個人情報保護法の改正法が、2022年4月1日から施行されます。
2003年5月の制定、2015年の改正以降、特に消費者保護の面で大きな役割を果たしてきた個人情報保護法ですが、時代の流れとともに現実とのギャップが生じていました。
今回の改正では、内容を時代に合わせるために、次の5つの観点から見直しが行われました。
① 個人の権利利益保護
② 保護と利用のバランス
③ 国際的潮流との調和
④ 外国事業者によるリスク変化への対応
⑤ AI・ビッグデータ時代への対応
それでは、改正個人情報保護法のポイントと、個人情報保護方針の見直しの必要性について解説します。
改正個人情報保護法の5つのポイント
改正法で特に押さえておきたいポイントは、次の5つです。
1. 短期保有データも個人データに
今回の改正で、旧第2条第7項の「又は一年以内の政令で定める期間以内に消去することとなるもの」という文言が削除されました。
これにより、 6か月以内に消去される短期保有データについても「保有個人データ」に含まれることになりました。
ただし、プライバシーマークの審査基準とされている「JIS Q 15001個人情報保護マネジメントシステム」では、6か月以内に削除されるデータも開示請求などに対応することと定められているので、プライバシーマークを取得済みの企業には大きな影響はないと考えられます。
2. 漏えい時の報告義務と通知義務
事業者の責務として、個人データの漏えい等の発生時における、個人情報保護委員会に対する報告義務が新たに追加されました(第22条の2)。さらに、個人データの本人に対する通知義務も課されます(同第2項)。
また、個人情報の不適正な利用の禁止が明確に定められました(第16条の2)。
3. 仮名加工情報の取り扱いが緩和
仮名加工情報の条文が新設され、通常の個人情報に比して、事業者の義務が緩和されました。仮名加工情報とは、「他の情報と照合しない限り、特定の個人を識別することができないように個人情報を加工して得た個人に関する情報」を指します(第2条第9項)。
仮名加工情報については、漏えい等の報告義務、開示請求、利用停止などの適用対象外となり、実務上の負担軽減につながります。
4. 法律違反への罰則強化
措置命令、不正流用、報告義務違反の罰則について法定刑や罰金額が引き上げられました。これにより、制裁の実効性が上がり、命令違反や虚偽報告の抑止が期待されます。
5. 外国事業者への域外適用の見直し
第75条が改正され、外国事業者への域外適用の範囲が変更されました。
日本国内者の個人情報などを取り扱う外国事業者も、罰則によって担保された報告徴収、命令および立入検査などの対象となります。
個人情報保護方針の見直しが必要に
ウェブサイト運営で具体的にどのような対応が必要なのでしょうか。主に個人情報保護方針(プライバシーポリシー)の修正という観点から、4つのポイントを解説します。
1. 電磁的記録の開示請求への対応
企業が保有する個人データはデジタルで管理されていることが多いため、個人から開示請求を受けた際の情報開示方法として、電磁的記録の提供が認められます(現行法では書面交付が前提とされています)。
開示方法についても、本人が請求した方法で遅滞なく必要なデータを開示することが求められるようになります。つまり、個人が「Eメールで」と指定した場合、企業はEメールで個人データを開示する必要があります。
2. 第三者提供記録の開示請求への対応
現行法では開示請求の対象とされていなかった個人データの第三者提供記録について、改正法では新たに本人の開示請求権が認められます。
つまり、個人について第三者から得た情報に対して、その個人から請求があった場合は、それを開示しなければなりません。
3. 利用停止・消去などの請求への対応
現行法では、事業者が個人データの利用停止などの義務を負うのは、不正取得など一部の法律違反にもとづく場合に限られていました。
一方、改正法では、新たに
① 不適正利用行為に及んだ場合
② 利用する必要がなくなった場合
③ 重大な情報漏えいがあった場合
④ 本人の権利や正当な利益が害されるおそれがある場合
に、利用停止・消去・第三者提供停止の請求権が認められます。
4. 情報漏えい発生時の報告と通知
現行法では、個人情報漏えい時に個人情報保護委員会への報告や顧客への通知を怠っても法律違反になりませんでした(努力義務とされていました)。
一方、改正法では、重大な情報漏えいが発生した場合は、個人情報保護委員会と本人への通知が義務化されます。
以上、4つのポイントについて、個人情報保護方針(プライバシーポリシー)に企業としての対応方針を明記する必要があります。
改正法が施行される4月までに、法務部や顧問弁護士と相談の上、文言の修正・追加の準備を進めておきましょう。
まとめ
以上、改正個人情報保護法のポイントと、個人情報保護方針の見直しの必要性について解説しました。
なお、「第三者提供記録の開示請求への対応」に関連して、リマーケティング広告(リターゲティング広告)などを運用している場合、サードパーティCookieの取り扱いが問題になる可能性があります。
サードパーティCookieというかたちで、他社(第三者)から提供された個人データにもとづいて広告を配信していることになるので、その個人から開示請求があった場合、それを開示しなければならないからです。
たとえば、「インターネットでいろんなウェブサイトを見ているとき、御社の広告がよく出てくるけど、私のデータをどの会社から得ているのか、具体的にどのようなデータを得ているのか」という問い合わせがあれば、適切な対応が求められるかもしれません。
このような実務的な問題については、まだまだ情報が少ないのが現状です。改正法の施行後も、しばらくは個人情報保護方針をたびたび見直す必要がありそうですので、ぜひ動向をウォッチしておきましょう。
