個人情報保護違反の「ペナルティー強化」 法改正で“1億円以下の罰金”の制定も:“課徴金制度”は?
本記事は、BUSINESS LAWYERS「令和2年個人情報保護法改正によって個人情報保護法違反のペナルティと課徴金はどう強化されたか」(渡邉雅之弁護士/2022年1月26日掲載)を、ITmedia ビジネスオンライン編集部で一部編集の上、転載したものです。
Q: 令和2年個人情報保護法改正によって違反行為に対するペナルティーと課徴金はどのように強化されましたか。
A:【改正のポイント】
- 法人処罰規定にかかる重科(1億円以下の罰金)の導入を含め、必要に応じた見直しを行う。
- 課徴金制度は検討課題とされ、導入はなされない。
個人情報については、これまでの個人情報保護委員会の執行実績を見ても、安全管理措置義務違反のように、違反行為があっても利得が生じていない場合も多く、課徴金による抑止がなじまないケースが多いです。現時点で個人情報保護違反による罰金の執行事例もないことも踏まえ、改正法においては、ペナルティーの強化は法定刑の引き上げにより対処することとされ、課徴金制度の導入は見送られました。
編注
本記事の「現行法」は「個人情報の保護に関する法律等の一部を改正する法律」(令和2年法律第44号、以下「令和2年改正法」といいます。)に基づく改正前の個人情報保護法を指します。
本稿内において【 】によって示している条番号は、「デジタル社会の形成を図るための関係法律の整備に関する法律」(令和3年法律第37号、以下「令和3年改正法」といいます。)施行後の条番号です。
※令和3年改正法の第一弾改正が令和2年改正法と同日の令和4年(2022年)4月1日に施行されるため、同日以降の条文番号は実際には【 】によって示されている条文番号となります。
ペナルティーの在り方(制度改正大綱第3章第5節「ペナルティの在り方」、第8節「継続的な検討課題(課徴金制度)」)(27頁、34頁)
1.令和2年個人情報保護法改正に伴うペナルティーの強化
(1)措置命令違反の罰則の強化
個人情報保護委員会の措置命令(個人情報保護法42条【145条/148条】2項・3項)違反をした者に対する罰則は、令和2年改正法の罰則の改正の施行日前(令和2年12月11日まで)は「6カ月以下の懲役または30万円以下の罰金」(旧84条)とされていましたが、「1年以下の懲役または100万円以下の罰金」(個人情報保護法83条【173条/178条】)と強化されました。
(2)報告・立入検査の忌避に対する罰則の強化(個人情報保護法85条【177条/182条】)
(i)個人情報保護法40条【143条/146条】1項の規定による報告もしくは資料の提出をせず、もしくは虚偽の報告をし、もしくは虚偽の資料を提出し、または当該職員の質問に対して答弁をせず、もしくは虚偽の答弁をし、もしくは検査を拒み、妨げ、もしくは忌避したとき、または、(ii)個人情報保護法56条【150条/153条】の規定による報告をせず、または虚偽の報告をしたときは、令和2年改正法の罰則の改正の施行日前(令和2年12月11日まで)は「30万円以下の罰金」とされていましたが、令和2年改正法では「50万円以下の罰金」に強化されました。
(3)法人重科(個人情報保護法87条【179条/184条】)
法人の代表者または法人もしくは人の代理人、使用人その他の従業者が、その法人または人の業務に関して、(i)措置命令違反(個人情報保護法83条【173条/178条】)、(ii)個人情報データベース等不正流用(個人情報保護法84条【174条/179条】)をした場合、現行法では、各条の罰金刑が科せられますが、改正法では1億円以下の罰金が科せられることになりました。
(4)施行期日・経過措置
本規定の改正は、令和2年12月12日に施行されました(令和2年改正法附則1条2号)。
2.令和2年個人情報保護法改正の趣旨
国際比較の観点では、GDPRなどの諸外国のプライバシー法制においては巨額の制裁金規制が設けられていますが、各国毎に国全体の法体系やペナルティーに対する考え方に違いがあり、個人情報保護委員会は、我が国の実態、法体系に照らして望ましい在り方を検討してきました。
