令和2年改正個人情報保護法と企業対応
2020年(令和2年)に個人情報保護法が改正され、2022年(令和4年)4月1日から全面的に施行されました。
改正法の概要を確認するとともに、個人データ漏えい時の報告の義務化など中小企業における実務上の対応を概説します。
前に、個人情報保護規程を作成して、プライバシーポリシーもホームページで公開しているとおっしゃっていましたよね。
そうです。昔と違って個人情報には厳しい世の中になりましたからね。
そうですね。ところで、個人情報保護法(個人情報の保護に関する法律(平成15年法律第57号))が改正されたのですが、それに合わせて会社の個人情報保護規程やプライバシーポリシーなどは変更されましたか?
いえ。個人情報保護法が改正されるという話は聞いたことはありますが、それは国や行政などにしか関係ないということではないのですか?
確かに、2021年の改正は、基本的に行政機関等を対象にした改正ですので、おっしゃるとおり、基本的に国や行政などにしか関係ないといえます。
しかし、その前年の2020年にも改正されており、それは事業者(個人情報取扱事業者)に影響のある改正です。いずれの改正も、原則として2022年4月1日からの施行ですので、紛らわしいのですが。
そうだったのですか!気付かずに放置してしまうところでした。それで先生、どのような点が改正されたのですか?
いくつかあるのですが、事業者にて対応が望まれる主な事項としては、
①漏えい等の際の報告や本人通知が義務化されたこと
②プライバシーポリシー等で公表等する事項を追加すること
③第三者提供記録の開示が義務化されたこと
④保有個人データの利用停止等の追加
といったところでしょうか。
うーん、なんだか難しいですね。
そうですよね。簡単にご説明します。
まず、①漏えい等の際の報告及び本人通知の義務化という点についてです。
実は、改正前は、個人データの漏えい等があっても、個人情報保護委員会に届け出る義務はなかったのです。しかし、この度の改正によって、一定の個人データの漏えい等が発生し、又は発生したおそれがある場合[1]には、原則として個人情報保護委員会に報告しなければならないとされたのです。
しかも、報告に際しては、まず概ね3~5日以内に速報を入れ、原則として30日以内に確報を入れるべきものとされています。
漏えい等が発生してから速報を入れるまでが3~5日以内というのは、結構短いですね。確報が30日以内というのも、そのような短期間で出来るものでしょうか。
それだけ早目の対応が必要ということでしょう。そのため、漏えい等が発生してから対応していたのでは迅速性に欠けて遅れてしまいかねないので、予め漏えい等が発生した場合の対応策を考えておくことが大切だと思います。例えば、情報漏えい等の事態が生じた場合の対応手続の規定などを作成しておく事業者の方などもいますよ。
それと、本人に対しても、原則として速やかに通知すべきものとされています。二次被害を防ぐためにも、状況に応じて、必要な範囲で通知できるよう、この点も予め対応策などを考えておいた方がよいですね。
なるほど、分かりました。
まだ終わりませんよ。次が、②プライバシーポリシー等で公表等する事項を追加することです。前にもお話したかと思いますが、そもそも、個人情報保護法では、プライバシーポリシー等を作成・公表することが義務付けられているわけではありません。
しかし、事業者は、保有個人データに関し、企業名等や利用目的等の一定の事項[2]について 「本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含みます。)に置かなければならない」とされています(ここでは、このような対応を「公表等」といいます。)。
この公表等の手段としても、プライバシーポリシー等を作成・公表することに意味はあるといえます。
そうでしたね。先生と一緒にプライバシーポリシーを作成したのも、もう数年前のことですかね。
少々懐かしいですね。しかし、法律は改正されますから、一旦作成すれば終わりというわけにはいきません。
さて、改正に伴い、保有個人データの安全管理のために講じた措置(安全管理措置)等についても公表等の対象事項となりました。そこで、せっかくプライバシーポリシーを公開しているのですから、新たに公表等の対象となった事項(特に安全管理措置)を追加することが望まれます[3]。
追加すべき事項を一つずつチェックしないといけませんね。
結構大変そうですが、ことが起きてからでは遅いので、早々に対応します。
それから、③第三者提供記録の開示が義務化されたことや、④保有個人データの利用停止等の追加といった点もあります。
これらは昔から規定されていませんでしたか?
