うっかりでは済まされない改正個人情報保護法
2022年3月10日
このコラムの次回更新を知りたかったら…@zeiken_infoをフォロー
長引く新型コロナやウクライナ紛争など、世界規模で想定外の事態が発生しています。心が穏やかではないかもしれませんが、いろいろな法改正が決定していますので、その内容を我々は把握しつつ必要な対応をしなくてはなりません。
今回は、2020年に改正され、2022年4月より施行される「改正個人情報保護法」について取り上げます。変更箇所がたくさんある上に罰則も強化されますので、会社担当者の方は改正内容について見落としのなきようご注意ください。
今回の改正内容
もともと個人情報保護法では「従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない」と定められているため、「個人情報」を扱う従業員に対して会社は必要な教育や監督を行う義務があります。そして今回、下記のような改正内容が加わるため、事業者(会社)としては場面に応じて必要な対応と対策が求められます。
<今回の改正については以下の6つの点が挙げられます>
1 個人の請求権の拡充等 3 新たな情報活用(仮名加工情報等)の推進 5 ペナルティの強化 |
2 事業者の守るべき義務(報告義務追加) 4 企業の特定部門を認定団体への制度化 6 外国事業者の罰則追加等 |
1 個人の請求権の拡充等
下記のように多くの内容が改正になります。
*本人同意なく第三者に提供可能な制度。事後的に本人が申し出ればデータ提供停止可能→範囲限定に改正。なお、オプトアウトは令和3年10月1日から施行済です。
2 事業者の守るべき義務(報告義務追加)
報告義務の新設は特に重要な改正点です。個人情報が漏洩した際、事業者(会社)は「個人情報保護委員会」に所定の様式で報告しなければならなくなりました。同時に本人への通知も原則義務化されています。また、個人情報を違法または不当な使い方を助長するような行為も禁止されました。
3 新たな情報活用(仮名加工情報等)の推進
これまで個人情報を加工して個人を特定できないようにした場合でも、個人情報と同じ扱いが必要でしたが、新たに「仮名加工情報(他の情報と照合しない限り、特定の個人を識別することができないように個人情報を加工した情報)」により、データ利用の促進が図られています。
(出典:個人情報保護法令和2年及び令和3年改正案について 個人情報保護委員会)
4 企業の特定部門を認定団体への制度化
個人情報保護法では個人情報保護員会の他に「認定団体制度」が取られています。この認定団体制度はこれまで事業者の「すべての分野」を対象としてきましたが、法改正により事業者の「部門単位」での組織団体も認定の対象となりました。
5 ペナルティの強化
以下のように強化されました。注目は法人等に対する罰金の1億円以下ではないでしょうか。
6 外国事業者の罰則追加等
国内の事業者のみ報告徴収・立入検査の規定が適用されていましたが、改正により個人情報を取り扱う外国の事業者も、報告徴収・立入検査など罰則の対象となりました。
まとめ
今回の改正で一番重要なのは、個人情報を取り扱う従業員に対し、全員に対する教育研修と指導を行うことではないでしょうか。個人情報が漏洩した際、事業者(会社)は「個人情報保護委員会」に報告義務が発生しますが、従業員がそれを知らなければ報告漏れということも十分に考えられます。「うっかり」とならないように社内での共有と対策に活かしていただきたいと思います。
このコラムの次回更新を知りたかったら…@zeiken_infoをフォロー
特定社会保険労務士小野 純
一部上場企業勤務後、2003年社会保険労務士小野事務所開業。2017年法人化。企業顧問として「就業規則」「労働・社会保険手続」「各種労務相談」「管理者研修」等の業務に従事。上記実務の他、全国の商工会議所、法人会、各企業の労務管理研修等の講演活動を展開中。
主な著作:「従業員100人以下の事業者のためのマイナンバー対応(共著)」(税務研究会刊)、「社会保険マニュアルQ&A」(税研情報センター刊)、「判例にみる労務トラブル解決のための方法・文例(共著)」(中央経済社刊)、月刊誌「税務QA」(税務研究会)にて定期連載中。当コラムは2015年1月より担当。