マモリノジダイとは
会員登録
個人情報保護法の改正で何が変わった?2022、2023、2025の変更点をわかりやすく解説
個人情報保護法は、企業や組織が個人情報を適切に取り扱うための基本ルールを定めた法律です。社会環境の変化や技術の進化に応じて、定期的に改正が行われています。
特に近年では、デジタル技術の発展や個人情報の利活用の拡大に伴って修正の必要性が高まっている状況です。過去には大きな改正が実施されました。
本記事では、過去の個人情報保護法改正のポイントを整理し、中小企業への影響を解説します。また、2025年の改正の可能性についても触れますので、ぜひ参考にしてください。
目次
まずは個人情報保護法の基本を理解する
個人情報保護法は、企業や団体が個人情報を適切に取り扱い、漏えいや不正利用を防ぐために定められた法律です。
参考)e-GOV「個人情報の保護に関する法律」
インターネットやデジタル技術の発展により、個人情報の収集・利用が広がる一方で、情報流出のリスクも高まっています。そのため、法律の改正を通じて、適切な情報管理の枠組みを整えることが必要です。
なぜ個人情報保護法は改正される?
個人情報保護法は、定期的に改正が行われています。その理由は、大きく分けて以下の3点です。
- デジタル技術の進化と個人情報の取り扱いの変化
- プライバシー保護の国際的な動向
- 個人情報の流出や不正利用の増加
近年、AIやビッグデータの活用が進み、企業が大量の個人情報を収集・分析する機会が増えています。これに伴い、個人情報の不適切な利用や漏えいリスクも高まっている状況です。
たとえば、過去の改正では、データ主体(個人)の権利が強化され、企業に対して罰則が厳格化されました。また、安全管理措置の強化や、取得段階の個人情報も保護対象に含めるなど、ルール変更が行われています。
さらに、個人情報保護は国際的な課題です。EUのGDPR(一般データ保護規則)をはじめ、各国のプライバシー規制厳格化に日本も対応しなければいけません。
「技術の進展」「データ保護の国際基準」「個人の権利保護強化」などの観点から、個人情報保護法は改正が行われています。
個人情報保護法改正は3年ごと?
令和2年改正法の附則において、以下の文言が規定されました。
| 政府は、この法律の施行後三年ごとに、個人情報の保護に関する国際的動向、情報通信技術の進展、それに伴う個人情報を活用した新たな産業の創出及び発展の状況等を勘案し、新個人情報保護法の施行の状況について検討を加え、必要があると認めるときは、その結果に基づいて所要の措置を講ずるものとする。 |
出典)個人情報保護委員会「個人情報保護法のいわゆる3年ごと見直しに関する検討会報告書」 p.4
これに基づき、今後も3年ごとの見直しが予定されているというのが基本の方針です。ただし、あくまで「見直しを行う義務」であり、「必ず改正する」わけではありません。
2022年4月施行の個人情報保護法改正ポイント
2022年4月に全面施行された個人情報保護法の改正(令和2年改正法)では、あらゆるルールが追加・変更されました。特に「個人の権利拡大」や「企業の情報管理義務の厳格化」が中心です。
| 改正項目 | 内容 |
| 保有個人データの利用停止・消去請求の拡充 | 個人が不要なデータの削除や利用停止をより柔軟に求められるようになった |
| 情報漏えい時の報告・本人通知の義務化 | 1,000件以上の漏えいなど一定の条件を満たした場合、個人情報保護委員会への報告と本人通知が必須になった |
| 仮名加工情報の制度創設 | データ活用とプライバシー保護のバランスを取るための新概念を導入した |
| 不適正な方法での個人情報利用の禁止 | 個人の権利を侵害するような目的でのデータ利用を明確に禁止した |
| 個人関連情報の第三者提供時の本人同意の義務化 | Cookieや位置情報の提供時、提供先で個人データとなる場合は本人の同意が必要になった |
参考)政府広報オンライン「「個人情報保護法」を分かりやすく解説。個人情報の取扱いルールとは?」
2022年の改正では、特に中小企業においても情報管理体制の強化が不可欠となりました。特に重要なポイントは以下です。
- 個人情報を扱う企業の責任がより重くなった
- 適切なデータ管理・漏えい対応が求められる
- オンラインサービス事業者・広告業界の企業は慎重な対応が必要
