Netpress 第2148号 2022年4月施行 これだけは押さえておくべき!改正個人情報保護法への対応

Point
改正個人情報保護法(以下、「本法」といいます)では、最低限、次の対応が必要になります。
① 本法の対象となる情報の整理と自社で取り扱う情報の棚卸し
② 棚卸結果を踏まえた情報の取り扱いフローの見直しと内部規程の改訂
③ プライバシーポリシーの改訂


岩田合同法律事務所
弁護士 永口 学


1.はじめに

個人情報保護法は2020年に大きな改正がなされ(2021年にも大きな改正がなされましたが、ここでは取り上げません)、2022年4月から施行されます。


そこで、本法対応について最低限、押さえていただきたいポイントをお伝えします。


2.本法が対象とする情報の整理

まずは、本法が対象としている情報のうち、主なものを整理します。


(1)個人情報

個人情報とは、生存する個人に関する情報であって、次のいずれかに該当するものをいいます。


当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(組み合わせることよって特定の個人を識別することができるものを含む → 住所と住宅地図が典型例)
個人識別符号(DNAの塩基配列や指紋など、単体の情報だけで個人情報となるもの)


個人情報をPC等で検索できるようにしている場合、そのデータベース等(これを事業の用に供している事業者を個人情報取扱事業者といいます)を構成する個人情報を個人データといい、開示や内容の訂正等を行うことができる個人データを特に保有個人データといいます。


現行法では、6か月以内に消去することとなる個人データは保有個人データに該当しませんが、本法では該当することになりますので、注意が必要です。


(2)仮名加工情報

本法で新たに設けられた概念で、特定の個人を識別できないように個人情報を加工したものです(他の情報と照合することで、特定の個人を識別することは可能です)。事業者内部での利用等のみを前提とすることで、匿名加工情報(仮名加工情報と異なり、他の情報と照合しても特定の個人を識別することはできず、復元も不可能な情報です)より取り扱いの規律が緩やかになっています。


(3)個人関連情報

やはり本法で新たに設けられた概念であり、生存する個人に関する情報であって、個人情報、仮名加工情報、匿名加工情報のいずれにも該当しないものをいいます。


WebブラウザーのCookie、インターネットの閲覧履歴、購買履歴などが該当します。


3.フローの見直しと内部規程の見直し

(1)拡張された開示請求等への対応

保有個人データの利用停止、消去、第三者提供の停止請求の要件が緩和され、保有個人データを利用する必要がなくなった場合、漏えい等事案が生じた場合、または当該本人の権利もしくは正当な利益が害される恐れがある場合にも可能となりました。


また、個人情報取扱事業者は、個人データの授受に関する記録を作成する義務を負っていますが、この第三者提供記録についても開示請求の対象となりました。


そのため、これらの請求がなされた場合の対応フローの見直しを行っておくべきです。


(2)個人関連情報の利用の有無の確認

個人関連情報については、提供先の第三者が個人データとして取得することが想定される場合、本人の同意を得ること等が義務付けられました。


たとえば、提供先が、ID等が付されるのみで個人は特定されない購買履歴などの情報提供を受け、その情報を自身が保有する他の個人データにID等を介して付加し、特定の個人の購買履歴などを明らかにする場合(マーケティング活動などに活用されることが想定されます)、あらかじめ提供元が個人関連情報を提供することにつき本人の同意を得ておくことが必要となります。


(3)個人データ漏えい等時の対応

現行法では、個人データの漏えい等が発生した場合に、個人情報保護委員会への報告や本人への通知を行うことは努力義務とされています。


本法では、一定の要件を充足する個人データの漏えい等については、報告や通知が義務となりました。


(4)内部規程の改訂

上記(1)~(3)等を踏まえた個人情報保護規程などの改訂が必要となることが想定されます。


本法の施行時である2022年4月1日に間に合うように余裕をもって準備するとともに、従業員への周知・徹底も必要となるでしょう。


4.プライバシーポリシーの改訂

プライバシーポリシーの役割の一つとして、「本法が求める公表等の情報提供を行う役割を担わせる」というものがあります。


たとえば、一定の場合には個人情報の利用目的を公表しなければなりませんが、多くの企業ではこの役割をプライバシーポリシーに担わせています(なお、本法に合わせて2022年4月1日に施行されるガイドラインにおいて、個人情報の利用目的の詳細化が求められました)。


また、上記3の(1)で紹介した権利行使の手続についても本人の知り得る状態に置く必要があるため、この役割をプライバシーポリシーに担わせる場合は、同ポリシーの改訂が必要となります。


5.おわりに

本法における改正内容は多岐にわたっており、ここで紹介した内容は、ターゲットを中堅・中小企業に絞ったうえでの必要最小限の事項となっています。


より詳細な改正内容を知りたい場合や具体的な対応については、必ず専門家に相談するようにしてください。



【SMBC経営懇話会会員限定】
SMBCコンサルティングの顧問弁護士による無料経営相談(東京)のご案内
岩田合同法律事務所はSMBCコンサルティング株式会社の顧問弁護士です。
毎週水曜日の10:00から17:00まで、SMBC経営懇話会会員向けの法律に関する無料経営相談を受けております。
無料経営相談の申込はこちら



SMBC経営懇話会のサービスはこちらをご覧ください
SMBC経営懇話会のご案内



「Netpress」はPDF形式でもダウンロードできます

SMBCコンサルティング経営相談グループでは、税金や法律など経営に関するタイムリーで身近なトピックスを「Netpress」として毎週発信しています。過去の記事も含めて、A4サイズ1枚から2枚程度にまとめたPDF形式でもダウンロード可能です。

PDF一覧ページへ

プロフィール

SMBCコンサルティング株式会社 ソリューション開発部 経営相談グループ

SMBC経営懇話会の会員企業様向けに、「無料経営相談」をご提供しています。

法務・税務・経営などの様々な問題に、弁護士・公認会計士・税理士・社会保険労務士・コンサルタントや当社相談員がアドバイス。来社相談、電話相談のほか、オンラインによる相談にも対応致します。会員企業の社員の方であれば“どなたでも、何回でも”無料でご利用頂けます。

https://www.smbc-consulting.co.jp/company/mcs/basic/sodan/


受付中のセミナー・資料ダウンロード・アンケート