個人情報保護法～個人情報保護法に定める罰則等について

　個人情報保護法に違反した場合、罰則があります。本コラムでは、個人情報保護法に定める罰則等について解説いたします。

具体的な罰則規定

虚偽報告等

　個人情報保護委員会は、個人情報取扱事業者等に対し、必要な報告もしくは資料の提出を求めること、立入検査を行うことができますが（個人情報保護法１４６条１項）。これに対して、事業者が個人情報保護委員会からの報告徴収・立入検査に応じなかった場合や、報告徴収に対して虚偽の報告をした場合等には、罰金が科される可能性があります（個人情報保護法１８２条）。

命令違反

　個人情報保護委員会は個人情報取扱事業者等が一定の義務規定に違反した場合、個人の権利利益を保護するために必要があると認めるときは、当該違反行為の中止、その他違反の是正に必要な措置をとるべき旨を勧告することができます（個人情報保護法１４８条１項）。

　また、個人情報保護委員会は、勧告を受けた個人情報取扱事業者等が正当な理由がなくてその勧告に係る措置をとらなかった場合において個人の重大な権利利益の侵害が切迫していると認めるときは、当該個人情報取扱事業者等に対し、その勧告に係る措置をとるべきことを命ずることができます（個人情報保護法１４８条２項）。

　さらに、個人情報保護委員会は、個人情報取扱事業者等が一定の義務に違反した場合において、個人の重大な権利利益を害する事実があるため緊急に措置をとる必要があると認めるときは、当該個人情報取扱事業者等に対し、当該違反行為の中止その他違反を是正するために必要な措置をとるべきことを命ずることができます（個人情報保護法１４８条３項）。

そして、この個人情報保護委員会の命令に違反した者には、１年以下の拘禁刑または１００万円以下の罰金が科される可能性があります（個人情報保護法第１７８条）。

両罰規定

　法人の代表者や従業者などがその法人又は人の業務に関して、罰則の対象となる行為を行った場合、行為者に加えて、その法人にも罰金刑が科される可能性があります（法第１８４条）。これを両罰規定といいます。

　個人情報保護委員会の命令に違反した場合、法人には、一億円以下の罰金刑が科される可能性があります（個人情報保護法１８４条１項１号）

域外適用範囲

　個人情報保護法は、個人情報取扱事業者、仮名加工情報取扱事業者、匿名加工情報取扱事業者又は個人関連情報取扱事業者が、国内にある者に対する物品又は役務の提供に関連して、国内にある者を本人とする個人情報、当該個人情報として取得されることとなる個人関連情報又は当該個人情報を用いて作成された仮名加工情報若しくは匿名加工情報を、外国において取り扱う場合についても、適用するとされています（個人情報保護法１７１条）。

まとめ

　以上は、個人情報保護法で規定されている罰則の一部です。

　これまでの法改正によって、罰金額や刑期は引き上げられ、法人に対しては最高１億円の罰金が科される場合もあります。さらに、令和２年改正では外国事業者にも域外適用が可能となり、違反時の行政対応や刑事罰の対象が拡大しました。

　実務上、個人情報保護委員会の報告徴収や立入検査への適切な対応、命令への確実な履行、第三者提供記録の管理体制などが重要になります。

※本コラムは掲載日時点の法令等に基づいて執筆しております。