内閣府に設置された個人情報保護委員会事務局の資料によると、個人情報保護法は「個人の権利・利益の保護と個人情報の有用性とのバランスを図るための法律」だと記載されている。つまり、単に個人情報を厳密に保護するだけのものではなくて、時代や状況に応じてその内容を最適なものに調整することが理念になっているということだ。

また、この改正は個人情報を巡る状況の変化（個人の個人情報に対する意識の高まり・情報通信技術の一層の発展とそれに伴うさまざまなサービスの登場など）を背景に行われた。具体的には、個人の権利利益保護や、AI・ビッグデータ時代への対応など5つの視点が基とされている。

今回の法改正において、注目すべきポイントは6つある。

個人の権利のあり方

これまで「利用停止・消去等の個人の請求権（事業者が個人情報を目的外で利用したり不正に取得したりする場合、データの利用または消去を請求する権利）」は、事業者の違反が証明できる場合のみ行使可能だった。しかし改正後は、権利や利益が害される場合、あるいはその可能性がある場合などにも行使が可能になる。

さらに、企業が個人情報データを開示する際は、デジタル文書などを含む請求者本人が指示する形式での提示が可能になった。

事業者の守るべき責務のあり方

これまでの法律では、事業者の取り扱う個人情報が漏えいした場合、報告は努力義務とされていた。しかし、改正後は本人への通知が原則義務化されるほか、個人の権利利益侵害の恐れが大きい場合は個人情報保護委員会への報告を義務化されるようになる。

また、違法または不当な行為を助長する等の不適正な方法により個人情報を利用してはならない旨も、あわせて明確化することになった。

事業者による自主的な取り組みを促す仕組みのあり方

法改正前から、個人情報等の適正な取り扱いの確保に関して必要な業務を自主的に行う民間団体を「認定個人情報保護団体」として認定する制度が実施されてきた。法改正後にはそれが、部門単位で組織される民間団体も認定を受けることが可能になる。

データ利活用のあり方

これまで個人情報を事業などで活用する場合、個人情報データ自体を加工することによって個人を特定できない形式に変換することが標準であった。しかし、この方法ではデータの利活用に手間がかかり、イノベーションを促進できないというデメリットがある。

そこで法改正後は、個人情報から氏名等を削除した「仮名加工情報（他の情報と照合しない限り、特定の個人を識別することができない状態の情報）制度」を創設し、これを一元的に利用することでプライバシーを守りつつ事業者の義務を緩和することになった。

ペナルティのあり方

法改正に伴って、個人情報保護委員会による命令違反や虚偽報告などがあった場合の法定刑を引き上げることが決まった。これまでは当該内容による懲役刑の期間が最短でも6カ月以下だったものの、改正後は最短でも1年以下となる。同様に、罰金刑の上限額が最高50万円以下だったものを、内容によっては最高1億円以下までに大きく引き上げている。

法の域外適用のあり方

これまで、個人情報保護法は域外適用の対象となる外国の事業者に対しては指導および助言並びに勧告のような強制力を伴わない権限にとどまっていた。改正後はこれについても罰則によって担保された報告徴収・命令の対象とすることになり、今後は外国における漏えい等の事案に対して委員会が適切に対処することが期待される。

今回の法改正に伴い、各企業とも個人情報の取扱について対応を改める必要がある。

例えば、開示請求への対応要項が改定されたことで、今後は保有個人データをデジタルで開示するための対応が必要になる。また、情報漏えい発生時に個人情報保護委員会と本人への報告義務が追加されたため、事態を想定したフローの策定が求められる。

AIやビッグデータの活用がビジネスで一般化した現在、個人情報を取り扱わない企業はないだろう。前述のような対応が必要になることを踏まえたうえで、各企業の業務ごとに想定し得る事態への対策を準備し、改正法の施行に備えたい。