中小企業の経営者、バックオフィス担当の方でまだキャッチアップしていない方は、早期に学習しましょう。中小企業にとって、個人情報保護法の「守り」を強化することは、法的リスクを回避し、企業の信頼性を高める重要なポイントです。
2023年4月施行の個人情報保護法改正ポイント
2023年4月施行の個人情報保護法改正(令和3年改正法)では、「個人情報の取り扱いルールの統一」が最大のポイントとなっています。
従来、民間企業・国の行政機関・独立行政法人・地方公共団体は、それぞれ異なる個人情報保護ルールを持っていました。これを1本の法律に統合し、全国的な共通ルールを適用する形に変更された形です。
その他も含めて、以下の表に改正内容をまとめました。
| 改正項目 | 内容 |
| 個人情報保護法の統合 | 民間・国の行政機関・独立行政法人・地方公共団体の個人情報保護法を一本化 |
| 全国共通ルールの適用 | 地方自治体ごとに異なっていた個人情報保護制度を全国統一 |
| 個人情報保護委員会への権限一元化 | すべての個人情報管理の所管を個人情報保護委員会に統一 |
| 医療・学術分野の規制統一 | 国公立病院・大学等にも民間と同じルールを適用 |
| GDPR対応の精緻化 | 学術研究に関する適用除外規定を細分化 |
| 個人情報の定義の統一 | 国・民間・地方公共団体の個人情報の定義を統一 |
| 匿名加工情報の取扱いの明確化 | 行政機関での匿名加工情報の規律を明確化 |
参考)個人情報保護委員会「令和3年改正個人情報保護法について」 p.3-4
2025年に個人情報保護法は改正予定!今後の見通し
個人情報保護委員会は2024年6月に「個人情報保護法いわゆる3年ごと見直しに係る検討の中間整理」を公表しました。
参考)個人情報保護委員会「個人情報保護法いわゆる3年ごと見直しに係る検討の中間整理」
そこから3年ごとの見直しに関して検討会を実施し、2025年1月に「今後の検討の進め方について(案)」を発表しています。
参考)個人情報保護委員会「「個人情報保護法いわゆる3年ごと見直しに係る検討」の今後の検討の進め方について(案)」
こうした議論のなかで改正を検討している内容について、以下の表に整理しました。
| 項目 | 内容 |
| 1.個人の権利利益を考慮した「同意規制」の見直し | 本人同意が不要となるケースの検討。特に、①統計作成等のデータ活用、②本人の意思に反しない取得、③生命・公衆衛生向上のための利用において、同意不要とする可能性がある。 |
| 2.漏えい等発生時の「本人通知義務の緩和」 | 漏えいした情報の性質に応じて、本人通知の義務を緩和することを検討。たとえば、会員番号など権利利益の侵害リスクが低い情報の場合は通知不要とする案がある。 |
| 3.データ処理を委託された事業者に対する規律強化 | クラウドサービスやAI企業など、データ処理を担う事業者に対して、適切な規律を整備。特に、委託元企業と委託先の責任範囲の明確化や監督強化が課題となっている。 |
こうした改正が施行されると、中小企業にとって大きな影響を及ぼします。今後、発表されるであろう改正内容について最新情報をチェックしておきましょう。
個人情報保護法改正を監視しないと中小企業はリスクを被る
個人情報保護法の改正に合わせて対策を講じないと、中小企業にとって重大なリスクとなります。具体的なリスクは以下です。
| リスク | 内容 |
| 違反時の罰則と行政指導の強化 | 個人情報保護法の違反には高額な罰金や業務改善命令が科される可能性がある。 |
| 取引先・顧客からの信頼低下 | 情報漏えいが発生した企業は、信用を大きく失い、取引の打ち切りや顧客離れにつながる。 |
| 漏えい事故発生時の対応負担増 | 個人データが流出した際、個人情報保護委員会への報告や、本人への通知が義務化されている。対応に多大なコストと労力がかかる。 |
| コンプライアンス基準の未達による取引停止リスク | 法改正に対応しない企業は、競争力を失い、取引先からの契約解除につながる可能性がある。 |
中小企業が法改正を見落とすと、ただちに違反となるケースもあります。常に最新情報を把握し、社内のルールを見直すことが必要です。
また、社内のガバナンスを強化するため、定期的な社内研修や外部専門家のアドバイスを受けるようにしましょう。
個人情報保護法改正に中小企業はどう対応すべき?
