<ポイント>
◆改正により外国の事業者も個人情報保護委員会による報告徴収等の対象となった
◆改正により個人情報取扱事業者の取引先や顧客も報告徴収等の対象となった
◆改正により刑事罰が引き上げられた
まず域外適用について説明します。
高度情報化社会の到来・企業の経済活動の国際化に伴い、外国の個人情報取扱事業者が、国内にある者に物品・役務を提供する際にその者を本人とする個人情報を取得するケースが増えてきています。典型例は、外国の旅行業者や宿泊業者が日本国内にある者から直接予約を受け付けてサービスを提供するケースです。
もっとも、現行法では、上述したケースでは個人情報保護委員会は当該事業者に対して必要な報告や資料の提出を求めたり、立入検査等をしたりすることができません。当該事業者が個人情報保護法に違反する行為をおこなっていたとしても、是正するよう命令することもできません。強制力を伴う権限を行使することはできず、指導・助言・勧告ができるにとどまります。
しかし、今後ますます情報の高度化や企業の経済活動の国際化が進んでいくことからすると、個人情報等が外国で漏洩される等のリスクも高まっているといえます。
そこで改正法では、事業者が、国内にある者に物品・役務を提供する際に、国内にある者を本人とする個人情報・個人関連情報・仮名加工情報・匿名加工情報を外国で取り扱う場合にも、罰則によって担保された報告徴収及び命令の対象とすることとしました。当該事業者が命令に応じない場合、個人情報保護委員会はその旨を公表することもできます。
ただし外国主権との関係上、その国の同意がない限り他国領域内で公権力を行使することはできないので、必要に応じて外国当局との執行協力をしていくことが考えられます。
また、現行法では、個人情報保護委員会による報告徴収や立入検査の対象は、個人情報取扱事業者又は匿名加工情報取扱事業者に限定されており、たとえば当該事業者の取引先や顧客などは報告徴収等の対象になっていません。
しかし、事業者が個人情報等を適正に取得または提供しているかを確認するためには、取得または提供の相手方に対しても調査する必要があります。また、外国での個人情報等の取扱いが個人情報保護法の適用対象となるかを確認するためには、当該事業者が物品や役務を提供する相手方に対しても調査する必要があります。
そこで改正法では、報告徴収等の対象として、個人情報取扱事業者や匿名加工情報取扱事業者に個人関連情報取扱事業者、仮名加工情報取扱事業者を加えるだけでなく、取引先や顧客を含めた個人情報等の取扱いに関する一切の関係者も含めることとしました。
次に罰則について説明します。
個人情報保護法に違反する事案が増加傾向にあることから、今回の改正により罰則を重くすることとし、令和2年12月12日から施行されています。
たとえば個人情報保護委員会の命令に違反した場合、当該行為者に対する従前の法定刑は6月以下の懲役または30万円以下の罰金でしたが、改正により1年以下の懲役又は100万円以下の罰金へと引き上げられています。
また、両罰規定により、当該行為者だけでなく法人にも罰金刑が科されていますが、その金額は、改正前は上述した命令違反の例でいえば30万円以下の罰金にとどまっており、資力のある法人に対してはほとんど抑止力のない状況でした。そこで今回の改正により、1億円以下の罰金へと大きく引き上げられています。
