2020年6月に公布された令和2年改正個人情報保護法が2022年4月から全面施行される。改正目的は「個人の権利利益の保護」、「技術革新の成果による保護と活用の強化」、「越境データの流通増大に伴う新たなリスクへの対応」「AI・ビッグデータ時代への対応」などで、個人情報が多様に利活用される時代になり、リスク対応が急務になっていることが背景にある。事業者が守るべき責務が拡大され、中小企業も例外ではない。施行まで5カ月を切ったいま、準備を急ぎたい。
改正ポイントは大別すると(1)個人の権利(2)事業者の守るべき責務(3)事業者による自主的な取組を促す仕組み(4)データ利活用に関する施策(5)ペナルティ(6)法の域外適用・越境移転—の6つ。
個人の権利では、自分の個人情報が他の事業者へどのように提供されているのか、記録の開示を事業者に対して求めることが可能になる。個人による自身の個人情報の利用停止・消去等の請求権が拡大され、事業者に対応が求められる範囲が拡大される。
違法または不当な行為を助長・誘発する可能性がある個人情報の利用が禁止されるとともに、重大な漏洩等が生じた場合には国と個人に報告が求められる。外国の事業者に個人データを提供する場合には、本人からの同意を取得し、移転先の事業者の所在国の名称や、当該外国における個人情報の保護に関する制度などの情報提供が必要になる。
事業者は個人データの扱いに関する自主ルール策定が期待され、安全管理のために講じた措置を公表する必要がある。提供先で個人データになることが想定される情報の提供には本人の関与が求められる。
法人・個人に関わらず命令違反や虚偽申告をした場合の法定刑が引き上げられ、法人には最高1億円の罰金が課せられる。一方で、事業者のイノベーションを促進するため、「仮名加工情報」制度が創設され、利用を内部分析に限定するなどを条件に事業者の義務が緩和される。
個人情報保護法は、個人の権利や利益の保護と個人情報の有用性とのバランスを図るための法律で、2015年に国際動向や技術進歩を反映し、施行後3年ごとに実態に沿った内容に見直しを行うことが規定された。これを受け、個人情報の有用性に配慮しつつ個人の権利利益を保護するため個人情報の適切な取扱い確保を図る政府機関・個人情報保護委員会が、国内外の状況分析や関係者のヒアリングを実施し、2020年に改正された。