改正法では保有個人データに含めることとなりました。

これによって，事業者は，短期保有データについても，開示義務・訂正義務・利用停止に応じる義務を負うことになります。

 

２．漏えい時の報告義務など事業者の責務が追加

従前は個人情報の漏えい時に報告義務などはありませんでしたが，今回の改正法により次の場合には個人情報保護委員会への報告と本人への通知が原則義務化されました。

①要配慮個人情報の漏えい等

②財産的被害が発生するおそれがある漏えい等（クレジットカード番号，ネットバンキングのID・パスワード等）

③不正の目的によるおそれがある漏えい等（不正アクセス，盗難，内部不正等）

④1000件を超える漏えい等

 

改正法の一部についてご紹介しましたが，個人情報保護委員会のサイトで改正個人情報保護法対応チェックポイントなども公開されていますので，ご確認ください。

弁護士　岡本　成史