2022年4月施行の改正個人情報保護法は、個人情報保護士試験で頻出の重要論点です。本記事では主要な変更点と、試験で問われやすいポイントを整理します。
主要改正ポイント7項目
- 漏えい等発生時の報告義務化(個人情報保護委員会への報告+本人通知)
- 仮名加工情報の新設
- 個人関連情報の新設(Cookie等)
- 越境移転の本人同意要件強化
- 本人の権利拡充(利用停止・消去請求の要件緩和)
- 保有個人データの開示方法の拡大(電磁的記録での提供)
- 法定刑の引上げ(個人100万円以下→1億円以下)
漏えい等報告の義務化(最重要)
以下4ケースに該当する漏えい等は個人情報保護委員会への報告+本人通知が義務化されました。報告は速報(3〜5日以内)と確報(30日以内、不正アクセス等は60日以内)の2段階です。
- 要配慮個人情報を含む漏えい
- 財産的被害が生じるおそれがある漏えい(クレジットカード番号等)
- 不正アクセス等による漏えい
- 1,000人を超える漏えい
仮名加工情報とは
他の情報と照合しない限り個人を特定できないように加工した情報。匿名加工情報より加工レベルが軽く、内部分析など事業者の内部活用が目的です。本人の権利請求(開示・訂正)の対象外となる代わりに、第三者提供は原則禁止されています。
個人関連情報(Cookie規制)
- Cookie・位置情報・閲覧履歴など、単独では個人を特定できない情報
- 提供先で個人データとなることが想定される場合、本人同意が必要
- DMP連携やリターゲティング広告に影響
- 違反時は個人情報保護委員会の指導・命令対象に
本人の権利拡充
- 利用停止・消去請求の要件緩和(利用目的逸脱等でも請求可)
- 第三者提供記録の開示請求権が新設
- 開示方法を本人が選択可能(書面・電磁的記録)
- 短期保存データ(6ヶ月以内消去)も保有個人データに含まれる
越境移転の強化
外国の第三者に個人データを提供する際、本人同意に加えて「移転先国の制度情報」を本人に提供する義務が追加。また、移転後の監督義務も強化されました。
試験対策のポイント
- 改正前後の比較表を作って暗記
- 報告義務の4ケースを正確に覚える(数値・条件)
- 仮名加工情報・匿名加工情報・個人関連情報の違いを区別
- 罰則の金額の変化(1億円)を把握
ケンテイラボで改正論点を演習
ケンテイラボでは個人情報保護士対策問題を無料で収録。2022年改正の論点にも対応した最新の問題集で対策を固めましょう。