MENU
お問合せ

LEGAL COLUMN

法律コラム

公開日:2022.03.17 最終更新日:2022.09.21

CASE

  • 法律コラム
  • 企業法務

改正個人情報保護法 2022 | 中小企業がすべき対策とは

目次CONTENTS

個人情報漏えいの厳罰化を盛り込んだ改正個人情報保護法が、2022年4月に全面施行されました。顧客や従業員の情報を扱う中小企業も、管理体制の見直しが求められます。とるべき対応や注意点について、企業法務に精通する福岡・佐賀の弁護士法人 桑原法律事務所の弁護士が解説します。

*改正は多岐にわたるため、主な項目に絞っています。

改正個人情報保護法

個人情報保護法、改正の背景

個人情報保護法(個人情報の保護に関する法律)は企業や団体(NPO、町内会やPTAなども)、行政機関に対し、お客や利用者の個人情報をきちんと扱うよう求める法律です。

内閣府の下に置かれた独立機関である「個人情報保護委員会」が、ガイドラインの策定や監督活動を担っています。

社会情勢をかんがみて3年ごとに見直す定めがあり、2020年公布の改正法が2022年4月、施行されました。

改正の背景には、個人情報に対する意識の高まりや海外での動きがあります。具体例として以下の3事案などが挙げられます。

  • EU一般データ保護規則(GDPR)の施行(2018年):Webサイトの閲覧情報Cookieの規制が強化
  • 就職情報サイト「リクナビ」事件(2019年):予測した内定辞退率を就活生に無断で販売
  • 「破産者マップ」事件(2019年):官報の破産者情報をデータ化してGoogleマップ上に掲載

Cookieとは:Webの訪問者情報を残すファイル

Cookie

Cookieとはウェブサイトの閲覧に必要なログインIDや閲覧履歴といった情報を、一時的にユーザーのスマホやPCに保存するファイルです。GDPRで規制が強化されて以来、日本語サイトでも「Cookieに同意しますか」というポップアップ表示が広がっています。

ユーザーにとっては、SNSにアクセスするたびにIDやパスワードを入力する手間が省けるといったメリットがあります。通販サイトをいったん閉じても「買い物かご」に選んだ商品が入ったままになっているのもCookieのおかげです。

運営側にとっては、サイト分析や広告の配信などに活用できる情報です。

Cookieは条件によっては個人が特定できる個人情報になりえるため、世界的に扱いが厳しくなってきました。

「リクナビ」事件ではCookieを利用して、個人を特定しないデータを企業に販売していました。ただし、企業側で個人が特定できると知りながら学生の同意を得ず、企業に提供していたのが問題となりました。

個人情報とは:生存する個人が特定できる情報

個人情報とは

個人情報とは「生存する個人に関する情報」で、氏名や生年月日などによって特定の個人と分かるものをさします。

個人識別符号と呼ばれる下記の情報も「個人情報」です。「その情報だけで特定の個人を識別できる番号や記号など」をさします。

  • 身体の一部の特徴をデータ処理できるよう変換したもの:顔やDNA、指紋
  • 公的な番号:パスポートや基礎年金番号、マイナンバーなど

上記に挙げたデータを扱う企業や団体は「個人情報取扱事業者」です。事業規模や営利・非営利、取り扱う情報量にかかわらず、すべての事業者が対象です。

個人の顧客データはもちろん従業員の情報取引先の名刺なども「個人情報」に含まれます。

それでは今回の改正で、中小企業にも影響すると思われる点を紹介します。

主な改正①:漏えい時の報告・本人通知の義務化

個人情報保護法

重大な個人情報が漏えいした場合に、個人情報保護委員会への報告本人への通知が義務付けられました。

報告が必要な漏えいなどは、下記のおそれがある場合です。

  1. 犯罪履歴や障がい、病歴といった「要配慮個人情報」が含まれる
  2. 個人の財産に被害が生じる
  3. 乗っ取りなどの不正アクセス
  4. 1,000人を超える個人情報

