個人情報保護法改正に伴い法定刑が引き上げられました

1. はじめに

時々「●●株式会社が個人情報を漏えいした」と言ったニュースを見かけられることがあるかと思います。

高度な情報化社会の発展に伴い、個人情報保護の要請が強まり、日本はまだ他の国ほど強い規制を敷いているわけではありませんが、今後個人情報の保護に関する法律による規制や罰則の強化が予想されます。

令和2年6月12日に成立した個人情報保護法（以下、「改正個人情報保護法」と言います。）はすでに法定刑（罰則）の引き上げの部分については施行されております。

そこで、今回は個人情報保護法に違反した場合の罰則についてお話させていただきます。（紙面の都合上、改正個人情報保護法の具体的な内容については別の機会に譲ろうと思います。）

個人情報保護法はこれまでにも改正をされており、平成27年に改正された際には、「いわゆる3年ごと見直し」に関する規定が設けられ、個人情報保護委員会が関係団体・有識者からのヒアリング等を行い、都度情勢に合わせた個人情報保護法の改正を検討することとなりました。

改正個人情報保護法は、個人情報保護の要請と、個人情報の利活用の有用性のバランスを考え、規制や罰則の強化等が行われました。

改正個人情報保護法は、罰則の部分を除き、令和4年4月1日に全面施行される予定ですが、罰則（改正個人情報保護法83条から87条）の部分については、令和2年12月12日から施行されています。

この改正により、懲役刑が最大で6ヶ月から1年に、罰金刑は最大50万円だったものが1億円に引き上げられました。

個人情報保護委員会は、個人の重大な権利利益の侵害が切迫しているなどの一定の要件のもとに、個人情報を取り扱っている個人や法人に対して、個人情報を保護するための命令を出すことができ、これに理由なく違反した場合には、罰則が課される可能性があります。

旧法では、6ヶ月以下の懲役又は30万円以下の罰金とされていたのですが、改正後は、命令に違反した個人や法人の従業員・役員（だった人を含みます。）に対する罰則が1年以下の懲役又は100万円以下の罰金となりました。

会社の従業員や役員（だった人を含みます。）がこのような行為をした場合、会社に対しても両罰規定で罰金を課することができるようになっているのですが、法人に課される罰金の上限が30万円から1億円以下に引き上げられました。

個人情報を取り扱っている個人及び会社の役員等（会社の役員だった人も含まれます。）が、業務に関して取り扱っていた個人情報を不正な目的（個人情報を売って対価を得る等）で第三者に提供したりした場合には、罰則が課されます。

もともとは1年以下の懲役又は50万円以下の罰金だったのですが、改正後は法人に課される罰金の上限が1億円となりました。

個人情報保護委員会は、一定の要件のもとに個人情報を取り扱っている個人又は法人に対して、必要な報告や資料の提出を求めたり、立入検査をして質問をしたり、帳簿書類等の検査を行ったりする権限を有しているのですが、これに協力しなかったりすると、罰則が課される可能性があります。

旧法では、30万円以下の罰金だったものが、改正後は50万円以下の罰金となりました。

近年、世界的に個人情報の取扱いを慎重に行うべきという風潮があり、日本もそれに倣って個人情報保護法の規制強化を行っていくことが想定されます。

今回の改正によって、個人情報保護法違反の罰則はとても重くなりました。従業員や役員の行為であっても会社に対する罰則が課される可能性もありえますので、個人情報の取扱いをおろそかにしているは会社にとって大きなリスクだと言えます。

来年の4月から改正個人情報保護法が全面的に施行され、個人情報の取扱いのルールが変わります。すぐに対応することは難しいので、今からでも少しずつ個人情報の取扱いをどのようにすべきか検討すると良いかもしれません。

本ブログの内容に関わらず、企業様の法律問題でお困りの際は、下記よりお問い合わせください。

※上記記事は、本記事作成時点における法律・裁判例等に基づくものとなります。また、本記事の作成者の私見等を多分に含むものであり、内容の正確性を必ずしも保証するものではありませんので、ご了承ください。