現状においては、個人情報の取り扱いにかかる違反行為について、個人情報保護委員会が捕捉した案件に関しては、指導などにより違法状態が是正されているのが実態です。
しかしながら、個人情報保護委員会が漏えいなど報告を受けた事案や報告徴収・立入検査を行った事案の数は増加傾向にあります。勧告・命令や罰則については、中間整理公表時点での適用事例は存在しませんでしたが、令和元年(2020年)8月、委員会は初めての勧告を行いました(リクナビ問題)。
個人情報保護法は、罰則を違反行為に対する最終的な実効性確保の手段とし、法人に対してもいわゆる両罰規定を設けているところ(個人情報保護法87条)、罰金刑の効果は、刑罰を科せられる者の資力によって大きく異なります。個人情報取扱事業者の中には、十分な資力を持つ者も含まれるところ、法人に対して、現行法のように行為者と同額の罰金を科したとしても、罰則として十分な抑止効果は期待できません。
そこで、制度改正大綱では、現行の法定刑について、法人処罰規定にかかる重科の導入を含め、必要に応じた見直しを行うこととされています。
3.見送られた課徴金制度の導入
課徴金制度の導入については、ペナルティー強化の一環としてこれを求める意見がある一方で、中間整理の意見募集などでは、経済界などから反対の意見が寄せられました。
課徴金制度は、違反行為を行った事業者に経済的不利益を課すことにより、違反行為を事前に抑止することを目的とする制度です。現行法は、最終的な実効性確保の手段として刑事罰のみを予定しているところ、課徴金制度は、刑事罰の限界を補完し、規制の実効性確保に資するものです。
特に域外適用を受ける外国事業者の違反行為に対しては、国内事業者と同様に法執行を行う必要があるところ、課徴金制度は、外国事業者に対する有効な法執行手段となり得ます。
また、諸外国の個人情報保護法制において、違反行為に対して、高額の制裁金を課すことによって規制の実効性を確保している例があります(GDPRの制裁金参照)。
他方、国内他法令における課徴金制度は、不当利得を基準として課徴金を算定している例が多く、我が国の法体系特有の制約があることから、法制的な課題もあります。個人情報については、これまでの執行実績を見ても、安全管理措置義務違反などのように、違反行為があっても利得が発生していない場合があり、課徴金による抑止がなじまないケースが多いです。
現時点では、個人情報保護法違反による罰金の執行事例もないことも踏まえて、今回の改正においては、ペナルティの強化は法定刑の引き上げにより対処することとして、課徴金制度の導入は行わないと判断をしました。
課徴金制度の導入については、我が国の法体系、執行の実績と効果、国内外事業者の実態、国際的な動向を踏まえつつ、引き続き検討を行っていくものとされています。
4.参考 GDPRの義務違反に対する制裁金
| 制裁金の上限額の基準 | 義務違反の類型 |
|---|---|
| 事業体の全世界年間売上高の2%、または、1000 万ユーロのいずれか高い方(GDPR83条4項) | ・16 歳未満の子どもに対する直接的な情報社会サービスの提供に関する個人データの処理には、子に対する保護責任を持つ者による同意または許可が必要という条件に従わなかった場合(8条) ・適切な技術的・組織的な対策を実施しなかった、またはそのような措置を実施しない処理者を利用した場合(25条、28条) ・EU 代理人を選任する義務を怠った場合(27条) ・処理活動の記録を保持しない場合(30条) ・監督機関に協力しない場合(31条) ・リスクに対する適切なセキュリティレベルを保証する適切な技術的・組織的な対策を実施しなかった場合(32条) ・セキュリティ違反を監督機関に通知する義務を怠った場合(33条) ・データ主体に通知しなかった場合(34条) ・データ保護影響評価を行なわなかった場合(35条) ・データ保護影響評価によってリスクが示されていたにも関わらず、処理の前に監督機関に相談しなかった場合(36条) ・データ保護オフィサー(DPO)を選任しなかった場合、または、その職や役務を尊重しなかった場合(37〜39条) ・認証機関の義務違反(42条、43条) ・監視団体の義務違反(41条4項) |