主な改正②:Cookieなどの第三者提供の制限

新設されたのが、改正の背景にあるようなCookieなどの「個人関連情報」についての規制です。

個人関連情報にはCookieのほか、IPアドレス、個人の商品購入やサービス利用の履歴、位置情報なども該当します。

これらの個人関連情報について、提供元では個人データに該当しないものの、第三者(提供先)にわたると個人データになりうる場合は、本人同意が得られていることの確認が義務付けられました

たとえば提供先が、自身が持つ個人データにIDなどでひもづけ、個人が特定できるようになれば「個人データ」にあたります。

本人の同意を求めるのは、基本的に提供先になります。

ウェブサイトでの同意は「明示的に」行われる必要があります。単にウェブに掲載するだけでは足りず、「同意する」ボタンにチェックやクリックを求めるといった方法です。

主な改正③:本人の権利が拡大

個人情報保護法

利用停止・消去など請求権の拡充

改正前は利用停止や消去を求められるのは、目的外での使用や不正な取得の場合に限られていました。

改正で請求できるようになったのは、下記のような事例です。

  • 個人データを利用する必要がなくなった:一時的なキャンペーン応募のために登録した情報など
  • 重大な漏えいの発生:クレジットカード番号を含む個人データの漏えいや、不正アクセスによる漏えいなど
  • 本人の権利または正当な利益が害される:退職した社員の写真を自社ウェブに掲載し続ける

安全管理対策など公表・開示の範囲が拡大

個人情報を安全に管理するための対策について、ウェブサイトなどでの公表が義務化されました。本人が把握できるようにするためです。

改正により新たに開示請求できるようになったのは以下などです。

  • 6か月以内に消去するデータ
  • 個人データの授受に関する第三者への提供記録

開示の方法はこれまで原則、書面でしたが、改正後はウェブからのダウンロードなど、本人が指示できるようになりました。

主な改正④:罰則の強化

改正により、違反した場合の法定刑が引き上げられました。個人情報保護委員会の命令に従わない、虚偽の報告をしたなどの場合、以下の罰則が課される可能性があります。

改正後の法定刑

  • 個人情報保護委員会からの命令への違反
    行為者:1年以下の懲役または100万円以下の罰金
    法人等:1億円以下の罰金
  • 個人情報データベース等の不正提供等
    行為者:1年以下の懲役または50万円以下の罰金
    法人等:1億円以下の罰金
  • 個人情報保護委員会への虚偽報告等
    行為者:50万円以下の罰金
    法人等:50万円以下の罰金

中小企業がとるべき対策とは

中小企業が取るべき対策のポイントは主に下記の3点です。

漏えい対策

万が一漏えいなどした場合に備えて、報告や通知の手順を整えておきましょう。

個人情報保護委員会への報告は速報(3~5日以内)と確報(30日以内。不正アクセスの場合は60日以内)の2回が求められています。

開示請求への対策

本人が開示請求する手続きについてウェブなどで公表し、請求があればすぐ対応できるような体制づくりも大切です。担当者を決めておきましょう。

自社で個人関連情報を取得している場合は、第三者へ提供しているか確認しましょう。

Q.Cookie対策で、自社サイトに同意ボタンは設置する必要がありますか。

Cookie対策

A.
デジタルマーケティングを活用している会社などは、対策が必要な場合もあります。

Cookie情報を提供した先(提供する第三者)で個人情報とのひもづけが想定される場合、本人同意が必要となり「同意する」ボタンをクリックしてもらう必要があります。「第三者」には子会社やグループ会社、フランチャイズ本部と加盟店なども含まれます。

ログイン認証のないウェブサイトでのターゲティング広告であれば、特定の個人を識別しないため、提供先での個人データ化にはあたりません。そのため本人同意は不要です。

個人情報保護委員会のガイドラインはこちら

ご不明点があれば、ぜひ弁護士にご相談ください。

企業法務ニュースレターのお申込みはこちら

「医療・介護」「飲食・ホテル」「小売・店舗」「保育園」「タクシー」「士業」「不動産」「コンサルタント」「人材サービス」「フィットネス」など30名以下のサービス業に特化した顧問弁護士サービス
月額11,000円でお試し可能!詳しくはこちらをご覧ください >

 

※本記事は、公開日時点の法律や情報をもとに執筆しております。