改正個人情報保護法とは「個人情報の保護に関する法律等の一部を改正する法律」であり、令和2年改正個人情報保護法関係の政令・規則が公布(令和3年3月24日)された。令和4年4月1日全面施行される。
なお令和3年にも改正(令和3年改正法)があり、GDPR(EU一般データ保護規則)の十分性認定対応で国の行政機関・外郭団体、地方公共団体、学術研究分野が適用範囲に追加されて個人関連情報保護法が一本化されている(地方公共団体は2023年春に施行予定)
個人情報保護法は、国際的な動向や技術の進歩を反映して3年ごとに実態に沿った内容に見直しを行うことが規定として盛り込まれており、2020年の改正はこの規定を踏まえて行われた。主に、個人の権利利益の保護と活用の強化、越境データの流通増大に伴う新たなリスクへの対応、AI・ビッグデータ時代への対応などを観点に改正が行われている。
主な改正のポイントとして、
- 「仮名加工情報」を新設し、利用目的の変更の制限などの緩和
- 「個人関連情報」(Cookie)の定義が新設され、提供先において個人データとなることが想定される情報の第三者提供について、本人同意が得られていることなどの確認を義務付け
- 越境移転時の本人通知内容、管理項目の追加
- 開示等請求対象の強化(6ヶ月以内の保管、第三者提供記録も対象)
などが挙げられる。
事業者の観点では「漏えい等報告・本人通知」についても改正されており、漏えい等が発生し、個人の権利利益を害するおそれがある場合に、委員会への報告及び本人通知が義務化された。
- 報告対象:
①要配慮個人情報
②財産的被害が発生するおそれがある場合
③不正アクセス等故意によるもの
④1,000人を超える漏えい等を報告対象とする - 委員会への報告:速報と確報の二段階。事態の発生を認識した後、速やかに速報を求めるとともに、30日(上記③の場合は60日)以内に確報を求める
本改正により、漏えい事故が発生した場合に漏えい内容・原因の早期把握と報告が企業側に求められることになり、被害発生を想定した対策や報告体制の整備、事前の訓練などがより一層必要となる。
