記事一覧
改正個人情報保護法への対応
2022-06-07
Q.私は、会社を経営しております。改正個人情報保護法が施行されたと聞きましたが、改正後、企業が対応すべきことは何かあるでしょうか。
A.2020年に公布された改正個人情報保護法が2022年4月から全面施行されました。元々、個人情報保護法は、2017年改正時点で3年ごとに実態に沿った内容に見直しすることが規定として盛り込まれておりました。2020年の改正は、この規定を踏まえて行われたものであり、個人権利利益の保護、情報活用の強化、AI・ビッグデータへの対応を主眼とされています。
今回の法改正は多岐にわたりますが、経営者が特に抑えておくべきなのは次の点です。
今回の法改正は多岐にわたりますが、経営者が特に抑えておくべきなのは次の点です。
- 利用停止・消去等の個人の請求権の拡充
従前、本人が事業者の保有する個人情報(以下「個人保有データ」といいます)の利用停止や消去を請求できるのは、個人情報保護法に違反する場合に限られていました。
しかし、今回の法改正により、「本人の個人情報を取扱事業者が利用しなくなった場合」、「重大な漏えいなどが発生した場合」、「本人の権利または正当な利益が害されるおそれが場合」にも利用停止や消去を請求することができるようになりました。 - 保有個人データの開示方法等の拡充
改正前、開示方法は原則書面のみに限定されていましたが、法改正により、請求者である個人がデジタルデータでの提供を含めた開示方法を指定することができるようになりました。
また、開示対象となる情報も拡大し、第三者提供記録(個人データを提供・受領した際の記録)や短期保存データ(6ヶ月以内に消去される保有個人データ)も開示の対象となりました。 - 事業者の守るべき責務の追加
従前明文化されていませんでしたが、今回の改正で「違法または不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない」と明文化されました。
また、個人データの漏えい、滅失、毀損等が発生した際に、個人情報保護委員会へ報告したり、本人に通知することが義務化されました(但し、例外的に報告や通知が不要な場合あり)。
以上のような点が改正された点を踏まえ、以下の対応を行う必要があります。
- デジタルデータによる開示請求への対応準備
改正により、請求者がデジタルデータでの開示を求めることができるようになったため、その準備が必要となります。ただ、その場合、データの複製等が生じることとなりますので、プライバシーポリシーの改訂が必要となる場合もあります。 - 権利利益の侵害のおそれがないか社内確認
改正により、本人の権利または正当な利益が害されるおそれがある場合、利用停止等がなされる可能性が生じます。利用停止等がなされた場合、事業に影響が生じる可能性がありますので、社内での取扱方法を今一度確認する必要があります。 - 個人データ漏えい発生時の対応見直し
個人データの漏えいが発生した際、個人情報保護委員会への報告と本人への通知義務が新しく課されました。そのため、当該事態を想定した業務フローを漏えい発生前に確立しておくことが望ましいです。
以上のとおり、個人情報保護法が改正され、個人データの取扱いに変更が生じ、対応が必要となりますので、ご注意下さい。
弁護士 上田 貴 ueda@fujikake.lawyers-office.jp
