今年4月より改正個人情報保護法が施行されました。BtoC事業をはじめ、個人情報を取り扱われている方は多いでしょう。インターネットが発達し、データ活用が進む一方で事業運営において大きなリスクとなる個人情報の取り扱い。今回は改正個人情報保護法において中小企業の方に特に知っておいていただきたいポイントを解説します。
令和4年4月1日に、令和2年に成立した個人情報保護法の改正法(以下「令和2年改正法」といいます。)と、令和3年に成立した改正法の一部(個人情報保護法・行政機関個人情報保護法・独立行政法人等個人情報保護法の一元化等を目的とする改正部分、以下「令和3年改正法」といいます。)が施行されました。
改正法では、「法定の公表事項の拡大」、「個人の請求権の拡充」、「第三者提供の際の制限の新設」、「個人情報保護委員会への報告・通知義務の新設」、「事業者へのペナルティの強化」など民間の事業者の責任が重くなる方向での改正事項が多く存在します。
その中でも、中小企業でも重点的に対応しなければならない事項について解説していきます。
1.公表事項が拡充されています。
事業者の住所や代表者の氏名、安全管理措置に関する事項などが法定の公表事項に追加されました(32条)。
外国で個人データを取り扱っている場合は、当該外国の個人情報保護制度を把握しておくこと(外的環境の把握)は、安全管理措置に含まれるため、法定の公表事項となります。
プライバシーポリシーを改訂してこれらの情報を公表しておくか、本人から請求があれば遅滞なく回答することが必要となります。
また、個人情報を取り扱うにあたり、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならないとされていますが、ガイドラインでは、本人が合理的に予測・想定できないような利用を行う場合には、本人が当該取扱いを予測・想定できる程度に、利用目的を特定しなければならないことが定められました。
例えば、閲覧履歴や購買履歴等の取得した情報について、趣向等を分析して広告に利用するなど、より利用目的を具体化した表現に改める必要があります。
2.開示・利用停止等の請求の範囲が拡充されています。
個人が、事業者に対する開示、利用停止等の請求する場合において、以下のとおり、請求できる範囲等が拡大されています。
請求があった場合の処理方法を改め、今の法律にあった判断をして対応しなければなりません。
・保有個人データの利用停止・消去等の請求について
不正取得等の法違反の場合に加え、不適正利用行為に及んだ場合、個人データを利用する必要がなくなった場合、個人情報保護委員会への報告義務等を負う重大な漏えい等が生じたという理由によって利用停止等の請求がなされた場合、本人の権利または正当な利益が害されるおそれがある場合にも認められています(33条、35条)。
・本人が識別される保有個人データの開示方法について
電磁的記録の提供による方法・書面の交付による方法・その他個人情報取扱事業者の定める方法のうち本人が請求した方法により開示するとされています(33条、規則30条)。
書面以外の開示方法について用意しておかなければなりません。
・本人が開示請求できる対象について
個人データの第三者提供記録が追加されています(33条5項)。
従前、個人データの第三者提供をする際、提供者に記録義務が課され、受領者に確認・記録義務の記録が課されていましたが、その記録についても本人の請求があれば開示しなければならないとされたものです。
・6ヶ月以内に消去する短期保存データについて
こちらも保有個人データに含まれることになり、利用目的通知、開示、訂正・追加・削除、利用停止・消去・第三者提供の停止の各請求に対応することが必要です(33条から39条)。
3.不適切な利用も禁止されています。
従来禁止された個人情報の不適正な取得に加え、違法または不当な行為を助長し、または誘発するおそれがある方法による個人情報の利用が禁止されています(19条)。
違法行為を営む第三者に個人情報を提供することや、散在的に公開されている個人情報を集約してデータベース化し、インターネット上で公開することなどの利用は法律違反となるため、利用面での注意も必要です。
4.個人関連情報の提供先において本人の同意が得られていることの確認が必要な場合があります。
生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しない個人関連情報(2条7項。例えば、Cookie、IPアドレス、閲覧履歴、位置情報などの情報)は、情報単体では特定の個人を識別するものではありません。
しかし、個人関連情報を第三者に提供した場合に、その第三者において保有する個人データと取得した個人関連情報のデータをひも付ける等して、提供先において個人データとなることが想定される場合があります。
個人情報を第三者に提供する事業者において、このような提供先で個人データとして取得することが想定されるときは、提供元から提供先への提供に先立ち、提供先においてあらかじめ本人の同意を得られていることの確認が必要となりました(31条1項1号)。
さらに、提供先が外国の第三者の場合は、本人の同意が得られていることの確認のほかに、あらかじめ、当該外国の名称、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置の情報が当該本人に提供されていることの確認も必要です(31条1項2号)。
なお、提供元の確認については、提供年月日、第三者の氏名等、個人関連情報の項目等を記録し、一定期間保存することが必要です。
5.外国にある第三者への個人データを提供する際の制約が加重されています。
外国にある第三者に個人データを提供できる場合は、
①第三者の所在国が我が国と同等の水準にあると認められる個人情報保護制度を有している国である場合(EU/EEA及び英国)
②第三者が、個人情報取扱事業者が講ずべき措置に相当する措置(相当措置)を継続的に講ずるために必要な基準に適合する体制を整備している場合
③本人の同意を取得する場合
がありますが、②と③の場合において、以下の制約が追加されています。
②の場合は、当該第三者による相当措置の継続的な実施を確保するための定期的な確認等の措置を講ずるとともに、本人の求めに応じて当該必要な措置に関する情報を当該本人に提供する必要があります(28条3項)。
相当措置の実施に影響を及ぼすような外国制度について定期的に確認し、相当措置の実施に支障が生じたときは当該支障を解消するための措置(第三者に是正を求めたり、できない場合に利用停止にしたりするなど)を行う必要があります。
③の場合は、同意の取得時に、移転先の国の名称、その国の個人情報保護制度、当該第三者が講ずる個人情報保護措置に関する情報を提供しなければなりません(28条2項)。
6.一定の情報漏洩があった場合、報告・通知義務があります
個人データの漏えい等の事態で、個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定める事態が生じた場合に、個人情報保護委員会への報告や本人への通知の義務が定められています(26条)。
報告対象となるのは、
①要配慮個人情報の漏洩等の場合
②財産的被害が発生する個人データの漏洩等のおそれがある場合
③不正の目的をもった漏洩等による場合
④1,000人を超える漏えい等の場合
となります(規則7条)。
委員会への報告は、事態の発生を認識した後速やかに行う速報と、30日(不正アクセス等故意による場合は60日)以内に行う確報の2段階で行う必要があります(規則8条)。
一定の情報漏洩等があった場合には、速やかに対応を行う必要があることを知っていただき、事故があった場合に対応できる弁護士等の専門家の協力を得るなどの体制を作っておかれるとよいでしょう。
