【2022年4月1日施行】企業が押さえておきたい個人情報保護法改正の全体像

平成27年改正個人情報保護法では、3年ごとに必要に応じて個人情報保護法の改正その他必要な措置を実施することとされています。その規定を踏まえて、「個人情報の保護に関する法律等の一部を改正する法律」（令和2年法律第44号：令和2年改正個人情報保護法）が2020年6月12日に公布、2022年4月1日に施行されました。本改正は、個人の権利利益の保護、技術革新の成果による保護と活用の強化などの観点から行われたものです。本記事では、令和2年改正個人情報保護法の全体観と、そもそも個人情報保護法制とは何かについて、法律事務所ZeLoの塚本菜那子弁護士が解説します。

#ジェネラル・コーポレート

GENERAL-CORPORATE

PROFILE

弁護士、データビジネス部門統括

塚本菜那子

プロフィール

記事・動画一覧

2010年東京大学教養学部卒業、2013年東京大学法科大学院修了。2014年司法試験合格。2015年弁護士登録（現在は第二東京弁護士会所属）、同年弁護士法人名古屋総合法律事務所入所。2018年カシオ計算機株式会社入社。カシオ計算機では法務部において、契約審査、競争法コンプライアンス業務、新規事業立ち上げ等を担当。2021年法律事務所ZeLo参画。主な取扱分野はジェネラル・コーポレート、訴訟・紛争解決、データ保護、ベンチャー・スタートアップ法務など。

個人情報保護法制とは
- 個人情報保護法とは
- 個人情報保護法制の関係
令和2年改正個人情報保護法とは
令和2年改正個人情報保護法の全体像
整備後の改善で体制をブラッシュアップ

個人情報保護法制とは

個人情報保護法とは

個人情報保護法とは、「利用者や消費者が安心できるように、企業や団体、国の行政機関等に個人情報をきちんと大切に扱ってもらった上で、有効に活用できるよう共通のルールを定めた法律」です（「民間事業者向け個人情報保護法ハンドブック」（個人情報保護委員会）（2022年4月発行）1頁。）。

（目的）
第一条　この法律は、デジタル社会の進展に伴い個人情報の利用が著しく拡大していることに鑑み、個人情報の適正な取扱いに関し、基本理念及び政府による基本方針の作成その他の個人情報の保護に関する施策の基本となる事項を定め、国及び地方公共団体の責務等を明らかにし、個人情報を取り扱う事業者及び行政機関等についてこれらの特性に応じて遵守すべき義務等を定めるとともに、個人情報保護委員会を設置することにより、行政機関等の事務及び事業の適正かつ円滑な運営を図り、並びに個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであることその他の個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする。
個人情報の保護に関する法律　1条

個人情報保護法制の関係

個人情報保護に関する法律・ガイドラインの体系イメージは、本記事執筆時点（2022年11月）では次のとおりです。

出典：個人情報保護委員会「個人情報保護に関する法律・ガイドラインの体系イメージ」（2022年11月18日最終閲覧）より引用

以降、本記事では、個人情報保護に関する法令・ガイドラインについて、次のように略称で記載します。

・個人情報保護法：「個人情報の保護に関する法律」（平成15年法律第57号）
・個人情報保護法施行令：「個人情報の保護に関する法律施行令（平成15年政令第507号）
・個人情報保護法施行規則：「個人情報の保護に関する法律施行規則」（平成28年個人情報保護委員会規則第3号）
・平成27年改正個人情報保護法：「個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律」（平成27年法律第65号）
・令和2年改正個人情報保護法：「個人情報の保護に関する法律等の一部を改正する法律」（令和2年法律第44号）
・令和3年改正個人情報保護法：「デジタル社会の形成を図るための関係法律の整備に関する法律」（令和3年法律第37号）（50条・51条の規定に限る）

令和2年改正個人情報保護法とは

これまでの経緯

「個人情報の保護に関する法律」（平成15年法律第57号）は、2003年5月に成立し、2005年4月に全面施行されました。その後、情報通信技術の発展により、制定当時には想定されなかったパーソナルデータの利活用が可能となったことから、平成27年改正個人情報保護法が2015年9月に成立し、2017年5月に全面施行されました。

