令和2年個人情報保護法改正によって個人情報保護法違反のペナルティと課徴金はどう強化されたか

IT・情報セキュリティ

 令和2年個人情報保護法改正によって違反行為に対するペナルティと課徴金はどのように強化されましたか。

【改正のポイント】

  • 法人処罰規定に係る重科(1億円以下の罰金)の導入を含め、必要に応じた見直しを行う。
  • 課徴金制度は検討課題とされ、導入はなされない。

個人情報については、これまでの個人情報保護委員会の執行実績を見ても、安全管理措置義務違反のように、違反行為があっても利得が生じていない場合も多く、課徴金による抑止がなじまないケースが多いです。現時点で個人情報保護違反による罰金の執行事例もないことも踏まえ、改正法においては、ペナルティの強化は法定刑の引上げにより対処することとされ、課徴金制度の導入は見送られました

解説

目次

  1. ペナルティのあり方(制度改正大綱第3章第5節「ペナルティの在り方」、第8節「継続的な検討課題(課徴金制度)」)(27頁、34頁)
    1. 令和2年個人情報保護法改正に伴うペナルティの強化
    2. 令和2年個人情報保護法改正の趣旨
    3. 見送られた課徴金制度の導入
    4. 参考 GDPRの義務違反に対する制裁金
<編注>
本記事の「現行法」は「個人情報の保護に関する法律等の一部を改正する法律」(令和2年法律第44号、以下「令和2年改正法」といいます。)に基づく改正前の個人情報保護法を指します。

本稿内において【 】によって示している条番号は、「デジタル社会の形成を図るための関係法律の整備に関する法律」(令和3年法律第37号、以下「令和3年改正法」といいます。)施行後の条番号です。
※令和3年改正法の第一弾改正が令和2年改正法と同日の令和4年(2022年)4月1日に施行されるため、同日以降の条文番号は実際には【 】によって示されている条文番号となります。

ペナルティのあり方(制度改正大綱第3章第5節「ペナルティの在り方」、第8節「継続的な検討課題(課徴金制度)」)(27頁、34頁)

令和2年個人情報保護法改正に伴うペナルティの強化

(1)措置命令違反の罰則の強化

 個人情報保護委員会の措置命令(個人情報保護法42条【145条/148条】2項・3項)違反をした者に対する罰則は、令和2年改正法の罰則の改正の施行日前(令和2年12月11日まで)は「6か月以下の懲役または30万円以下の罰金」(旧84条)とされていましたが、「1年以下の懲役または100万円以下の罰金」(個人情報保護法83条【173条/178条】)と強化されました。

(2)報告・立入検査の忌避に対する罰則の強化(個人情報保護法85条【177条/182条】)

 ①個人情報保護法40条【143条/146条】1項の規定による報告もしくは資料の提出をせず、もしくは虚偽の報告をし、もしくは虚偽の資料を提出し、または当該職員の質問に対して答弁をせず、もしくは虚偽の答弁をし、もしくは検査を拒み、妨げ、もしくは忌避したとき、または、②個人情報保護法56条【150条/153条】の規定による報告をせず、または虚偽の報告をしたときは、令和2年改正法の罰則の改正の施行日前(令和2年12月11日まで)は「30万円以下の罰金」とされていましたが、令和2年改正法では「50万円以下の罰金」に強化されました。

(3)法人重科(個人情報保護法87条【179条/184条】)

 法人の代表者または法人もしくは人の代理人、使用人その他の従業者が、その法人または人の業務に関して、①措置命令違反(個人情報保護法83条【173条/178条】)、②個人情報データベース等不正流用(個人情報保護法84条【174条/179条】)をした場合、現行法では、各条の罰金刑が科せられますが、改正法では1億円以下の罰金が科せられることになりました。

(4)施行期日・経過措置

 本規定の改正は、令和2年12月12日に施行されました(令和2年改正法附則1条2号)。

令和2年個人情報保護法改正の趣旨

 国際比較の観点では、GDPRなどの諸外国のプライバシー法制においては巨額の制裁金規制が設けられていますが、各国ごとに国全体の法体系やペナルティに対する考え方に違いがあり、個人情報保護委員会は、我が国の実態、法体系に照らして望ましい在り方を検討してきました。
 現状においては、個人情報の取扱いに係る違反行為について、個人情報保護委員会が捕捉した案件に関しては、指導等により違法状態が是正されているのが実態です。

 しかしながら、個人情報保護委員会が漏えい等報告を受けた事案や報告徴収・立入検査を行った事案の数は増加傾向にあります。勧告・命令や罰則については、中間整理公表時点での適用事例は存在しませんでしたが、令和元年(2020年)8月、委員会は初めての勧告を行いました(リクナビ問題)。

