業務・試験対策

MEASURES

試験で出題されそうな改正個人情報保護法ポイント

【個人情報保護法「令和2年改正」ポイント】「令和3年5月7日,個人情報保護委員会記事一部引用」

令和2年改正 令和4年4月全面施行

いわゆる3年ごと見直しに基づく改正

利用停止・消去等の拡充、不適正利用の禁止、越境移転に係る情報提供の充実、「仮名加工情報」の創設等

個人の権利利益の保護と活用の強化

越境データの流通増大に伴う新たなリスクへの対応

AI・ビッグデータ時代への対応等


【令和2年改正法の概要】

1.個人の権利の在り方

• 利用停止・消去等の個人の請求権について、一部の法違反の場合に加えて、個人の権利又は正当な利益が害されるおそれがある場合にも拡充する。

• 保有個人データの開示方法(現行、原則、書面の交付)について、 電磁的記録の提供を含め、本人が指示できるようにする。

• 個人データの授受に関する第三者提供記録について、本人が開示請求できるようにする。

• 6ヶ月以内に消去する短期保存データについて、保有個人データに含めることとし、開示、利用停止等の対象とする。

• オプトアウト規定(※)により第三者に提供できる個人データの範囲を限定し、①不正取得された個人データ、②オプトアウト規定により提供された個人データについても対象外とする。

(※)本人の求めがあれば事後的に停止することを前提に、提供する個人データの項目等を公表等した上で、本人の同意なく第三者に個人データを提供できる制度。


2.事業者の守るべき責務の在り方

• 漏えい等が発生し、個人の権利利益を害するおそれが大きい場合(※)に、委員会への報告及び本人への通知を義務化する。

(※)一定の類型(要配慮個人情報、不正アクセス、財産的被害)、一定数以上の個人データの漏えい等

• 違法又は不当な行為を助長する等の不適正な方法により個人情報を利用してはならない旨を明確化する。


3.事業者による自主的な取組を促す仕組みの在り方

• 認定団体制度について、現行制度(※)に加え、企業の特定分野(部門)を対象とする団体を認定できるようにする。

(※)現行の認定団体は、対象事業者の全ての分野(部門)を対象とする。


4.データ利活用の在り方

• 氏名等を削除した「仮名加工情報」を創設し、内部分析に限定する等を条件に、開示・利用停止請求への対応等の義務を緩和する。

• 提供元では個人データに該当しないものの、提供先において個人データとなることが想定される情報の第三者提供について、本人同意が得られていること等の確認を義務付ける。


5.ペナルティの在り方

• 委員会による命令違反・委員会に対する虚偽報告等の法定刑を引き上げる。

• 命令違反等の罰金について、法人と個人の資力格差等を勘案して、法人に対しては行為者よりも罰金刑の最高額を引き上げる(法人重科)。


6.法の域外適用・越境移転の在り方

• 日本国内にある者に係る個人情報等を取り扱う外国事業者を、罰則によって担保された報告徴収・命令の対象とする。

• 外国にある第三者への個人データの提供時に、移転先事業者における個人情報の取扱いに関する本人への情報提供の充実等を求める。



【個人情報保護法「令和3年改正」ポイント】「令和3年5月7日,個人情報保護委員会記事一部引用」

令和3年改正案 公布後1年以内施行 (地方部分は公布後2年以内施行)

個人情報保護制度の官民一元化

官民通じた個人情報の保護と活用の強化

学術研究に係る適用除外規定の見直し等


【個人情報保護制度見直しの全体像】

① 個人情報保護法、行政機関個人情報保護法、独立行政法人等個人情報保護法の3本の法律を1本の法律に統合するとともに、地方公共団体の個人情報保護制度についても統合後の法律において全国的な共通ルールを規定し、全体の所管を個人情報保護委員会に一元化。

② 医療分野・学術分野の規制を統一するため、国公立の病院、大学等には原則として民間の病院、大学等と同等の規律を適用。

③ 学術研究分野を含めたGDPRの十分性認定への対応を目指し、学術研究に係る適用除外規定について、一律の適用除外ではなく、義務ごとの例外規定として精緻化。

④ 個人情報の定義等を国・民間・地方で統一するとともに、行政機関等での匿名加工情報の取扱いに関する規律を明確化。