| 事業体の全世界年間売上高の4%、または、2000 万ユーロのいずれか高い方(GDPR83条5項、6項) | ・個人データの処理に関する原則を遵守しなかった場合(5条) ・適法に個人データを処理しなかった場合(6条) ・同意の条件を遵守しなかった場合(7条) ・特別な種類の個人データの処理の条件を遵守しなかった場合(9条) ・データ主体の権利およびその行使の手順を尊重しなかった場合(12-22条) ・個人データの越境データ移転の条件に従わなかった場合(44-49条) ・第9章に基づく加盟国の国内法の義務の不遵守 ・監督機関の命令(58条)に従わなかった場合 |
渡邉雅之弁護士 弁護士法人三宅法律事務所
東京大学法学部卒、日特建設株式会社、株式会社広済堂ホールディングス、株式会社代々木アニメーション学院の社外取締役就任。
BUSINESS LAWYERSについて
BUSINESS LAWYERSは、“企業法務の実務に役立つ情報を提供する”オンラインメディアです。特にIT分野では、個人情報などのデータの取り扱いに関する情報や、開発・DXプロジェクトにおける留意点をはじめ、主に法的観点による解説コンテンツを発信。独自のネットワークを駆使したインタビュー記事や、企業法務の第一線で活躍する弁護士による実務解説記事などを掲載しています。その他の記事はこちら。
関連記事
法改正に伴うCookie対応、BtoB企業はどこまで必要? 英語ページで変えるべき? 専門家に聞くQ&A
2022年4月に迫る個人情報保護法の改正に備え、自社のCookie対応などをどこまでするべきか迷っている担当者は少なくないだろう。「BtoB企業はどこまで対応すべきか?」「英語ページと日本語ページで対応を分けるべきなのか?」などの疑問に、弁護士・ニューヨーク州弁護士の石川智也氏が回答した。
個人情報保護法改正で、マーケティングに欠かせない「プロファイリング」はどう変わる?
改正個人情報保護法の施行により、これまで以上に個人データの取扱いには注意が必要となる。マーケティングに欠かせないプロファイリングの手法はどう変わるのか? いま注目のデータクリーンルームの運用は? 田中浩之弁護士×トレジャーデータ山森氏の対談をお届けする。
幹部候補か、“万年ヒラ”か キャリアの分かれ目「30代以降の配置」を、人事はどう決めている?
「育成」の観点から異動配置させる20代が過ぎると、多くの企業は「幹部候補の優秀人材」と「それ以外」の社員を選別します。人事は、そうした異動配置をどのように決めているのでしょうか。年代層別の異動配置のロジックをみていきます。
「優秀でも残念でもない、普通社員」の異動に、人事が関心を持たない──何が起きるのか
社員の異動を考える際、人事部が真っ先に関心を持つのは「優秀社員」と「残念社員」。その間にいる大多数の「普通社員」は後回しにされがちという実態がある。しかし、この層への取り組みを疎かにすると、ある懸念が生まれる。
「優秀だが、差別的な人」が面接に来たら? アマゾン・ジャパン人事が本人に伝える“一言”
多様性を重視するアマゾン・ジャパンの面接に「極めてだが優秀だが、差別的な人」が来た場合、どのような対応を取るのか。人事部の責任者である上田セシリアさんに聞いた。
「部下を育てられない管理職」と「プロの管理職」 両者を分ける“4つのスキル”とは?
日本企業はなぜ、「部下を育てられない管理職」を生み出してしまうのか。「部下を育てられない管理職」と「プロの管理職」を分ける“4つのスキル”とは? 転職市場で求められる優秀な管理職の特徴について解説する。
© BUSINESS LAWYERS
Special
PR
注目記事ランキング
FeedBack
ITmediaはアイティメディア株式会社の登録商標です。