改正個人情報保護法の概要 ~改正前および改正後の変更点について~ 第5回:改正個人情報保護法の内容(4)

法定刑の引き上げ、法の域外適用、外国の第三者提供時の義務など

セキュリティ

2021.08.30

  

今回が最後となります。
今回は、ペナルティの在り方および法の域外適用・越境移転の在り方について解説します。

<注記>

本コラムは、2021年8月までに公開された改正法やガイドライン等の内容をベースにしています。本コラム公開後に改正法のガイドラインやQ&Aが変更になった場合、その内容、状況に応じて順次更新させていただく予定です。最新のガイドラインと必ずしも内容が合っていない場合もございますのでご了承ください。

1.ペナルティの在り方

(1)命令違反や、虚偽報告等の法定刑が引き上げられた。(法第83条~第87条関係)

改正前

法定刑は以下の通りでした。

  • 個人情報保護委員会からの命令への違反(以下、命令違反)は6月以下の懲役又は30万円以下の罰金
  • 個人情報データベース等の不正提供等(以下、不正提供等)は1年以下の懲役又は50万円以下の罰金
  • 個人情報保護委員会への虚偽報告等(以下、虚偽報告等)は、30万円以下の罰金
改正後

法定刑が引き上げられ、一部は法人の罰金刑の最高額が引き上げられ、以下の通りとなりました。

  • 命令違反は1年以下の懲役又は100万円以下の罰金(法人重科規定により、法人の罰金の最高額は1億円)
  • 不正提供等は1年以下の懲役又は50万円以下の罰金(法人重科規定により、法人の罰金の最高額は1億円)
  • 虚偽報告等は、50万円以下の罰金となりました。

※いずれも令和2年(2020年)12月12日から施行されています。

個人情報保護法に関する法定刑の引き上げ

解説

「命令違反」における命令とは、個人情報取扱事業者等が法令違反を犯した場合の個人情報保護委員会が行う勧告に関わる措置の命令や、違反行為の中止命令、違反是正措置の命令になります。これら命令を違反した場合は法定刑の対象となります。
「不正提供等」とは、個人情報データベースを自己もしくは第三者の不正な利益を図る目的で提供し、又は盗用することを指します。
「虚偽報告等」とは、個人情報取扱事業者等が個人情報保護委員会の求めに対し、報告や資料提出をしない、虚偽の報告や虚偽の資料提出を行う、質問に答えない、虚偽の回答をする、検査を拒否するなど、多岐にわたります。

(2)命令違反の公表が明確になった。(法42条4項関係)

改正前

なし(命令違反の公表については規定されていませんでした)

改正後

個人情報保護委員会からの命令への違反は、その旨が公表可能であることが規定されました。

解説

これまでにも命令違反の前段階における行政指導や勧告においても、一部のケースで公表されることがありました。そのため、この改正事項における影響はそれほど大きくないと考えられますが、正式に規定されることにより、命令違反のインパクトが大きくなったといえます。

2.法の域外適用・越境移転の在り方

(1)日本国内にある者に係る個人情報等を取り扱う外国事業者を、罰則によって担保された報告徴収・命令の対象とすることとなった。(法75条関係)

改正前

外国の個人情報保護事業者に対しては、個人情報保護法の多くが適用されることとなっていますが、報告徴収や立入検査、命令に関する規定は適用されていませんでした。

改正後

外国の個人情報保護事業者に対しても、域外適用として国内の事業者と同様に個人情報保護法のすべての規定が適用されることになりました。結果として報告徴収や立入検査、命令に関する規定も適用されることになりました。

外国の個人情報保護事業者に対しても、域外適用として国内の事業者と同様に個人情報保護法のすべての規定が適用される

解説

域外適用の対象となる外国にある個人情報取扱事業者とは、例えば、以下のようなケースです。

  • 外国のインターネット通販会社が、日本の消費者に対する商品の販売・配送に関連して、日本の消費者の個人情報を取り扱う場合
  • 外国のメールサービス提供事業者が、日本の消費者に対する メールサービス の提供に関連して、日本の消費者の個人情報を取り扱う場合
  • 外国のホテル会社が、日本の消費者に対する現地の観光地やイベント等に関する情報の配信等のサービスの提供に関連して、日本の旅行会社等から提供を受けた日本の消費者の個人情報を取り扱う場合

