個人情報保護法改正に伴う企業による対応の実態、およびそれに伴う課題とリスクは何か。

スポンサーリンク

📊 事実

法改正の概要と時系列

  • 令和2年改正個人情報保護法により、罰則規定が強化され、漏えい等報告・本人通知の義務化、外国にある第三者への個人情報提供に関する規定改正、保有個人データの開示方法改正、個人データの利用の停止・消去等請求規定改正、公表等事項の充実、不適正利用の禁止、仮名加工情報規定が導入されたソース2
  • 2022年4月の改正法施行に合わせ、日本商工会議所は会員企業向けにモデル規定を提供しているソース1
  • 個人情報保護法改正に関する意見募集が2025年9月14日から10月13日まで実施され、85件の意見が寄せられたソース8
  • 2026年4月1日に個人情報保護法施行規則の一部が改正される予定であり、Webスキミング等による情報流出を報告対象に追加することが含まれるソース8
  • 改正個人情報保護法は2026年7月10日に国会で成立し、企業はAI開発や統計作成の用途に限り、本人の同意なしに病歴、犯罪歴、人種、信条などの要配慮個人情報を収集できるようになるソース3 ソース4 ソース6
  • 改正法では、違反業者への課徴金制度を導入し、千人分を超える大規模な個人情報を不正に取得、利用した場合、データ活用で得た利益の相当額の納付を命じるソース4
  • 個人情報取扱事業者は、要配慮個人情報を取扱う場合、当該情報を公表しなければならないが、統計作成等用の要配慮個人情報を第三者に提供してはならないとされているソース10

企業の対応と実態

  • 日本商工会議所は個人情報保護法改正に関する解説動画を公開し、全国515の商工会議所を対象にコンプライアンス体制強化会議を実施しているソース1
  • 中小企業向けにセキュリティ診断ツールを提供し、会員企業向けの損害保険セミナーも開催しているソース1
  • 中小規模事業者(従業員100人以下、ただし過去6ヶ月以内に特定の個人の数が5,000を超える場合は除く)の約80%が個人情報保護法上の漏えい報告義務を知らないという調査結果があるソース1 ソース7
  • 中小規模事業者1,620社を対象とした調査では、個人情報保護を担当する専門家が不足している割合は35.8%、従業員への知識浸透が不足している割合は32.4%と報告されているソース9
  • 同調査において、改正法により「特に変わらない」と回答した中小規模事業者は55.2%であり、「コンプライアンス意識が向上した」は24.0%、「個人情報の定義が明確化されて管理がしやすくなった」は18.1%に留まるソース9

国際的な法規制との整合性

  • 欧州の一般データ保護規則(GDPR)は、個人情報の処理に同意、契約履行、法的義務の遵守、正当な利益などの法的根拠を要求するソース5
  • 日本の個人情報保護法(APPI)では、本人に利用目的を通知した上で個人情報を取り扱うことが可能だが、第三者に提供する場合は原則として本人の同意が必要であるソース5
  • APPIは欧州企業が日本のデータ主体から個人情報を収集する場合に域外適用されるが、GDPRでは法的根拠が必要であり、APPIの利用目的の通知だけでは不十分と指摘されているソース5
  • 欧州企業はGDPRとAPPIの定義や法的根拠の違いに直面し、日本のデータ保護要件を満たすためにプライバシーポリシーの修正や同意の取得に伴うコスト増大に直面しているソース5

💡 分析・洞察

  • 個人情報保護法改正は、AI開発や統計作成分野におけるデータ利活用を促進し、日本のデジタル競争力強化に資する一方で、要配慮個人情報の本人の同意なき収集は、プライバシー保護とデータ活用のバランスにおいて国民の懸念を生む。
  • 中小規模事業者の約8割が改正法の漏えい報告義務を知らない現状は、法改正の趣旨が国民経済の基盤を支える企業層に十分に浸透していないことを示唆し、情報ガバナンスの全体的な脆弱性を露呈している。
  • 日本の個人情報保護法とGDPRとの法的根拠の差異は、グローバルに展開する日本企業にとって、国際的なデータ移転や管理における不確実性と追加的コストを発生させ、国際競争上の障壁となり得る。

⚠️ 課題・リスク

  • 中小企業の法順守体制の不備や専門人材の不足は、大規模な情報漏えい事故が発生した際に、国民の個人情報が広範囲に流出し悪用されるリスクを増大させ、社会全体の治安悪化やサイバーセキュリティの脆弱化に直結する。
  • 本人の同意なく要配慮個人情報を収集できる規定は、データ漏洩時の社会的信用の毀損や、特定の個人が不利益を被る判断に利用される可能性があり、国民の国家および企業に対する信頼感を損ねるリスクがある。
  • GDPRとAPPIの定義・法的根拠の不整合は、日本企業が国際的なデータエコシステムに参画する際の法的リスクを増大させ、多大なコンプライアンスコストを発生させることで、国民経済の国際競争力維持に負の影響を与える可能性がある。

主な情報源: 朝日新聞 / 個人情報保護委員会 / 産経新聞

コメント

タイトルとURLをコピーしました