改正個人情報保護法 2022 | 中小企業がすべき対策とは

個人情報漏えいの厳罰化を盛り込んだ改正個人情報保護法が、2022年4月に全面施行されました。顧客や従業員の情報を扱う中小企業も、管理体制の見直しが求められます。とるべき対応や注意点について、企業法務に精通する福岡・佐賀の弁護士法人 桑原法律事務所の弁護士が解説します。

*改正は多岐にわたるため、主な項目に絞っています。

個人情報保護法、改正の背景

個人情報保護法（個人情報の保護に関する法律）は企業や団体（NPO、町内会やPTAなども）、行政機関に対し、お客や利用者の個人情報をきちんと扱うよう求める法律です。

内閣府の下に置かれた独立機関である「個人情報保護委員会」が、ガイドラインの策定や監督活動を担っています。

社会情勢をかんがみて3年ごとに見直す定めがあり、2020年公布の改正法が2022年4月、施行されました。

改正の背景には、個人情報に対する意識の高まりや海外での動きがあります。具体例として以下の3事案などが挙げられます。

• EU一般データ保護規則（GDPR）の施行（2018年）：Webサイトの閲覧情報Cookieの規制が強化
• 就職情報サイト「リクナビ」事件（2019年）：予測した内定辞退率を就活生に無断で販売
• 「破産者マップ」事件（2019年）：官報の破産者情報をデータ化してGoogleマップ上に掲載

Cookieとは：Webの訪問者情報を残すファイル

Cookieとはウェブサイトの閲覧に必要なログインIDや閲覧履歴といった情報を、一時的にユーザーのスマホやPCに保存するファイルです。GDPRで規制が強化されて以来、日本語サイトでも「Cookieに同意しますか」というポップアップ表示が広がっています。

ユーザーにとっては、SNSにアクセスするたびにIDやパスワードを入力する手間が省けるといったメリットがあります。通販サイトをいったん閉じても「買い物かご」に選んだ商品が入ったままになっているのもCookieのおかげです。

運営側にとっては、サイト分析や広告の配信などに活用できる情報です。

Cookieは条件によっては個人が特定できる個人情報になりえるため、世界的に扱いが厳しくなってきました。

「リクナビ」事件ではCookieを利用して、個人を特定しないデータを企業に販売していました。ただし、企業側で個人が特定できると知りながら学生の同意を得ず、企業に提供していたのが問題となりました。

個人情報とは：生存する個人が特定できる情報

個人情報とは「生存する個人に関する情報」で、氏名や生年月日などによって特定の個人と分かるものをさします。

個人識別符号と呼ばれる下記の情報も「個人情報」です。「その情報だけで特定の個人を識別できる番号や記号など」をさします。

• 身体の一部の特徴をデータ処理できるよう変換したもの：顔やDNA、指紋
• 公的な番号：パスポートや基礎年金番号、マイナンバーなど

上記に挙げたデータを扱う企業や団体は「個人情報取扱事業者」です。事業規模や営利・非営利、取り扱う情報量にかかわらず、すべての事業者が対象です。

個人の顧客データはもちろん従業員の情報、取引先の名刺なども「個人情報」に含まれます。

それでは今回の改正で、中小企業にも影響すると思われる点を紹介します。

主な改正①：漏えい時の報告・本人通知の義務化

重大な個人情報が漏えいした場合に、個人情報保護委員会への報告と本人への通知が義務付けられました。

報告が必要な漏えいなどは、下記のおそれがある場合です。

1. 犯罪履歴や障がい、病歴といった「要配慮個人情報」が含まれる
2. 個人の財産に被害が生じる
3. 乗っ取りなどの不正アクセス
4. 1,000人を超える個人情報

主な改正②：Cookieなどの第三者提供の制限

新設されたのが、改正の背景にあるようなCookieなどの「個人関連情報」についての規制です。

個人関連情報にはCookieのほか、IPアドレス、個人の商品購入やサービス利用の履歴、位置情報なども該当します。

これらの個人関連情報について、提供元では個人データに該当しないものの、第三者（提供先）にわたると個人データになりうる場合は、本人同意が得られていることの確認が義務付けられました。

たとえば提供先が、自身が持つ個人データにIDなどでひもづけ、個人が特定できるようになれば「個人データ」にあたります。

本人の同意を求めるのは、基本的に提供先になります。

ウェブサイトでの同意は「明示的に」行われる必要があります。単にウェブに掲載するだけでは足りず、「同意する」ボタンにチェックやクリックを求めるといった方法です。

主な改正③：本人の権利が拡大

利用停止・消去など請求権の拡充

改正前は利用停止や消去を求められるのは、目的外での使用や不正な取得の場合に限られていました。

改正で請求できるようになったのは、下記のような事例です。

• 個人データを利用する必要がなくなった：一時的なキャンペーン応募のために登録した情報など
• 重大な漏えいの発生：クレジットカード番号を含む個人データの漏えいや、不正アクセスによる漏えいなど
• 本人の権利または正当な利益が害される：退職した社員の写真を自社ウェブに掲載し続ける

安全管理対策など公表・開示の範囲が拡大

個人情報を安全に管理するための対策について、ウェブサイトなどでの公表が義務化されました。本人が把握できるようにするためです。

改正により新たに開示請求できるようになったのは以下などです。

• 6か月以内に消去するデータ
• 個人データの授受に関する第三者への提供記録

開示の方法はこれまで原則、書面でしたが、改正後はウェブからのダウンロードなど、本人が指示できるようになりました。

主な改正④：罰則の強化

改正により、違反した場合の法定刑が引き上げられました。個人情報保護委員会の命令に従わない、虚偽の報告をしたなどの場合、以下の罰則が課される可能性があります。

改正後の法定刑

• 個人情報保護委員会からの命令への違反
  行為者：1年以下の懲役または100万円以下の罰金
  法人等：1億円以下の罰金
• 個人情報データベース等の不正提供等
  行為者：1年以下の懲役または50万円以下の罰金
  法人等：1億円以下の罰金
• 個人情報保護委員会への虚偽報告等
  行為者：50万円以下の罰金
  法人等：50万円以下の罰金

中小企業がとるべき対策とは

中小企業が取るべき対策のポイントは主に下記の3点です。

漏えい対策

万が一漏えいなどした場合に備えて、報告や通知の手順を整えておきましょう。

個人情報保護委員会への報告は速報（3～5日以内）と確報（30日以内。不正アクセスの場合は60日以内）の2回が求められています。

開示請求への対策

本人が開示請求する手続きについてウェブなどで公表し、請求があればすぐ対応できるような体制づくりも大切です。担当者を決めておきましょう。

自社で個人関連情報を取得している場合は、第三者へ提供しているか確認しましょう。

Q.Cookie対策で、自社サイトに同意ボタンは設置する必要がありますか。

A.
デジタルマーケティングを活用している会社などは、対策が必要な場合もあります。

Cookie情報を提供した先（提供する第三者）で個人情報とのひもづけが想定される場合、本人同意が必要となり「同意する」ボタンをクリックしてもらう必要があります。「第三者」には子会社やグループ会社、フランチャイズ本部と加盟店なども含まれます。

ログイン認証のないウェブサイトでのターゲティング広告であれば、特定の個人を識別しないため、提供先での個人データ化にはあたりません。そのため本人同意は不要です。

個人情報保護委員会のガイドラインはこちら

ご不明点があれば、ぜひ弁護士にご相談ください。

企業法務ニュースレターのお申込みはこちら

※本記事は、公開日時点の法律や情報をもとに執筆しております。