何が変わった?令和2年改正個人情報保護法のポイントをチェック!
Feng-Yu – stock.adobe.com
令和2年改正個人情報保護法が全面的に施行されたのは2022年4月。企業などではすでに適切な対応をしているはずですが、労働者ひとりひとりが内容を理解することも重要です。
ホテルや旅館といったお客様の個人情報を預かる職場で働いている人は、特にしっかりと押さえておきたいところでしょう。
この記事では、令和2年改正個人情報保護法で把握すべきポイントや、改正までの経緯などをわかりやすく解説します。個人情報を守るための参考に役立ててくださいね。
宿泊業界に詳しいアドバイザーが、あなたに合う職場をいっしょにお探しします。
宿泊業界での職務経験はありますか?
個人情報保護法改正の経緯
まずはどうして個人情報保護法が改正されたのかを理解しましょう。背景を知ることで、改正の意味が分かり、内容もきちんと飲み込めるはず。時系列にそって解説します。
個人情報保護法は、2003年に成立し、2017年に改正が施行されました。この時、新たに盛り込まれたのが「3年ごと見直し規定」です。これは国際的動向や情報通信技術の進展といった時代の変化に対応するためのもの。
「3年ごと見直し規定」に基づいた初めての改正が、2020年の「令和2年改正個人情報保護法」です。令和2年改正個人情報保護法では、自身の個人情報に対する関心の高まりや技術革新をふまえた保護と利活用のバランス、国外に流通する個人データの増大に伴う新たなリスクへの対応といった観点にポイントをおいて、6つの法律などが改正されました。
次の項目で、改正の内容を詳しく解説していきます。
参考:
個人情報保護法の3年ごと見直し規定について/個人情報保護委員会資料
令和2年改正個人情報保護法の視点について/個人情報保護委員会資料
ホテル&旅館業界の就職・転職についての記事
令和2年改正個人情報保護法のポイント
aduchinootonosama- stock.adobe.com
令和2年改正個人情報保護法で押さえておきたいポイントを分かりやすく解説します。新旧の比較を交えて、一部を見ていきましょう。
個人の権利の在り方
個人の権利の在り方は、以下の通りです。
■利用停止・消去等の個人の請求権について、不正取得等の一部の法違反の場合に加えて、個人の権利又は正当な利益が害されるおそれがある場合にも要件を緩和する。
■個人データの授受に関する第三者提供記録について、本人が開示請求できるようにする。
引用元:個人情報保護委員会資料
この改正のポイントは「自身の個人情報に関して請求できる範囲が増えた」ということです。
これまで、本人が個人データの利用停止や消去を請求できるのは目的外利用された場合と不正な手段で取得された場合のみでした。今回の改正ではそれらに加え、不適正な利用がされた時にも利用停止を請求できるように変わっています。
また、個人データを持っている企業などが他の企業などへデータを提供することを第三者提供と言います。今回の改正では、第三者提供の記録を本人が開示請求できるという条項が新設されました。ただし、公益などが害されるものとして政令で定めるものは除きます。
他にも短期保存データの取扱いや第三者に提供できる個人データの範囲などに変更点があるので、しっかり押さえてくださいね。
2.事業者の守るべき責務の在り方
事業者の守るべき責務の在り方は、以下の通りです。
■漏えい等が発生し、個人の権利利益を害するおそれがある場合(※)に、委員会への報告及び本人への通知を義務化する。
(※)一定数以上の個人データの漏えい、一定の類型に該当する場合に限定。
引用元:個人情報保護委員会資料
ポイントは、事業者の責務が従来よりも重くなったという点です。
これまでは個人データの漏えいが発生しても、個人情報保護委員会や本人にその旨を報告する法的な義務はありませんでした。そこが厳しくなり、報告が義務付けられたのですね。ただし、本人への通知が困難で本人の権利利益を守るための代替え措置が取られている場合はこの限りではありません。
