個人情報保護法は、平成２７年９月成立（平成２９年５月に全面施行）の改正法により大幅な改正がなされましたが、同改正法の附則において３年ごとに見直しを検討することとされていたことを踏まえて、令和２年６月に個人情報保護法の一部を改正する法律が成立し、令和４年４月１日から施行されます。
　個人情報保護法は、あらゆる企業において問題となり得る法律ですので、令和２年改正の概要を確認したいと思います。

１　個人の権利の在り方

（１）保有個人データの利用停止等

　一定の法令違反がある場合、本人は、個人情報取扱事業者（以下、「事業者」）に対し、保有個人データの利用停止若しくは消去又は第三者提供の停止を求めることができますが、改正後はこれに加え、事業者が保有個人データを保有する必要がなくなった場合、保有個人データの漏えい等があった場合その他保有個人データの取扱いにより本人の権利又は正当な利益が害される恐れがある場合にも、利用停止等を請求できることとされました。

（２）保有個人データの開示方法

　改正前は、本人からの個人データの開示請求に対する開示方法は書面の交付とされていましたが、改正後は、電磁的記録による方法も含めて本人が指定することができる（ただし、多額の費用を要する場合その他指定された方法での開示が困難な場合は書面の交付）こととされました。

（３）第三者提供記録の開示請求

　個人データを第三者に提供し又は第三者から提供を受ける場合、一定の事項を記録する必要がありますが、本人は、当該第三者提供記録の開示を請求できることとされました。

（４）短期保有データの規定の削除

　開示や利用停止等の請求の対象となる保有個人データについて、改正前は、６ヶ月以内に消去されるものは除外されていましたが、かかる規定は削除されました。

（５）オプトアウトにより提供できる個人データの限定

　オプトアウト方式により第三者に提供できるデータから、要配慮個人情報又は不正取得された個人データ若しくはオプトアウト方式により提供を受けた個人データが除外されました。

２　事業者が守るべき責務の在り方

（１）漏えい等の場合の報告・通知義務

　個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって、次の①～④のいずれかに該当する個人データの漏えい等の発生又はそのおそれがある事態が生じた場合、個人情報保護委員会に対し、速やかに所定の事項（個人情報保護委員会規則６条１項各号）のうち把握しているものを報告し、かつ、３０日以内（③の場合は６０日以内）に所定の事項全てを報告しなければならず、かつ、本人に対しても、速やかに一定の事項を通知しなければならないこととされました。
① 要配慮個人情報が含まれる場合
② 不正に利用されることにより財産的被害が生じるおそれがある場合
③ 不正の目的をもって行われたおそれのある漏えい等の場合
④ 個人データに係る本人の数が千人を超える漏えい等の場合

（２）不適正な利用の禁止

　事業者は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならないことが明確化されました。

３　事業者の自主的な取組を促す仕組みの在り方

　改正前の認定個人情報保護団体は、企業単位で個人情報全般の適正な取扱いを促すこととされていますが、これに加え、改正後は、企業の特定分野（部門）を対象とする団体を認定できることとされました。

４　データ利活用の施策の在り方

（１）仮名加工情報の創設

　イノベーション促進の観点から、個人情報の区分に応じて個人情報の一部を削除するなど一定の措置を講じて他の情報と照合しない限り特定の個人を識別することのできないように加工して得られる個人に関する情報である「仮名加工情報」の制度が創設され、内部分析に限定するなどの条件で、開示や利用停止等への対応等の義務を緩和する規定が設けられました。

（２）個人関連情報に係る確認義務

　提供先が個人データとして取得することが想定される場合の個人関連情報（生存する個人に関する情報で、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないもの）の第三者提供について、本人の同意が得られていること等の確認義務が定められました。

５　その他

　以上のほか、法定刑の引き上げや、法の域外適用（外国事業者への法令の適用）や越境移転（外国にある第三者への個人データの提供に関する規律）の在り方に関する改正もされています。

６　最後に

　以上が改正内容の概要ですが、特に１又は２記載の事項は多くの企業において影響があり得る事項ですので、詳細を確認の上、必要に応じて、取扱い方法や内部規定の見直し等の検討をお勧めします。