HR関連法令・制度のご紹介
改定個人情報保護法(2022年4月施行)
人事の図書館 編集長 大西直樹
個人情報漏えいの原因の上位約70%が「紛失・置き忘れ、誤操作、不正アクセス」。
個人情報保護法は、正式名称を「個人情報の保護に関する法律」といいます。企業や団体における個人情報の取扱いのルールを定めることにより個人の権利利益を守りつつ、その有効活用を図ることを主眼としたもので、情報化社会の急速な進行に伴い、2003(平成 15) 年5月に公布され、2005(平成17)年4月に施行されました。
NPO日本ネットワークセキュリティ協会(JNSA)の「2018年 情報セキュリティインシデントに関する調査結果 ~個人情報漏えい編~ (速報版)」によると、個人情報漏えいの原因の上位約70%が「紛失・置き忘れ、誤操作、不正アクセス」ということがわかっています。紛失や置き忘れ、誤操作等は意識付けやルールづくりで防ぐほかありませんが、悪意をもった不正アクセスによる情報漏えいについては、企業として対策を講じる必要があります。
NPO日本ネットワークセキュリティ協会(JNSA)の「2018年 情報セキュリティインシデントに関する調査結果 ~個人情報漏えい編~ (速報版)」によると、個人情報漏えいの原因の上位約70%が「紛失・置き忘れ、誤操作、不正アクセス」ということがわかっています。紛失や置き忘れ、誤操作等は意識付けやルールづくりで防ぐほかありませんが、悪意をもった不正アクセスによる情報漏えいについては、企業として対策を講じる必要があります。
※NPO日本ネットワークセキュリティ協会(JNSA)「2018年 情報セキュリティインシデントに関する調査結果 ~個人情報漏えい編~(速報版)」より抜粋
社会・経済情勢の変化を踏まえ、3年ごとに見直し。
個人情報保護委員会は、平成27年の個人情報保護法の改正以来、社会・経済情勢の変化を踏まえて、令和元年1月に示した「3年ごと見直しに係る検討の着眼点」に即し、いわゆる3年ごとに個人情報保護法の見直しを進めてきました。今回の改正は、3年ごと見直しの過程で、得られた共通の視点を反映したものです。
(1)個人の権利利益保護
情報を提供する個人の、自らの情報の取扱いに対する関心や、関与への期待が高まっており、個人情報保護法第1条の目的に掲げている「個人の権利利益を保護」するために必要十分な措置を整備することに配意しながら制度を見直す必要がある。
(2)保護と利用のバランス
平成27年改正法で特に重視された保護と利用のバランスをとることの必要性は、引き続き重要であり、個人情報や個人に関連する情報を巡る技術革新の成果が、経済成長等と個人の権利利益の保護との両面で行き渡るような制度を目指すことが重要である。
(3)国際的潮流との調和
デジタル化された個人情報を用いる多様な利活用が、グローバルに展開されており、国際的な制度調和や連携に配意しながら制度を見直す必要がある。
(4)外国事業者によるリスク変化への対応
海外事業者によるサービスの利用や、国境を越えて個人情報を扱うビジネスの増大により、個人が直面するリスクも変化しており、これに対応する必要がある。
(5)AI・ビッグデータ時代への対応
AI・ビッグデータ時代を迎え、個人情報の活用が一層多岐にわたる中、本人があらかじめ自身の個人情報の取扱いを網羅的に把握することが困難になりつつある。このような環境の下で、事業者が個人情報を取り扱う際に、本人の権利利益との関係で説明責任を果たしつつ、本人の予測可能な範囲内で適正な利用がなされるよう、環境を整備していくことが重要である
(1)個人の権利利益保護
情報を提供する個人の、自らの情報の取扱いに対する関心や、関与への期待が高まっており、個人情報保護法第1条の目的に掲げている「個人の権利利益を保護」するために必要十分な措置を整備することに配意しながら制度を見直す必要がある。
(2)保護と利用のバランス
平成27年改正法で特に重視された保護と利用のバランスをとることの必要性は、引き続き重要であり、個人情報や個人に関連する情報を巡る技術革新の成果が、経済成長等と個人の権利利益の保護との両面で行き渡るような制度を目指すことが重要である。
(3)国際的潮流との調和
デジタル化された個人情報を用いる多様な利活用が、グローバルに展開されており、国際的な制度調和や連携に配意しながら制度を見直す必要がある。
(4)外国事業者によるリスク変化への対応
海外事業者によるサービスの利用や、国境を越えて個人情報を扱うビジネスの増大により、個人が直面するリスクも変化しており、これに対応する必要がある。
(5)AI・ビッグデータ時代への対応
AI・ビッグデータ時代を迎え、個人情報の活用が一層多岐にわたる中、本人があらかじめ自身の個人情報の取扱いを網羅的に把握することが困難になりつつある。このような環境の下で、事業者が個人情報を取り扱う際に、本人の権利利益との関係で説明責任を果たしつつ、本人の予測可能な範囲内で適正な利用がなされるよう、環境を整備していくことが重要である
※内閣官房「個人情報保護法 いわゆる3年ごと見直し 制度改正大綱」より抜粋
改正個人情報保護法のポイント(1)~(3)
2022(令和4)年4月1日より施行される改正個人情報保護法のポイントは、以下の6点です。
(1)個人の権利の在り方
今回の改正で本人が事業者に対して請求できる範囲が拡大します。自身の個人情報がどのように扱われているのかを事業者に問い合わせることが可能となります。また、本人からの要求があれば情報を開示することを条件に事前の同意なく第三者に情報を提供するオプトアウトの情報も範囲が狭まります。これにより、第三者への個人情報の提供にさらに制限が加わります。
