2015年には、個人情報保護法の制定から10年が経過し、行動ターゲティング広告など制定当時に想定されていなかったパーソナルデータの利活用が可能になったこと、国境を超えたデータ流通が活発化したことから、最初の改正が行われました。

この時に、個人情報の保護に関する国際的動向の変化や情報通信技術の進展に対応できるように、3年ごと見直し規定が導入されました。これに従って、2020年に法改正が行われ、それが2022年4月1日に施行されたのです。

今回の改正のポイントは、大きく分けて6つあります。

①本人の請求権の拡大

②事業者の責務の追加

③事業者の自主的な取り組みの推進

④データ利用活用の推進

⑤ペナルティの強化⑥域外適用等の拡充

以下、それぞれについて、詳しく見ていきましょう。

①本人の請求権の拡大

改正前は、本人が個人情報取扱事業者の保有個人データの利用停止や消去を請求できるのは、目的外利用されたときと、不正の手段で取得されたときに限られていました。また、第三者提供の停止を請求できるのは、本人の同意なく第三者提供がなされたときに限られていました。

改正法で変更されたのは以下の点です。

ア．不適正な利用がなされたときも利用停止等が請求できる（30条1項、16条の2）

イ．保有個人データを利用する必要がなくなったときや、保有個人データの漏えい等が生じたとき、その他保有個人データの取扱いにより本人の権利又は正当な利益が害されるおそれがあるときにも、利用停止等又は第三者提供の停止の請求ができる（30条5項）

ウ．ただし、利用停止等や第三者提供の停止を行うことが困難な場合であって、本人の権利利益の保護のための代替措置が取られている場合はこの限りではないとして、個人情報取扱事業者の負担を軽減している（30条6項ただし書）。

エ．本人の個人情報取扱事業者に対する個人情報の第三者提供の記録（公益等が害されるものとして政令で定めるものを除く）の開示請求権が新設（28条5項）。

②事業者の責務の追加

ア．個人情報取扱事業者に対し、個人データの漏えい等が発生した場合の報告義務及び本人に対する通知義務が新設された（22条の2、1項）。ただし、他の個人情報取扱事業者から個人データの取扱いの委託を受けた場合は、委託元に通知すれば足りることとされた（22条の2、1項ただし書）。

イ．本人への通知が困難な場合であって、本人の権利利益の保護のための代替措置が取られている場合はこの限りではないとして、個人情報取扱事業者の負担が軽減された（22条の2、2項ただし書）

ウ．個人情報取扱事業者の個人情報の不適正な利用の禁止義務が明文化された。不適正な利用とは、違法又は不当な行為を助長し、又は誘発するおそれがある方法による利用を指す（16条の2）。

③事業者の自主的な取り組みの推進

改正前から、本人や関係者からの個人情報取扱いに関する苦情の処理や、個人情報等の適正な取扱いに関する情報の提供、その他個人情報等の適正な取扱いの確保に関して必要な業務を自主的に行う民間団体を「認定個人情報保護団体」として認定する制度があったが、認定個人情報保護団体の業務は個人情報取扱事業者のすべての分野（部門）を対象とする必要があり、負担が重かった。

改正法では特定の分野（部門）だけを対象にできるようになり（47条1項、2項）、事業者の自主的な個人情報保護への取り組みが容易になった。

④データ利活用の促進－仮名加工情報について

ア．改正前は、個人を特定できないように個人情報を加工した場合でも、加工前の情報と同等に厳格な規制の対象となっていたが、改正後は、イノベーションを促進する観点から氏名等を削除して、他の情報と照合しない限り個人を特定できないように個人情報を加工した場合は（仮名加工情報）、仮名加工情報取扱事業者の内部分析目的の利用に限定する等を条件に、開示・利用停止請求への対応等の義務を緩和（2条9項、10項、35条の2、35条の3）した。

イ．提供元では個人データに該当しないものの、提供先において他の情報と照合することにより、容易に個人を特定することができる情報（個人関連情報）がある。例えば、Cookieなどのような識別子情報とそれに紐づく閲覧履歴や購入履歴などの個人情報ではない情報がこれに当たるが、改正法では個人関連情報を第三者提供する場合、提供元が提供先に対して本人の同意を得ていること等を確認する義務を新設した（26条の2第1項）。

⑤ペナルティの強化

ア．改正により、措置命令違反、報告義務違反、個人情報データベース等の不正流用をした個人及び法人に対する罰則が重くなった。措置命令に違反した個人に対しては、「6か月以下の懲役又は30万円以下の罰金」から「1年以下の懲役又は100万円以下の罰金」に、報告義務違反に対しては「30万円以下の罰金」から「50万円以下の罰金」に強化された。

イ．法人に対する罰金刑は旧法では個人と同じだったが、改正により措置命令違反と個人情報データベース等の不正流用については「1億円以下」に引き上げられた。

⑥域外適用等の拡充

ア．改正前は、一部の条項が外国の事業者に適用されていたが、外国の事業者は報告徴収・命令および立入検査などの対象ではなかった。改正により、日本国内にある者に係る個人情報等を取り扱う外国事業者を報告徴収・命令の対象とし、罰則も適用されることになった（75条）。

イ．個人情報取扱事業者が外国にある第三者に個人データを提供する場合、移転先事業者における個人情報の取扱いに関する制度等について本人への情報提供義務などが規定され、個人情報の保護を手厚くした（24条2項、3項）。