個人情報保護法改正は関係あるか？

2022年4月1日、個人情報保護法が改正します。

自社に関係はあるのか？？

個人情報保護法改正のポイント

１．個人情報の本人に対する権利強化

• 6か月以内に消去されるデータであっても保有個人データとなった
• 保有個人データの開示が書面から原則本人の請求した方法で開示になった
• 個人情報の利用停止、消去請求、第三者提供の停止請求できる場面が増えた

　今までは目的外利用、不正に入手したもの、本人の同意なく第三者に提供した場合などであったが、

• 個人情報取扱事業者が利用する必要がなくなった
• 保有個人データの漏洩等が生じた
• 保有個人データの取り扱いにより本人の権利・利益が害されるおそれ

と言った場合も停止できるようになりました。

２．事業者の責務が追加

• 個人データの漏洩時に個人情報保護委員会へ報告義務
• 違法・不当な行為を助長・誘発するおそれがある方法による個人情報の利用禁止

３．企業の特定分野を対象とする短大の認定団体制度が親切

今回の改正で、対象事業者の特定の「事業の種類その他業務の範囲」に限定した個人情報の取扱いを対象とする団体を認定することが可能となりました。

４．データの利活用が促進

• 仮名加工情報について義務を緩和
• 提供先で個人データとなることが想定できる場合の確認義務

今までは仮名加工した個人データも個人情報として取り扱われていましたが、他のデータと照合して個人を特定できなければ個人情報としての取り扱い義務が免除されます。

つまり、アンケート（無記名・連絡先無し）や統計に加え名前や連絡先を仮にしたものも個人情報として該当しなくなりました。

ただし、提供元で個人が特定できなくても提供先で特定できてしまうものは、個人情報としてあつかわなければいけません。

例えば、cookie情報など行動データと照らし合わせて個人が特定できる場合は個人名がなくとも個人情報となります。

５．罰則強化

• 各罰則の強化（6か月以下の懲役→1年以下の懲役、30万円以下の罰金→100万円以下の罰金、など）
• 法人への罰則強化（最大1億円の罰金）

６．外国の事業者に対する報告徴収・立入検査などの罰則が追加

個人情報とは？

個人を特定できる情報は個人情報となります。

• 既に公開されているものでも個人情報
• 電話番号や住所だけでは個人情報ではなくても、他のデータと照合して個人が特定できれば個人情報
• 映像や音声なども個人が特定できなければ個人情報ではない
• 法人など団体情報は個人情報ではない
• 統計情報も個人情報ではない

個人情報取扱事業者とは？

個人情報を会社運営のために使用する事業者は「個人情報取扱事業者」となります。

• 個人情報取扱いは何件以上という規定はない（1件でも個人情報）
• 顧客だけが個人情報ではない（社員・パートの情報・名簿も個人情報）

つまり、顧客データを持たない企業でも、従業員が1名でも在籍すれば「個人情報取扱事業者」となります。

個人の顧客で郵送先を教えてもらったら個人情報取扱となります。

個人情報保護法改正による影響

漏洩等の問題はもちろん社会的責任を取る必要があります。

漏洩等の問題が起きた際に報告、措置命令等の遵守などをしっかり行えば罰則は基本的にありません。

一番大事なことは、個人情報とそれ以外の情報の線引きを正しくすることです。

なんでも厳重扱いにして動きが遅くなったり、やれることを制限したり、手間を増やすことは誰にもメリットはありません。

逆に社員やアルバイトの名簿や振込先情報などを雑な扱い、例えば机に放置したり、誰でも見れる棚にファイルしたりしている会社やお店も多く見受けられます。

今回の改正をきっかけに運用を見直してみてください。