よくご存知で。確かに、改正前から第三者提供に係る記録の作成や、第三者提供を受ける際の記録の作成が義務付けられていましたし、本人の利用停止等請求についても規定されていました。
しかし、改正で追加(要件の緩和)された事項があるので、その点は確認しておきましょう。
お願いします。
まず③第三者提供記録の開示が義務化についてですが、改正によって、原則として、第三者提供に係る記録や第三者提供を受ける際の記録が開示請求の対象となります。
したがって、開示請求の対象となることを認識しておくとともに、開示請求の対象となることを前提として、これら第三者提供記録を作成しておいた方がよいでしょう。
なるほど、いままでは本人に見られることを意識せずに作成していたものであっても、開示請求の対象となると、本人に見せることを意識せざるを得ないですね。
別に見られて困ることを書いているわけではないですが…、気を付けるに越したことはないですね。
そういうことです。それから、④保有個人データの利用停止等の追加になります。改正後の利用停止等請求に対する対応は、概ね以下のようになります。
まず、⑴目的外利用(同法18条違反)や⑵不適正利用(同法19条違反)、⑶不適正取得(同法20条違反)の場合には、原則として、必要な限度で遅滞なく、利用の停止又は消去をしなければなりません。
また、⑷第三者提供制限違反(同法27条1項違反)や⑸外国への第三者提供制限違反(同法28条違反)の場合には、原則として、遅滞なく、第三者提供を停止しなければなりません。
加えて、⑹利用する必要がなくなった場合や⑺漏えい等が発生した場合(同法26条1項本文に規定する事態発生時)、⑻その他当該本人が識別される保有個人データの取扱により当該本人の権利又は正当な利益が害されるおそれがある場合にも、利用の停止又は消去、あるいは、第三者提供の停止をしなければなりません。
したがって、利用停止等請求があった際の対応方法等を予め確認等しておくことが望まれます。
事業者として、ますます個人情報の保護に取り組まなければいけませんね。
個人情報保護の意識の高まりもありますし、事業者としては避けて通れないことだと思います。
ほかにも、外国に個人データを提供する場合や、Cookie・Webを活用している場合、オプトアウトしている場合などは、別途、対応が必要となりますが、利用状況に応じて追加的に必要となったときに一緒に考えていきましょう。
ちなみに、個人情報保護法等に関しては、個人情報保護委員会の各種ガイドライン(殊に「個人情報の保護に関する法律についてのガイドライン(通則編)」)が参考になります。
結構なボリュームになりますが、必要に応じて参照するといいと思います。
ありがとうございます。社内で検討して対応していきます。
今回はちょっと長くなってしまいましたので、このくらいにしておきましょう。また、疑問点がありましたら遠慮なくご相談下さい。
[1] 事業者は、次の事態を知ったときは、個人情報保護委員会に報告しなければならないとされています。すなわち、①要配慮個人情報が含まれる個人データ(高度な暗号化その他の個人の権利利益を保護するために必要な措置を講じたものを除く。)の漏えい等が発生し、又は発生したおそれがある事態、②不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態、③不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態、④個人データに係る本人の数が千人を超える漏えい等が発生し、又は発生したおそれがある事態です。
[2] 公表等すべき事項は、①当該個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名、②全ての保有個人データの利用目的(ただし一定の場合を除く。)、③保有個人データの利用目的の通知の求め又は開示等の請求に応じる手続及び保有個人データの利用目的の通知の求め又は開示の請求に係る手数料の額(定めた場合に限る。)、④保有個人データの安全管理のために講じた措置(ただし、本人の知り得る状態に置くことにより当該保有個人データの安全管理に支障を及ぼすおそれがあるものを除く。)、⑤保有個人データの取扱いに関する苦情の申出先、であるとされています。
[3] 中小規模事業者における安全管理措置を講ずるための手法の例示としては、以下のとおりです(「個人情報の保護に関する法律についてのガイドライン(通則編)」(平成28年11月(令和3年10月一部改正))参照)。
⑴ 組織的安全管理措置のうち、①組織体制の整備については、「個人データを取り扱う従業者が複数いる場合、責任ある立場の者とその他の者を区分する」こと、②個人データの取扱いに係る規律に従った運用については、「あらかじめ整備された基本的な取扱方法に従って個人データが取り扱われていることを、責任ある立場の者が確認する」こと、③個人データの取扱状況を確認する手段の整備については、「あらかじめ整備された基本的な取扱方法に従って個人データが取り扱われていることを、責任ある立場の者が確認する」こと、④漏えい等事案に対 応する体制の整備については、「漏えい等事案の発生時に備え、従業者から責任ある立場の者に対する報告連絡体制等をあらかじめ確認する」こと、⑤取扱状況の把握及び安全管理措置の見直しについては、「責任ある立場の者が、個人データの取扱状況について、定期的に点検を行う」こととされています。
⑵ 人的安全管理措置については、従業者の教育として、「個人データの取扱いに関する留意事項について、従業者に定期的な研修等を行う」こと、「個人データについての秘密保持に関する事項を就業規則等に盛り込む」こととされています。
⑶ 物理的安全管理措置のうち、①個人データを取り扱う区域の管理として、「個人データを取り扱うことのできる従業者及び本人以外が容易に個人データを閲覧等できないような措置を講ずる」こと、②機器及び電子媒体等の盗難等の防止として、「個人データを取り扱う機器、個人データが記録された電子媒体又は個人データが記載された書類等を、施錠できるキャビネット・書庫等に保管する」こと、「個人データを取り扱う情報システムが機器のみで運用されている場合は、当該機器をセキュリティワイヤー等により固定する」こと、③電子媒体等を持ち運ぶ場合の漏えい等の防止として、「個人データが記録された電子媒体又は個人データが記載された書類等を持ち運ぶ場合、パスワードの設定、封筒に封入し鞄に入れて搬送する等、紛失・盗難等を防ぐための安全な方策を講ずる」こと、④個人データの削除及び機器、電子媒体等の廃棄として、「個人データを削除し、又は、個人データが記録された機器、電子媒体等を廃棄したことを、責任ある立場の者が確認する」こととされています。
⑷ 技術的安全管理措置のうち、①アクセス制御については、「個人データを取り扱うことのできる機器及び当該機器を取り扱う従業者を明確化し、個人データへの不要なアクセスを防止する」こと、②アクセス者の識別と認証については、「機器に標準装備されているユーザー制御機能(ユーザーアカウント制御)により、個人情報データベース等を取り扱う情報システムを使用する従業者を識別・認証する」こと、③外部からの不正アクセス等の防止については、「個人データを取り扱う機器等のオペレーティングシステムを最新の状態に保持する」こと、「個人データを取り扱う機器等にセキュリティ対策ソフトウェア等を導入し、自動更新機能等の活用により、これを最新状態とする」こと、④情報システムの使用に伴う漏えい等の防止として、「メール等により個人データの含まれるファイルを送信する場合に、当該ファイルへのパスワードを設定する」こととされています。
この記事に関連する最新記事
おすすめ書式テンプレート
著者プロフィール