Netpress　第2148号 2022年４月施行　これだけは押さえておくべき！改正個人情報保護法への対応

2022/02/07 総務・法務コンプライアンス・リスク対応
SMBCコンサルティング株式会社ソリューション開発部経営相談グループ

Point
改正個人情報保護法（以下、「本法」といいます）では、最低限、次の対応が必要になります。
① 本法の対象となる情報の整理と自社で取り扱う情報の棚卸し
② 棚卸結果を踏まえた情報の取り扱いフローの見直しと内部規程の改訂
③ プライバシーポリシーの改訂

岩田合同法律事務所
弁護士　永口学

１．はじめに

個人情報保護法は2020年に大きな改正がなされ（2021年にも大きな改正がなされましたが、ここでは取り上げません）、2022年４月から施行されます。

そこで、本法対応について最低限、押さえていただきたいポイントをお伝えします。

２．本法が対象とする情報の整理

まずは、本法が対象としている情報のうち、主なものを整理します。

(1)個人情報

個人情報とは、生存する個人に関する情報であって、次のいずれかに該当するものをいいます。

当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの（組み合わせることよって特定の個人を識別することができるものを含む → 住所と住宅地図が典型例）

個人識別符号（DNAの塩基配列や指紋など、単体の情報だけで個人情報となるもの）

個人情報をPC等で検索できるようにしている場合、そのデータベース等（これを事業の用に供している事業者を個人情報取扱事業者といいます）を構成する個人情報を個人データといい、開示や内容の訂正等を行うことができる個人データを特に保有個人データといいます。

現行法では、６か月以内に消去することとなる個人データは保有個人データに該当しませんが、本法では該当することになりますので、注意が必要です。

(2)仮名加工情報

本法で新たに設けられた概念で、特定の個人を識別できないように個人情報を加工したものです（他の情報と照合することで、特定の個人を識別することは可能です）。事業者内部での利用等のみを前提とすることで、匿名加工情報（仮名加工情報と異なり、他の情報と照合しても特定の個人を識別することはできず、復元も不可能な情報です）より取り扱いの規律が緩やかになっています。

(3)個人関連情報

やはり本法で新たに設けられた概念であり、生存する個人に関する情報であって、個人情報、仮名加工情報、匿名加工情報のいずれにも該当しないものをいいます。

WebブラウザーのCookie、インターネットの閲覧履歴、購買履歴などが該当します。

３．フローの見直しと内部規程の見直し

(1)拡張された開示請求等への対応

保有個人データの利用停止、消去、第三者提供の停止請求の要件が緩和され、保有個人データを利用する必要がなくなった場合、漏えい等事案が生じた場合、または当該本人の権利もしくは正当な利益が害される恐れがある場合にも可能となりました。

また、個人情報取扱事業者は、個人データの授受に関する記録を作成する義務を負っていますが、この第三者提供記録についても開示請求の対象となりました。

そのため、これらの請求がなされた場合の対応フローの見直しを行っておくべきです。

(2)個人関連情報の利用の有無の確認

個人関連情報については、提供先の第三者が個人データとして取得することが想定される場合、本人の同意を得ること等が義務付けられました。

たとえば、提供先が、ID等が付されるのみで個人は特定されない購買履歴などの情報提供を受け、その情報を自身が保有する他の個人データにID等を介して付加し、特定の個人の購買履歴などを明らかにする場合（マーケティング活動などに活用されることが想定されます）、あらかじめ提供元が個人関連情報を提供することにつき本人の同意を得ておくことが必要となります。