 個人情報保護法は、罰則を違反行為に対する最終的な実効性確保の手段とし、法人に対してもいわゆる両罰規定を設けているところ(個人情報保護法87条)、罰金刑の効果は、刑罰を科せられる者の資力によって大きく異なります。個人情報取扱事業者の中には、十分な資力を持つ者も含まれるところ、法人に対して、現行法のように行為者と同額の罰金を科したとしても、罰則として十分な抑止効果は期待できません。
 そこで、制度改正大綱では、現行の法定刑について、法人処罰規定に係る重科の導入を含め、必要に応じた見直しを行うこととされています。

見送られた課徴金制度の導入

 課徴金制度の導入については、ペナルティ強化の一環としてこれを求める意見がある一方で、中間整理の意見募集等では、経済界等から反対の意見が寄せられました。
 課徴金制度は、違反行為を行った事業者に経済的不利益を課すことにより、違反行為を事前に抑止することを目的とする制度です。現行法は、最終的な実効性確保の手段として刑事罰のみを予定しているところ、課徴金制度は、刑事罰の限界を補完し、規制の実効性確保に資するものです。

 特に域外適用を受ける外国事業者の違反行為に対しては、国内事業者と同様に法執行を行う必要があるところ、課徴金制度は、外国事業者に対する有効な法執行手段となり得ます。
 また、諸外国の個人情報保護法制において、違反行為に対して、高額の制裁金を課すことによって規制の実効性を確保している例があります(GDPRの制裁金参照)。

 他方、国内他法令における課徴金制度は、不当利得を基準として課徴金を算定している例が多く、我が国の法体系特有の制約があることから、法制的な課題もあります。個人情報については、これまでの執行実績を見ても、安全管理措置義務違反などのように、違反行為があっても利得が発生していない場合があり、課徴金による抑止がなじまないケースが多いです。
 現時点では、個人情報保護法違反による罰金の執行事例もないことも踏まえて、今回の改正においては、ペナルティの強化は法定刑の引上げにより対処することとして、課徴金制度の導入は行わないと判断をしました。
 課徴金制度の導入については、我が国の法体系、執行の実績と効果、国内外事業者の実態、国際的な動向を踏まえつつ、引き続き検討を行っていくものとされています。

参考 GDPRの義務違反に対する制裁金

制裁金の上限額の基準 義務違反の類型
事業体の全世界年間売上高の2%、または、1,000 万ユーロのいずれか高い方(GDPR83条4項)
  • 16 歳未満の子どもに対する直接的な情報社会サービスの提供に関する個人データの処理には、子に対する保護責任を持つ者による同意または許可が必要という条件に従わなかった場合(8条)
  • 適切な技術的・組織的な対策を実施しなかった、またはそのような措置を実施しない処理者を利用した場合(25条、28条)
  • EU 代理人を選任する義務を怠った場合(27条)
  • 処理活動の記録を保持しない場合(30条)
  • 監督機関に協力しない場合(31条)
  • リスクに対する適切なセキュリティレベルを保証する適切な技術的・組織的な対策を実施しなかった場合(32条)
  • セキュリティ違反を監督機関に通知する義務を怠った場合(33条)
  • データ主体に通知しなかった場合(34条)
  • データ保護影響評価を行なわなかった場合(35条)
  • データ保護影響評価によってリスクが示されていたにも関わらず、処理の前に監督機関に相談しなかった場合(36条)
  • データ保護オフィサー(DPO)を選任しなかった場合、または、その職や役務を尊重しなかった場合(37~39条)
  • 認証機関の義務違反(42条、43条)
  • 監視団体の義務違反(41条4項)
事業体の全世界年間売上高の4%、または、2,000 万ユーロのいずれか高い方(GDPR83条5項、6項)
  • 個人データの処理に関する原則を遵守しなかった場合(5条)
  • 適法に個人データを処理しなかった場合(6条)
  • 同意の条件を遵守しなかった場合(7条)
  • 特別な種類の個人データの処理の条件を遵守しなかった場合(9条)
  • データ主体の権利およびその行使の手順を尊重しなかった場合(12-22条)
  • 個人データの越境データ移転の条件に従わなかった場合(44-49条)
  • 第9章に基づく加盟国の国内法の義務の不遵守
  • 監督機関の命令(58条)に従わなかった場合

この実務Q&Aを見ている人はこちらも見ています

無料会員登録で
リサーチ業務を効率化

1分で登録完了

無料で会員登録する