いわゆる3年ごと見直し規定とは

平成27年改正個人情報保護法では、社会・経済情勢の変化、情報通信技術の進展が著しいことから、施行後3年を目途として制度を見直す「いわゆる3年ごと見直し」規定が設けられています（平成27年改正個人情報保護法附則12条）

令和2年改正個人情報保護法の公布日・施行日

令和2年改正個人情報保護法は、「いわゆる3年ごと見直し」規定に基づく初めての法改正で、2020年6月12日に公布、2022年4月1日に施行されました。

令和2年改正個人情報保護法の見直しにあたっての5つの視点

令和2年改正個人情報保護法は、自身の個人情報に対する意識の高まり、技術革新を踏まえた保護と利活用のバランス、越境データの流通増大に伴う新たなリスクへの対応などの観点から、法改正が行われたものです（個人情報保護委員会「個人情報の保護に関する法律等の一部を改正する法律（概要）」（2020年6月））。

令和2年個人情報保護法改正にあたって、個人情報保護委員会では、個人情報保護をめぐる国内外の政策、技術、産業等の状況等についての実態把握や、様々な分野の方からのヒアリング等を通じて、具体的な検討を進めていました（個人情報保護委員会「令和2年改正個人情報保護法について」（2022年11月18日最終閲覧））。いわゆる3年ごと見直しの内容を取りまとめた「個人情報保護法　いわゆる3年ごと見直し　制度改正大綱」（2019年12月13日公表）には、以下のように「見直しにあたっての5つの視点」が記載されています。

①個人の権利利益の保護
情報を提供する個人の、自らの情報の取扱いに対する関心や、関与への期待が高まっており、個人情報保護法1条の目的に掲げている「個人の権利利益を保護」するために必要十分な措置を整備することに配意する。
②技術革新の成果による保護と活用の強化
平成27年改正個人情報保護法で特に重視された保護と利用のバランスをとることの必要性は、引き続き重要であり、個人情報や個人に関連する情報を巡る技術革新の成果が、経済成長等と個人の権利利益の保護との両面で行き渡るような制度を目指す。
③国際的な制度調和と連携
デジタル化された個人情報を用いる多様な利活用が、グローバルに展開されており、国際的な制度調和や連携に配意する。
④越境データの流通増大に伴う新たなリスクへの対応
海外事業者によるサービスの利用や、国境を越えて個人情報を扱うビジネスの増大により、個人が直面するリスクも変化しており、これに対応する。
⑤AI・ビッグデータ時代への対応
AI・ビッグデータ時代を迎え、個人情報の活用が一層多岐にわたる中、本人があらかじめ自身の個人情報の取扱いを網羅的に把握することが困難になりつつある。このような環境の下で、事業者が個人情報を取り扱う際に、本人の権利利益との関係で説明責任を果たしつつ、本人の予測可能な範囲内で適正な利用がなされるよう、環境を整備していく。
出典：個人情報保護委員会「個人情報保護法いわゆる3年ごと見直し制度改正大綱」（2019年12月）に基づき筆者加工

令和2年改正個人情報保護法の全体像

令和2年改正個人情報保護法では、次のような措置を講ずることとしています。主な内容としては、個人の権利の強化、事業者の守るべき責務、事業者による自主的な取組みを促す仕組み、データの利活用の促進、ペナルティの強化が挙げられます。

出典：個人情報保護委員会「個人情報の保護に関する法律等の一部を改正する法律（概要）」（2020年6月）より引用

本記事では、上記のうち、企業の守るべき責務である「個人データ漏えい等の報告・本人通知の義務化」について解説します。

令和2年改正個人情報保護法では、次のような措置を講ずることとしています。

分類	テーマ
個人の権利の強化	・利用停止・消去等の請求権・保有個人データの開示方法・第三者提供記録の開示・短期保存データの開示等対象化・オプトアウト規定の強化
事業者の守るべき責務	・漏えい報告・本人通知の義務化・不適正な方法による個人情報の利用の禁止
事業者による自主的な取組みを促す仕組み	・認定個人情報保護団体制度の充実・保有個人データに関する公表事項の追加
データの利活用の促進	・仮名加工情報の新設・公益目的に係る例外規定の運用の明確化・個人関連情報の新設
法の域外適用・越境移転	・域外適用の範囲の拡大・越境移転に係る情報提供の充実
ペナルティの強化	・法定刑・罰金額の上限の引き上げ