個人情報保護法の改正
こんにちは。有限会社人事・労務の髙橋です。
今回は2020年6月に施行されました改正個人情報保護法について少し触れていきたいと思います。働き方改革や、このコロナ禍で働き方を変えざるを得ない状況になっている企業も少なくないと思います。特に在宅勤務等のリモートでの業務へのニーズは高まっていると思います。
確かにクラウドツール等の発達で、いつでもどこでも作業ができるようになってきて、場所に縛られない働き方も需要があります。一方で、リモートでの作業が増えれば、外部との情報のやり取りも必然的に増えていきます。また、会社は直接労働者を管理することが難しくなっていくため、事前のルール作りや体制作りが求められることになります。
今回は、個人情報保護法が改正点に触れ、今後どのような情報に対して注意を払わなければならないか確認していきたいと思います。
①「仮名加工情報」(改正法2条9項)の新設
今回の改正で新しく追加された規程です。仮名加工情報とは、個人情報に含まれる一部情報を削除するなどして、他の情報と突合しない限り、特定の個人を照合できないようにした情報を指します。仮名加工情報は過去のある利用目的で取得した個人情報を別の目的で使える等若干の規制緩和があります(改正法35条の2の9項、15条2項)
②個人情報利用の規制(改正法16条の2)
こちらも新設の規程です。個人情報の取扱いだけでなく、利用方法について規制を行うもので、「違法又は不当な行為を助長し、又は誘発するおそれがある方法」での個人情報の利用は認めないとするものです。
③情報漏洩等に対する義務(改正法22条の2)
個人情報を取り扱う事業者が、取り扱う個人データを漏洩し、個人の権利利益が大きく害するおそれがある場合は、個人情報保護委員会に報告義務が発生します(改正法22条の2第1項)。また、本人へも同様の旨を通知しなければなりません(同条2項)。
④オプトアウト方式による第三者提供が一部制限(改正法23条の2)
オプトアウト方式とは、事後的に本人からの求めがあれば停止することを前提に、提供項目等を公表の上、本人の同意なく第三者に情報提供をする方法のことです。改正法により、(1)不正取得された個人データ、②他の事業者からオプトアウト方式で取得した個人データについては、オプトアウト方式で第三者に提供できなくなりました(改正法23条2項)。
⑤個人関連情報規程の創設(改正法26条の2)
情報提供元では個人データには該当しない情報であっても、提供先では個人データとして取得することが想定される情報については、提供先が情報の取得・利用をすることについて本人の同意を得ていることを「提供元が」確認をしなければ、当該業者には情報提供ができなくなります。
⑥個人情報開示請求範囲の拡大
利用停止や消去等の個人の請求権については、法違反の場合だけでなく、個人の権利や正当な利益が害される恐れがある場合にも可能となります(改正法30条5項)。(他、改正法30条1項・16条の2、30条6項など)
他にも、6か月以内消去される短期保存データについても、開示・利用停止の対象となる(改正法2条7項)など、個人の保護される範囲が拡大しています。
⑦罰則の強化
全体として、法違反に対するペナルティが重くなっています。
委員会による命令への違反:「1年以下の懲役又は100万円以下の罰金」(改正法83条)
委員会に対する虚偽報告等:「50万円以下の罰金」(改正法85条)
また、法人に対する罰金刑は最大1億円に引き上げられました(改正法87条)。
全体として、個人の情報の保護をより強く図った改正となっています。リモートでの情報のやり取りも今後増え、管理が難しい側面もあるからこその法改正でしょう。特に、法人に対する罰則規定は大幅に強化されています。
何かあった場合に、会社は知らぬ存ぜぬという訳にいきませんので、しっかりとした管理体制を用意しておく必要があるでしょう。
(執筆:2021.1.25)