(2)事業者の守るべき責務の在り方
改正前は、事業者に対して個人情報の利用に対する全般的な規制はありませんでした。しかし、改正後は違法な行為を助長する可能性や誘発する場合は、個人情報の利用を禁止することができるようになります。さらに、個人情報が漏洩した場合、漏洩したことによる被害が大きいケースでは、国と個人に対して申告をする必要があります。事業者はより一層慎重に個人情報を取り扱う必要がでてきました。
(3)事業者による自主的な取組を促す仕組みの在り方
個人情報保護の推進を図るため、認定された民間団体の認定個人情報保護団体は、これまで対象事業者のすべての分野を対象とするものでしたが、改正後は、企業の特定分野(部門)を対象とする団体を認定できるようになります。
(1)個人の権利の在り方
今回の改正で本人が事業者に対して請求できる範囲が拡大します。自身の個人情報がどのように扱われているのかを事業者に問い合わせることが可能となります。また、本人からの要求があれば情報を開示することを条件に事前の同意なく第三者に情報を提供するオプトアウトの情報も範囲が狭まります。これにより、第三者への個人情報の提供にさらに制限が加わります。
(2)事業者の守るべき責務の在り方
改正前は、事業者に対して個人情報の利用に対する全般的な規制はありませんでした。しかし、改正後は違法な行為を助長する可能性や誘発する場合は、個人情報の利用を禁止することができるようになります。さらに、個人情報が漏洩した場合、漏洩したことによる被害が大きいケースでは、国と個人に対して申告をする必要があります。事業者はより一層慎重に個人情報を取り扱う必要がでてきました。
(3)事業者による自主的な取組を促す仕組みの在り方
個人情報保護の推進を図るため、認定された民間団体の認定個人情報保護団体は、これまで対象事業者のすべての分野を対象とするものでしたが、改正後は、企業の特定分野(部門)を対象とする団体を認定できるようになります。
改正個人情報保護法のポイント(4)~(6)
(4)データ利活用に関する施策の在り方
改正前は、個人情報を加工して個人情報を利活用できるようにした概念としては「匿名加工情報」だけでしたが、改正後は「仮名加工情報」が加わります。一定の安全性を確保しつつ、個人情報の利活用を促進する観点から、新たに概念が導入されます。
(5)ペナルティの在り方
命令違反や虚偽報告など行った場合に発生するペナルティが厳罰化されます。不正に情報を提供した場合は、法人・個人に関わらず最高1億円の罰金が課せられます。
(6)法の域外適用・越境移転の在り方
改正前は、外国にある第三者に日本国内の情報を提供する際は、以下3点の条件がありました。
・本人から外国の第三者に提供することにつき同意を取得する
・外国にある第三者が規則が定める基準に適合する体制を整備する
・外国にある第三者がPPCが日本と同等水準と認めた国(EU)に所在する
改正後は上記に加え、以下2点が加わります。
・本人の同意取得時に移転先国の名称、個人情報保護に関する制度の有無等について本人に情報提供する
・移転先事業者の取り扱い状況の定期的な確認と本人の求めに応じた情報提供の義務
本改正は、GDPR(General Data Protection Regulation:一般データ保護規則)等の国際的な潮流に配慮してデータの主体である本人の権利利益の保護に焦点をあてるとともに、仮名加工情報の導入等により、データの利活用の幅を広げることを意図した改正となっています。データの移動には国境がなく、今後も国際的な個人情報保護強化の流れが続くものと予想されます。個人情報を扱う企業並びに人事・採用担当者の皆様としては、データの主体にとってより透明性のある取扱いを意識していく必要があります。
改正前は、個人情報を加工して個人情報を利活用できるようにした概念としては「匿名加工情報」だけでしたが、改正後は「仮名加工情報」が加わります。一定の安全性を確保しつつ、個人情報の利活用を促進する観点から、新たに概念が導入されます。
(5)ペナルティの在り方
命令違反や虚偽報告など行った場合に発生するペナルティが厳罰化されます。不正に情報を提供した場合は、法人・個人に関わらず最高1億円の罰金が課せられます。
(6)法の域外適用・越境移転の在り方
改正前は、外国にある第三者に日本国内の情報を提供する際は、以下3点の条件がありました。
・本人から外国の第三者に提供することにつき同意を取得する
・外国にある第三者が規則が定める基準に適合する体制を整備する
・外国にある第三者がPPCが日本と同等水準と認めた国(EU)に所在する
改正後は上記に加え、以下2点が加わります。
・本人の同意取得時に移転先国の名称、個人情報保護に関する制度の有無等について本人に情報提供する
・移転先事業者の取り扱い状況の定期的な確認と本人の求めに応じた情報提供の義務
本改正は、GDPR(General Data Protection Regulation:一般データ保護規則)等の国際的な潮流に配慮してデータの主体である本人の権利利益の保護に焦点をあてるとともに、仮名加工情報の導入等により、データの利活用の幅を広げることを意図した改正となっています。データの移動には国境がなく、今後も国際的な個人情報保護強化の流れが続くものと予想されます。個人情報を扱う企業並びに人事・採用担当者の皆様としては、データの主体にとってより透明性のある取扱いを意識していく必要があります。
関連記事
採用の課題はぜひ学情まで
ご相談ください。
電話でのお問い合わせ
東京
大阪
名古屋
京都
福岡
※営業時間 9:00〜18:00(会社休日を除く)
