ポイント1│本人の権利保護が強化される
旧法│6か月以内に消去する短期保存データは、「保有個人データ」に含まれない。
新法│6か月以内に消去する短期保存データも、「保有個人データ」に含まれるようになる。
保有個人データの開示請求のデジタル化
旧法│個人情報取扱事業者による保有個人データの開示は、原則として書面の交付による方法とされている。
新法│本人は、電磁的記録の提供による方法など個人情報取扱事業者の開示方法を指定でき、個人情報取扱事業者は、原則として本人が請求した方法によって開示する義務を負う。
利用停止・消去請求権の要件緩和
旧法│利用停止・消去請求ができる場合は、次の場合に限定されていた。
・個人情報を目的外利用した場合(旧個人情報保護法16条)
・不正の手段により取得した場合(同法17条)
新法│次の場合も、請求できるようになった。
・違法又は不当な行為を助長し又は誘発するおそれがある方法で利用した場合
・保有個人データを、事業者が利用する必要がなくなった場合
・保有個人データの漏えい等が生じた場合(個人情報保護法26条1項)
・その他、保有個人データの取扱いにより、本人の権利利益が害されるおそれがある場合
第三者提供の停止請求権の要件緩和
旧法│第三者提供の停止請求ができる場合は、次の場合に限定されていた。
・本人の同意なく第三者に提供した場合(旧個人情報保護法23条1項)
・本人の同意なく外国にある第三者に提供した場合(同法24条1項)
新法│次の場合も請求できるようになった。
・保有個人データを、事業者が利用する必要がなくなった場合
・保有個人データの漏えい等が生じた場合(個人情報保護法26条1項)
・その他、保有個人データの取扱いにより、本人の権利利益が害されるおそれがある場合
旧法│第三者提供記録は、本人による開示請求の対象ではなかった。
新法│第三者提供記録が、本人による開示請求の対象となった。
ポイント2│事業者の責務が追加される
漏えい時の報告義務
旧法│個人情報取扱事業者による、個人情報の漏えい等の発生時の個人情報保護委員会への報告、本人への通知は法定の義務ではなかった。
新法│個人情報取扱事業者は、個人情報の漏えい等の発生時は、個人情報保護委員会に報告し、本人に通知する義務を負う。
不適正な利用の禁止
旧法│違法・不当な行為を助長・誘発するおそれがある方法による個人情報の利用、について明文で禁止されていなかった。
新法│違法・不当な行為を助長・誘発するおそれがある方法による個人情報の利用、が明文で禁止された。
ポイント3│企業の特定分野を対象とする団体の認定団体制度が新設される
旧法│認定団体制度は、事業者の全ての事業・業務における個人情報等の取扱いを対象とする団体の認定を行っていた。
新法│認定団体制度において、事業者の特定の事業・業務における個人情報の取扱いを対象とする団体を認定することが可能となった。
ポイント4│データの利活用が促進される
・仮名加工情報について義務を緩和
・提供先で個人データとなることが想定される場合の確認義務を新設
ポイント5│法令違反に対する罰則が強化される
措置命令・報告義務違反の罰則について法定刑を引き上げた
旧法│罰則は、それぞれ以下のとおりであった。
・措置命令の違反の罰則:6 か月以下の懲役又は30 万円以下の罰金
・個人情報データベース等の不正流用:1年以下の懲役又は50万円以下の罰金
・報告義務違反の罰則:30 万円以下の罰金
新法│それぞれ以下のとおり強化された。
・措置命令違反の罰則:1 年以下の懲役又は100 万円以下の罰金
・個人情報データベース等の不正流用:1年以下の懲役又は50万円以下の罰金
・報告義務違反の罰則:50 万円以下の罰金
*個人情報データベース等の不正流用については変化なし。
法人に対する罰金刑を引き上げた
旧法│法人への罰則は、それぞれ以下のとおりであった。
・措置命令の違反の罰則:30万円以下の罰金
・個人情報データベース等の不正流用:50万円以下の罰金
・報告義務違反の罰則:30万円以下の罰則
新法│それぞれ以下のとおり強化された。
・措置命令違反の罰則:1億円以下の罰金
・個人情報データベース等の不正流用:1億円以下の罰金
・報告義務違反の罰則:50万円の罰則
ポイント6│外国の事業者に対する、報告徴収・立入検査などの罰則が追加される
旧法│日本国内にある者の個人情報を取り扱う外国の事業者は、報告徴収・立入検査などの対象ではなかった。
新法│日本国内にある者の個人情報を取り扱う外国の事業者も、報告徴収・立入検査などの対象となった。