令和2年改正個人情報保護法の制定経緯と改正の概要

制度改正大綱の背景と個人情報保護法の改正

平成27年改正

　個人情報の保護に関する法律（平成15年法律第57号、「個人情報保護法」）は、平成15年に制定（平成17年全面施行）されたのち、平成27年に改正が行われ、平成29年5月30日に全面施行されました。
　特に、「個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律（平成27年法律第65号、以下「平成27年改正法」という）においては、情報通信技術の進展が著しいこと等から、3年ごとの見直し規定が設けられました。
　いわゆる3年ごと見直しについては、平成27年改正法附則12条3項において、政府は、同法の施行後3年を目途として、個人情報の保護に関する国際的動向、情報通信技術の進展、それに伴う個人情報を活用した新たな産業の創出および発展の状況等を勘案し、平成27年改正法による改正後の個人情報保護法の施行の状況について検討を加え、必要があると認めるときは、その結果に基づいて所要の措置を講ずるものとされています。

中間整理

　個人情報保護委員会は、平成27年改正法附則12条3項の規定を踏まえ、いわゆる3年ごと見直しについて具体的に検討を進めてきました。平成30年12月17日には、第83回個人情報保護委員会において、「個人情報保護委員会の第一期を終えるにあたって」を公表し、当時の委員長のもとで運営されてきた第一期目の終了に際し、それまで5年間の経緯を踏まえ、次期委員会への申し送りとして、当時の状況をもとに主な論点を取りまとめました。また、これを踏まえ、第86回個人情報保護委員会（平成31年1月28日）において、「いわゆる3年ごと見直しに係る検討の着眼点」を公表しています。

　個人情報保護委員会では、これらを踏まえ、個人情報保護を巡る国内外の政策、技術、産業等の状況について、消費者からの意見の分析、取りまとめ、経済界からのヒアリングを実施し、平成31年4月25日に「個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理」を公表しました。
　中間整理は、平成31年4月25日から同年5月27日まで意見募集が行われ、計137の団体・事業者または個人から延べ525件の意見が寄せられました。

制度改正大綱

　個人情報保護委員会では、当該意見募集に寄せられた意見等も踏まえつつ、その後も実態把握やヒアリングを通じて検討を深めるとともに（延べ24回の委員会で審議）、個人情報保護法の3年ごと見直しの内容を大綱として取りまとめ、改めて意見募集を行いました（令和元年12月13日締切、令和2年1月14日）¹。令和2年2月12日には意見募集の結果が公表されています ²。

リクナビ問題

　就職情報サイト「リクナビ」を運営する株式会社リクルートキャリアおよびその親会社である株式会社リクルートが、いわゆる内定辞退率の提供に関連するサービスについて、令和元年12月4日に個人情報保護委員会から勧告を受けました。リクナビ問題においては、「提供元では個人データに該当しないものの、提供先において個人データになることが明らかな情報」の提供が本人の同意なしに行われていたことなどが問題視されました。詳細は「内定辞退率の提供サービスをめぐる「リクナビ問題」の概要と、令和2年改正個人情報保護法への影響」も参照ください。

令和2年改正個人情報保護法

　これらを踏まえて、令和2年3月10日に「個人情報の保護に関する法律等の一部を改正する法律案」³（以下「令和2年改正法」という）が閣議決定されたのち、国会に提出され、同年6月5日に成立。同年6月12日に公布されました（令和2年法律第44号）。

令和2年改正個人情報保護法の概要 ⁴

　令和2年改正法の概要は以下のとおりです。

個人の権利の在り方

• 利用停止・消去等の個人の請求権について、不正取得等の一部の法違反の場合に加えて、個人の権利または正当な利益が害されるおそれがある場合にも要件を緩和する。
• 保有個人データの開示方法（※）について、電磁的記録の提供を含め、本人が指示できるようにする。

  （※）現行は、原則として、書面の交付による方法とされている。

• 個人データの授受に関する第三者提供記録について、本人が開示請求できるようにする。
• 6か月以内に消去する短期保存データについて、保有個人データに含めることとし、開示、利用停止等の対象とする。
• オプトアウト規定（※）により第三者に提供できる個人データの範囲を限定し、①不正取得された個人データ、②オプトアウト規定により提供された個人データについても対象外とする。

  （※）本人の求めがあれば事後的に停止することを前提に、提供する個人データの項目等を公表等したうえで、本人の同意なく第三者に個人データを提供できる制度。

事業者の守るべき責務の在り方

• 漏えい等が発生し、個人の権利利益を害するおそれがある場合（※）に、個人情報保護委員会への報告および本人への通知を義務化する。（現行法は努力義務）

  （※）一定数以上の個人データの漏えい、一定の類型に該当する場合に限定。

• 違法または不当な行為を助長する等の不適正な方法により個人情報を利用してはならない旨を明確化する。

事業者による自主的な取組みを促す仕組みの在り⽅

• 認定団体制度について、現行制度（※）に加え、企業の特定分野（部門）を対象とする団体を認定できるようにする。

  （※）現行の認定団体は、対象事業者のすべての分野（部門）を対象とする。

データ利活用に関する施策の在り方

• イノベーションを促進する観点から、氏名等を削除した「仮名加工情報」を創設し、内部分析に限定する等を条件に、開示・利用停止請求への対応等の義務を緩和する。
• 提供元では個人データに該当しないものの、提供先において個人データとなることが想定される情報の第三者提供について、本人同意が得られていること等の確認を義務付ける。

ペナルティの在り方

• 個人情報保護委員会による命令違反・個人情報保護委員会に対する虚偽報告等の法定刑を引き上げる。

  （※）命令違反：6か月以下の懲役または30万円以下の罰金→1年以下の懲役または100万円以下の罰金
  虚偽報告等：30万円以下の罰金→50万円以下の罰金

• データベース等不正提供罪、個人情報保護委員会による命令違反の罰金について、法人と個人の資力格差等を勘案して、法人に対しては行為者よりも罰金刑の最高額を引き上げる（法人重科）。

  （※）個人と同額の罰金（50万円または30万円以下の罰金）→1億円以下の罰金

法の域外適用・越境移転の在り方

• 日本国内にある者に係る個人情報等を取り扱う外国事業者を、罰則によって担保された報告徴収・命令の対象とする。
• 外国にある第三者への個人データの提供時に、移転先事業者における個人情報の取扱いに関する本人への情報提供の充実等を求める。

  （※）その他、本改正に伴い、「行政手続における特定の個人を識別するための番号の利用等に関する法律」および「医療分野の研究開発に資するための匿名加工医療情報に関する法律」においても、一括法として所要の措置（漏えい等報告・法定刑の引上げ等）を講ずる。

令和2年改正個人情報保護法の公布・施行期日

　令和2年改正法は、国会において令和2年6月5日に成立し、同年6月12日に公布されました（令和2年法律第44号）。
　令和2年改正法は、原則、令和4年4月1日に施行されます。
　法人重科等の罰則の強化は、公布の日から6か月を経過した日（令和2年12月12日）に施行されました（改正法附則1条2号）。