個人情報保護法は、３年ごとに見直しをすることとなっています。2022年4月1日の改正法施行もこれにあたり、自身の個人情報に対する意識の高まり、技術革新を踏まえた保護と利活用のバランス、越境データの流通増大に伴う新たなリスクへの対応等の観点で改正がされました。改正法への実務対応ポイントを解説します。

個人情報保護法では、すべての事業者が個人情報取扱事業者となり、個人情報保護法の適用を受けることとなります。2022年4月1日の改正法施行への６つの実務対応ポイントを確認していきましょう。

1. 個人情報保護委員会への報告及び本人への通知の義務化
   
2. 外国にある第三者への個人データの提供時に、提供先の第三者における個人情報の取扱いに関する本人への情報提供の充実
   
3. 安全管理のために講じた措置の公表等の義務化
   
4. ６ヶ月以内に消去するデータについても開示請求の対象とし、開示方法を本人が指示できることや利用停止・消去等の個人の請求権の拡充
   
5. 違法行為が疑われる事業者への個人情報の提供等の禁止の明確化
6. 個人関連情報の第三者提供について本人同意の確認を義務化

改正前は、努力義務だった下記の漏えい等の事態に該当する場合に個人情報保護委員会への報告や本人通知が義務化されます。

• 要配慮個人情報の漏えい等
  
• 財産的被害のおそれのある漏えい等
  
• 不正の目的によるおそれがある漏えい等
  
• 1,000件を超える漏えい等

※また、それぞれの漏えい等の「おそれ」がある場合も対象

漏えい等の報告は、速報として３～5日以内、確報として30日以内（不正アクセスなどの場合は60日以内）の2段階で行う必要があります。情報漏えい等のおそれがある場合は、直ちに社内のルールに則り担当部署に報告し漏えいの被害を最小にできるよう、従業員への教育を徹底しましょう。

外国にある第三者に個人データを提供できる要件として、以下の３つがあります。

① 本人の同意があること
② 個人情報保護委員会が定める基準に適合する体制を整備した事業者であること
③ 日本と同等の水準国（EU、英国）であること

改正後は、①と②にルールが追加されました。

① 本人の同意取得時に法令で定められた以下の情報を提供することが必要

• 移転先の所在国の名称
  
• 移転先の外国における個人情報の保護に関する制度
  ※日本の個人情報保護法との違いを認識できる情報の提供
  
• 移転先が講じている個人情報の保護のための措置

② 移転元が必要な措置（年に1回以上の定期的な確認や、移転先での適正取扱いに問題が生じた場合の対応を定める等の措置）をとり、その必要な措置等については、個人情報を取得した本人の求めに応じて情報を提供することが必要

どのような安全管理措置が講じられているかについて、本人が把握できるようにする観点から、原則として、安全管理のために講じた措置の公表等が義務化されました。 具体的には、以下の６つの措置の具体的な内容を公表します。ただし、公表することで、個人情報の安全管理ができなくなる場合は、その内容については公表する必要はありません。

• 基本方針の策定
  
• 個人データの取扱いに係る規程の整備
  
• 組織的安全管理措置
  
• 人的安全管理措置
  
• 物理的安全管理措置
  
• 技術的安全管理措置
  

6か月以内に消去するデータも個人情報の開示請求の対象となり、第三者提供の記録についても開示請求できるよう、対象範囲が広がりました。開示請求の方法についても、原則、書面による交付での開示とされていましたが、改正後は、電磁的記録の提供を含め開示請求する本人が指示できることとなりました。

HP等で公開している開示方法を修正し、電磁的方法での開示請求に応じられるよう体制を整えておきましょう。

また、利用停止・消去等の請求権が目的外利用、不正取得、第三者提供義務違反の場合に限定されていたところ、利用する必要がなくなった場合が追加されました。

違法な行為を営むことが疑われる事業者に、違法又は不当な行為を助長するおそれが想定されるにもかかわらず、個人情報を提供すること等、不適正な方法により個人情報を利用することが禁じられることが明確化されました。

個人関連情報の第三者提供の制限等として、提供元では個人データに該当しないものの、提供先において個人データとなることが想定される情報の第三者提供について、本人同意が得られていること等の確認が義務付けられます。

個人関連情報には、端末識別子を通じて収集されたサイト閲覧履歴や、商品購買履歴、位置情報等が該当します。なお、これらの例でも、個人情報に該当する（特定の個人を識別できる）ものは、個人関連情報にはあたりません。

具体的な事例としては、下記の図をご覧ください。

出典：個人情報保護委員会

A社のポイントシステムでの購買履歴は、特定の個人を識別できないため、個人情報には該当しないため、A社からコジョHDには個人関連情報として提供しています。

コジョHDでは、A社と共有しているID等に紐づいた個人データを保有しています。そうなると、コジョHDでは、A社から提供された購買履歴と、そのIDを自社で保有しているIDと紐づけることで、個人データと結合することができます。

そのような場合、本人同意を得る必要があります。このケースでは、原則、本人と接点を持ち、情報を利用する主体となるコジョHDが本人同意を得ることになります。

2022年4月の改正法施行に対応するためには、これまで以上に事業でどのような情報を取得し、利用しているか等を明確にし、個人情報を取得する際に、より具体的にその利用目的を示すことができているかを実際の事業を担当する部門とも連携し、実務に沿って把握し適切に対応していく必要があります。