2.個人情報取扱事業者が守るべき責務の追加

漏えい等報告の義務化

漏えいが発生し、個人の権利利益を害するおそれが大きい場合、委員会への報告および本人への通知が義務化されます。

報告の義務化対象は下記のとおりです。

1. 要配慮個人情報の漏えい
2. 不正アクセス等による漏えい
3. 財産的被害のおそれがある漏えい
4. 一定数（1000件）を超える大規模な漏えい

※

1～3については、件数に関係なく報告の義務があります。

Zoom

不適正な方法による利用の禁止

違法または不当な行為を助長するなど、不適正な方法による個人情報の利用は禁止されることが明文化されました。

3.個人情報取扱事業者による自主的な取組を促す仕組み

認定個人情報保護団体制度の充実

個人情報保護委員会等だけでなく、民間団体による個人情報保護の推進が求められており、苦情の処理や情報提供、その他必要な業務を行う法人は、個人情報保護委員会の認定を受けることができる制度があります。

改正前では、認定された法人（主に業界団体）は対象企業のすべての分野に対応する必要がありました。今回の改正により、業務実態の多様化やIT技術の進展を踏まえ、対象事業者の特定の分野に限定した個人情報の取扱いを対象とする団体を認定することが可能となりました。

4.データ利活用に関する施策

仮名加工情報の創設

個人情報を復元することができないように加工する必要がある匿名加工情報よりも、比較的簡便な加工方法で、一定の安全性を確保したうえで個人情報の利活用を促進するため、「仮名加工情報」が創設されました。

仮名加工情報とは「他の情報と照合しない限り特定の個人を識別できないように加工した情報」です。第三者への提供の禁止、内部分析での利用に限定する等を条件に、開示・利用停止請求への対応等の義務が緩和されます。

個人関連情報の第三者提供規制

提供元では個人データに該当しないものの、提供先において他の情報と照合して個人データとなり得る 個人関連情報の第三者提供について、本人の同意が得られていること等の確認が義務づけられます。

Cookie等により収集されたウェブサイト閲覧、商品購買、サービス利用などに関する履歴等から生成された個人の興味・関心等に関する属性情報は、個人関連情報となります。個人関連情報の第三者提供にあたっては、提供先が自社保有データと照合し、個人データとして利用する可能性がある場合、提供先が本人の同意を得ていることを確認する必要があります。

5.ペナルティ

法定刑の引上げ等

個人情報保護委員会による命令違反・委員会に対する虚偽申告等の法定刑が引き上げられました。2020年12月に施行済みです。

6.法の域外適用・越境移転

域外適用の強化

日本国内に住んでいる人の個人情報等を取り扱う海外の事業者も、報告徴収・立入検査などの対象となります。

これまでは国内の事業主のみが対象でしたが、海外の事業者が個人情報の不適切な使用をした場合にも適用されることになります。

越境移転に係る情報提供の充実

外国の第三者へ個人データを提供するときに、移転先事業者における個人情報の取扱いについて、本人への情報提供が義務づけられます。

外国の第三者に個人データを提供できる要件は下記の通りです。

• 本人の同意がある
  同意取得時に、移転先の国名、移転先国における個人情報の保護に関する制度の有無当について、本人に情報を提供
• 基準に適合する体制を整備した事業者
  移転先事業者の取扱い状況等の定期的な確認および、本人の求めに応じて関連情報を提供
• 日本と同等の水準国（EU、英国）