個人情報保護法の改正に合わせて以下の対応策を実施することで、企業の信頼を維持できます。
| リスク | 内容 |
| 個人情報の取扱いルールの見直し | 事業活動において収集・保管・利用する個人情報の範囲を明確化し、社内の運用ルールを最新の法改正に適応させる。 |
| プライバシーポリシーの改訂 | Webサイトや契約書などに記載するプライバシーポリシーを最新の法改正に適合させる。 |
| 個人データの安全管理措置の強化 | アクセス管理の厳格化や暗号化、バックアップの整備など、情報漏えいを防ぐためのセキュリティ対策を実施する。 |
| 社内のコンプライアンス研修の実施 | 従業員の意識向上のため、個人情報の取り扱いルールやリスクを定期的に教育する研修を実施する。 |
| 個人情報漏えい時の報告フローの整備 | 情報漏えい発生時に速やかに個人情報保護委員会や被害者への通知を行うための社内フローを明確化する。 |
中小企業にとって、個人情報保護は「守り」の要です。適切な管理体制を整えることが求められます。
特に、最新のガイドラインやQ&Aを参考にしながら、自社に適した対策を講じましょう。
まとめ
個人情報保護法は、時代の変化に対応しながら約3年ごとに見直しが行われています。
過去の改正では「データ保護の強化」「個人の権利拡大」「安全管理措置の強化」といった変更がありました。さらに、2025年以降も改正が予定されており、企業は継続的な対応が必要です。
中小企業は、個人情報保護法の改正を正しく理解し、「守り」の視点を持った情報管理体制を強化しましょう。
関連記事
-
企業におけるコンプライアンスの確立方法、その手法とは
コンプライアンス(compliance)は、直訳すると「法令遵守」を意味しています。
ただし、ビジネス用語としての「コンプライアンス」は、法律・規則・倫理観等を守りながら企業が組織活動を行うことを意味します。そこで今回は、コンプライアンスはなぜ必要なのか、実際に起こった違反の事例、コンプライアンスを強化するメリット、コンプライアンスの強化方法などを紹介します。 -
残業代が出ない会社が抱えるリスクとは?会社側がやりがちなNG行為も紹介
原則として、会社が労働者に法定労働時間を超える労働や休日労働をさせた場合、残業代を支払う義務があります。
この義務を怠ることは、単に法律に違反するだけでなく、企業にとって想像以上に大きなリスクを招く可能性があるのです。
この記事では「残業代が出ない会社」が直面する可能性のある法的責任や、企業イメージの低下といった深刻なリスクを解説します。
さらに、コスト削減や誤った認識から、中小企業を中心とした残業代が出ない会社のNG行為についても具体的に紹介します。
-
BCP対策とは?具体的なやり方、マニュアルの作り方などをわかりやすく解説
地震や台風、感染症、サイバー攻撃など、企業活動を脅かすリスクが年々多様化・深刻化しています。そんな中、企業や事業者に求められているのが「BCP対策(事業継続計画)」です。
特に中小企業にとっては、ひとたび事業が停止すれば経営への打撃は計り知れません。さらに近年では、医療・介護分野でBCP対策が法令上義務化されています。
業界を問わず“やっておくべき対策”から“やらなければならない対応”へと変化している状況です。
-
下請法とは?中小企業が知るべき4つの義務と禁止行為をわかりやすく解説
ビジネスを円滑に進めるために、業務の一部を外部の企業に委託することは珍しくありません。しかし、「下請法」のルールを正しく理解しておかないと、知らず知らずのうちに違反してしまうリスクがあります。
本記事では、発注する立場として注意すべき義務や禁止行為、違反が経営に与える影響について解説し、適正な取引を行うためのポイントを紹介します。
-
企業が行う社会貢献とは?メリット、CSRとの違い、各社の事例を紹介
社会貢献とは、企業や個人が社会に対して積極的に貢献する活動を指します。企業が社会貢献に取り組むことで、社会全体にプラスの影響を与えられます。その結果、企業の信頼性やブランド価値を高めることが可能です。そこで今回は、企業が取り組むべき社会貢献活動について、意義や具体的なステップ、メリット、企業の事例などを網羅的に解説します。