【解説】日本版GDPR/CCPA「個人情報の保護に関する法律等の一部を改正する法律案」が閣議決定
本日、「個人情報の保護に関する法律等の一部を改正する法律案」が閣議決定されました。法案の概要と事業者への影響を現段階の範囲で記しました。
本法律案が議論された背景
・個人情報に対する意識の高まり
・技術革新を踏まえた保護と利用のバランス
・個人情報が多様に利活用される時代における事業者責任の在り方
・越境データ(事業者を跨いだデータのやり取り)の流通増大に伴う新たなリスクへの対応
本法律案で取り決めること
・個人情報の漏えい等が生じた場合における委員会への報告及び本人への通知を義務付け
・個人情報等の外国における取扱いに対する個人情報の保護に関する法律の適用範囲を拡大する
・個人情報に含まれる記述等の削除等により他の情報と照合しない限り特定の個人を識別することができないように加工した仮名加工情報の取扱い
法案の提出時期
第201回通常国会に提出予定。
保護委員会は、2021年をめどに、今回の改正法の運用に関する指針を示す見通し。
主な改正ポイントについて
改正ポイント1.ユーザーの権利の拡大
・個人情報データの利⽤停⽌・消去等の個⼈の請求権を持つようになる
・個人情報データの開示請求権を持つようになる(保持内容や共有先についても)
・オプトアウト規定の拡大
改正ポイント2.事業社の報告義務の強化
・漏えい等のリスクが出た場合委員会への報告及び本⼈への通知を義務化
・違法⼜は不当な⾏為を助⻑する等の不適正な⽅法で利用しない旨の明確化
改正ポイント3.認定制度の強化
・現⾏制度に加え、企業の特定分野(部⾨)を対象とする団体を認定できるようにする。
改正ポイント4.データ利活用方法の捉え方の変化
・「仮名加⼯情報」(ハッシュ化)を行うことで、内部分析に限定する等を条件に、開⽰・利⽤停⽌請求への対応等の義務を緩和
・第三者提供について、本⼈同意が得られていること等の確認を義務化
改正ポイント5.罰則の強化
・命令違反:6月以下の懲役又は30万円以下の罰金→ 1年以下の懲役又は100万円以下の罰金
・虚偽報告等:30万円以下の罰金 → 50万円以下の罰金
・法人の場合の重罰化:個人と同額の罰金(50万円又は30万円以下の罰金) → 1億円以下の罰金
改正ポイント6.GAFAも意識した外国への越境データについて
・外国事業者を、罰則によって担保された報告徴収・命令の対象とする。
・外国事業者であっても個⼈情報の取扱いに関する本⼈への情報提供の充実させる。
事業者への影響
GDPRやCCPAと同じか、それ以上に日本のネット業界には影響を与えることが考えられます。データを取り扱う業者はほぼすべてが対象になる可能性もあります。
具体的には、
・ユーザーからの開示請求への対応強化
・提供先基準等の同意事項の追加
・仮名加工情報(ハッシュ化)を強化することで義務が緩和される
などなどが想定されます。
「個人情報の保護に関する法律等の一部を改正する法律案」概要資料
詳細はこちら:
https://www.ppc.go.jp/news/press/2019/20200310/