また、違法または不当な行為を助長するなど、不適切に個人情報を利用してはならない旨が明確化され、個人データがさらに手厚く守られるようになっています。
3.事業者による自主的な取組を促す仕組みの在り方
事業者による自主的な取組を促す仕組みの在り方は、以下の通りです。
■認定団体制度について、現⾏制度(※)に加え、企業の特定分野(部門)を対象とする団体を認定できるようにする。
(※)現行の認定団体は、対象事業者のすべての分野(部門)を対象とする。
引用元:個人情報保護委員会資料
この改正は、事業者の自主的な個人情報保護への取り組みを推進することが目的です。
令和2年改正個人情報保護法の施行以前から、個人情報の適切に取り扱うために自主的な活動をする民間団体を「認定個人情報保護団体」として認定する制度は存在します。しかし、認定を受けるためには個人情報取扱い事業者のすべての分野(部門)を対象としていることが条件でした。
今回の改正ポイントは、特定の分野(部門)のみを対象にできるようになった点です。そこを押さえておきましょう。
4.データ利活用の在り方
データ利活用の在り方は、以下の通りです。
■イノベーションを促進する観点から、氏名等を削除した「仮名加工情報」を創設し、内部分析に限定する等を条件に、開示・利用停止請求への対応等の義務を緩和する。
引用元:個人情報保護委員会資料
ここでのポイントはイノベーションの促進です。これまでは個人を特定できないように加工を施したデータも、加工前のデータと同様に扱われてきました。
令和2年改正個人情報保護法の施行によって変わったのは、氏名などを削除し、他のデータと照合しない限り個人を特定できないデータは条件付きで開示・利用停止請求への対応等への義務が緩和されたことです。
具体的には、加工後のデータを新たな目的で利用したり(本人を識別しない内部での分析・利用であることが条件)、漏えいの報告や開示・利用停止の請求対応義務が適用外になるということです。
その一方、加工後のデータを第三者提供する際に提供先が持っている他のデータと照合することで、容易に個人を特定できる場合の取扱いは厳しくなりました。提供元が提供先に対して、本人の同意を得ている旨を確認することが義務付けられたので注意しましょう。
5.ペナルティの在り方
ペナルティの在り方は、以下の通りです。
■データベース等不正提供罪、委員会による命令違反の罰金について、法人と個人の資力格差等を勘案して、法人に対しては行為者よりも罰金刑の最高額を引き上げる(法人重科)。
(※)個人と同額の罰金(50万円又は30万円以下の罰金)→1億円以下の罰金
引用元:個人情報保護委員会資料
ここでのポイントは、ペナルティが格段に厳しくなったという点です。特に、データベース等不正提供罪や委員会による命令違反の罰金については法人に科せられる罰金刑の最高額が大幅に引き上げられています。
犯罪行為・違反行為は企業の存続を脅かすと心得ましょう。
6.法の域外適用・越境移転の在り方
法の域外適用・越境移転の在り方は以下の通りです。
■日本国内にある者に係る個人情報等を取り扱う外国事業者を、罰則によって担保された報告徴収・命令の対象とする。
引用元:個人情報保護委員会資料
この条項のポイントは、日本国内の個人データを外国事業者が取り扱う場合の報告徴収や命令・罰則などです。
従来は一部の条項が海外事業者にも適用されるという運用でした。令和2年改正個人情報保護法では、海外事業者も報告徴収・命令の対象とし、罰則も適用されるように変わっています。
また、海外にある第三者へ個人データを提供する際は、提供先における個人情報の取扱い制度を説明することが義務付けられるなど、本人に対する情報提供の充実も求められると覚えておきましょう。
参考:令和2年改正個人情報保護法について/個人情報保護委員会資料
令和2年改正個人情報保護法を理解して働こう!
個人情報保護法は、宿泊業界と関わりが深い法律です。今回解説した改正ポイントをしっかり理解し、業務に望んでくださいね。
また、ホテル・旅館への就職・転職を考えている人はおもてなしHRにご相談ください。
Facebookでシェア
X(Twitter)で投稿