今後は、このような外国の個人情報取扱事業者に対し、個人情報保護委員会は罰則による強制力を伴う報告徴収や立入検査、命令ができるようになります。もちろん、命令違反があった場合は、公表も可能となります。

(2)外国にある第三者への個人データの提供時に、移転先事業者における個人情報の取扱いに関する本人への情報提供の充実等を求めることとなった。(法24条関係)

改正前

個人情報取扱事業者は、個人データを外国にある第三者に提供する場合、以下のいずれかに該当する場合を除き、あらかじめ外国の第三者への個人データの提供を認める旨の本人の同意を得る必要がありました。

  • 当該第三者が、わが国と同等の水準にあると認められる個人情報保護制度を有している国として個人情報保護法施行規則で定める国にある場合
  • 当該第三者が、個人情報取扱事業者が講ずべき措置に相当する措置(相当措置)を継続的に講ずるために必要な体制として規則で定める基準に適合する体制を整備している場合
  • 法23条1項各号に該当する場合
改正後

改正前の内容に加え、以下の要件が追加されることになりました。

  • 本人の同意を根拠に外国にある第三者に提供する場合、事前に以下の情報を本人に提供すること。
    • - 移転先国における個人情報の保護に関する制度
    • - 移転先事業者が講ずる個人情報保護のための措置
    • - その他当該本人に参考となるべき情報
  • 第三者が相当措置を講じたことを根拠に外国にある第三者に提供する場合、以下の対応を行うこと。
    • - 移転先事業者による相当措置の継続的な実施を確保するために必要な措置を講じる
    • - 本人の求めに応じて、当該必要な措置に関する情報を本人に提供すること

個人データを外国の第三者に提供する場合、上記いずれかを義務とする

解説

例えば、G7(カナダ、フランス、ドイツ、イタリア、英国、米国および日本)を例にとりましょう。
2021年8月現在においては、フランス、ドイツ、イタリア、英国の4か国は、日本と同等水準の個人情報保護制度の国とされています。
カナダ、米国の場合は、例えば、事前に本人同意を得ると共に、提供先の国の個人情報保護制度や提供先の事業者が講じる個人情報保護のための措置等の情報を提供しなくて はなりません(なお、カナダについてはEUの欧州委員会が十分なレベルの個人データ保護を保障している旨を決定しているとしています)。
第三者提供先の国における個人情報保護制度の情報を本人に対して提供しなければならないため、その前提として少なくとも国または地域名を明確にする必要があります。

3.その他

(1)安全管理措置に外的環境の把握が追加になった。(個人情報保護ガイドライン(通則編)別添)

改正前

なし

改正後

安全管理措置に、「個人情報取扱事業者が、外国において個人データを取り扱う場合、当該外国の個人情報の保護に関する制度等を把握した上で、個人データの安全管理のために必要かつ適切な措置を講じなければならない。」が追加されました。

法20条に定める安全管理措置に、外的環境の把握を追加

解説

有名な個人情報保護制度であるGDPR(一般データ保護規則)の対象国は、主にEU諸国になります。その他の諸外国には独自の個人情報保護制度が存在しているため、ビジネスの状況によってはそれらがどのような内容なのかを事前に把握し、対処しておく必要があります。
外国には、日本以上に厳しい個人情報保護制度もあると考えられるため、その調査把握は重要です。

まとめ

計5回にわたって改正法の概要を解説してきました。
今回の改正では、全体的に企業にとっては規制が厳しくなってきた一方で、これまであいまいとされてきた部分が明確になってきたため、遵守しやすい法律になってきたとも言えます。
より詳細について確認したい場合は、改正法の各ガイドラインおよびその新旧対照表を参照することをお勧めします。

参考資料