「個人情報保護法」（正式名称「個人情報の保護に関する法律」）が改正され、2022年4月に施行されました。

どこが改正されたのか、これからそのポイントをみていきたいと思います。

ところで「個人情報保護法」は、昨今の社会情勢の急激な変化を踏まえて、平成27年に設けられた「いわゆる3年ごと見直し」に関する規定に基づき、見直しを進めてきました。

今回の改正は、その3年ごとの見直しのなかで行われたものとなります。

 

「個人情報保護法」の改正ポイント

今回の改正のポイントは大きく分けて、６つです。

※https://www.ppc.go.jp/files/pdf/200612_gaiyou.pdf

個人情報保護委員会「個人情報の保護に関する法律等の一部を改正する法律（概要）」より引用。

 

• 個人の権利の在り方
• 事業者の守るべき責務の在り方
• 事業者による自主的な取組を促す仕組みの在り方
• データ利活用に関する施策の在り方
• ペナルティの在り方
• 法の域外適用・越境移転の在り方

 

今回はそのうちの特に１．個人の権利の在り方について、詳しくみていきたいと思います。

 

改正ポイント１「個人の権利の在り方」について

タイトルの通り、改正ポイント１．個人の権利の在り方は、個人の権利に焦点をあてました。

今回の改正で、個人の権利を保護する動きがより強化されたのです。

では、どのように強化されたのでしょうか？

大きく５つに分けて説明していきたいと思います。

 

• 利用停止・消去の請求ができる場面が増えた！

これまで「保有個人データ」の利用停止・消去を本人が請求できるのは、個人情報取扱事業者が法違反を犯した場合が主流でした。

例えば、「保有個人データ」を目的外利用したときや、不正に取得した場合等です。

しかし改正後は、請求できる場面がさらに増えました。

具体的には、個人情報取扱事業者が「保有個人データ」を利用しなくなったときや、「保有個人データ」の漏えいがあったときに請求できることとなりました。

また、これまでのように明らかな違反があった場合だけでなく、本人の権利又は正当な利益が害されるおそれがあるときにも、請求できるようになりました。

ただし、個人情報取扱事業者が利用停止・消去することが困難な場合や、本人の権利を守るための代替措置が取られている場合には、利用停止・消去しなくてもよい旨定められています。

 

• 開示請求するとき、書面交付方法以外を指定できるようになった！

本人は「保有個人データ」について、個人情報取扱事業者に開示を求めることができます。

旧法ではその開示方法が、書面の交付のみでした。

しかし今回の改正により、本人が指定した方法（例えばメール提供等）によって開示してもらうことが可能となりました。

そもそも情報量がたくさんある場合に書面を交付することはナンセンスです。

また、動画などで保存されている場合、書面交付ができません。

そこで、書面交付方法以外で開示を受けることができるようにしました。

ただし、本人が指定した方法が、個人情報取扱事業者にとって多額の費用を要するなど負担が大きい場合、指定方法ではなく従来通り書面で交付することも認められています。

 

• 第三者提供記録を本人が開示請求できるようになった！

そもそも第三者提供記録とは、個人情報取扱事業者が、「保有個人データ」を第三者に提供するときに作成する記録のことです。

この記録は、提供する側も情報を受け取る側も両者が作成しなければなりません。

この第三者提供記録は、旧法のもとでは、本人は開示請求することができませんでした。

本人又は第三者の生命や身体などに危害が及ぶおそれがある場合は開示請求できない等、改正後も一部開示できない例外のケースはありますが、基本的には、本人が第三者提供記録を開示請求することができるようになりました。

 

• 短期保存データが「保有個人データ」に含まれることになった！

旧法では、6ヵ月以内に消去される保存データは、「保有個人データ」に含まれないとされていました。

そもそも個人情報を取り扱う事業者は、「保有個人データ」について、本人への開示・訂正・利用停止に応じる義務を負います。

つまり、これまで6ヵ月以内に消去される保存データは、これらの義務が生じなかったことになります。

しかし、6ヵ月以内に消去される保存データであっても、消去されるまでの間に漏えいが発生する可能性も十分にあります。

そこで、今回の改正では、6ヵ月以内に消去する保存データについて、「保有個人データ」に含めることとし、開示・訂正・利用停止等の対象とすることにしました。

 

• 「オプトアウト」方式が使えない「保有個人データ」が増えた！

「オプトアウト」について、まずは簡単に説明します。

「保有個人データ」を第三者に提供する際、本来は本人の同意が必要になります。

しかし、「オプトアウト」方式を使うことによって、本人からの同意は不要となります。

（ただし、本人が「止めてください」と請求したときは、第三者提供をやめなければなりません。）

この「オプトアウト」方式を使うためには、プライバシーポリシーなどに必要な事項を記載して公表したり、個人情報保護委員会に事前に届出をしたりしなければなりません。

このような便利な「オプトアウト」方式でも、「要配慮個人情報」は提供することができません。

そして今回の改正により、「オプトアウト」方式が使えない「保有個人データ」が「要配慮個人情報」にとどまらず、さらに増えることとなりました。

例えば、不正な手段で取得された個人情報は「オプトアウト」方式で第三者に提供することができません。

また、そもそも「オプトアウト」方式による第三者提供の方法によって取得した「保有個人データ」も、「オプトアウト」方式が使えなくなりました。

 

以上、１．個人の権利の在り方から改正ポイントを具体的にみていきました。

今回の改正がされたことで、本人の権利保護がより強化されたことがわかるのではないでしょうか。