個人情報保護法の改正と実務対応

1.はじめに

令和2年(2020年)6月5日、個人情報保護法が改正(以下、「令和2年改正」といいます)され、令和4年4月1日から施行(一部施行済み)される予定です。
「個人情報保護法が改正されると聞いたけど、どこから手をつけたらよいのだろう?」と思われている方や、現時点では個人情報保護法に関する規程類の整備などが追い付いていないという方もいらっしゃるかもしれません。
今回の改正を機に、実務対応や規程類などを見直されることも方法かと考えます。
そこで、個人情報保護法の改正や規程類の整備などの実務対応に向けた流れをまとめてみたいと思います。
なお、個人情報保護法は令和3年にも改正されていますが、本稿には大きな影響はないものと考え、令和3年の具体的な改正内容は割愛します。

2.令和2年改正の主な内容

個人情報保護法の令和2年改正の主な内容は、以下のとおりです(「個人情報の保護に関する法律等の一部を改正する法律」の概要等について 『概要資料』(個人情報保護委員会)参照)。

(1)個人の権利の在り方

・利用停止・消去等の個人の請求権についての要件の緩和
・保有個人データの開示方法の拡大(電磁的記録による提供の請求可)
・第三者提供記録を開示請求の対象に追加
・保有個人データの開示、利用停止等の対象範囲拡大(短期保存データを追加)
・オプトアウト規制の強化

(2)事業者の守るべき責務の在り方

・漏えい等の報告および本人への通知の原則的な義務化
・不適正な方法による個人情報の利用の禁止

(3)事業者による自主的な取組を促す仕組みの在り方

・認定団体制度の認定範囲の拡大(企業の特定分野(部門)を対象とする団体認定可)

(4)データ利活用に関する施策の在り方

・仮名加工情報の創設と一定条件下での開示・利用停止請求への対応等の義務を緩和
・個人関連情報の第三者提供について本人同意が得られていること等の確認の義務化

(5)ペナルティの在り方

・個人情報保護委員会による命令違反・個人情報保護委員会に対する虚偽報告等の法定刑の引上げ
・法人に対する罰金刑の最高額の引上げ(法人重科)

(6)法の域外適用・越境移転の在り方

・域外適用の拡大(日本国内にある者の個人情報等を取り扱う外国事業者に個人情報保護法を適用)
・外国にある第三者への個人データの提供の制限

3.個人情報保護法の実務対応

事業内容や規模、個人情報の取扱状況にもよりますが、個人情報保護法の改正や規程類の整備などの実務対応に向けて、おおむね以下の流れで進めていただくと良いように思います。
なお、以下の内容には、今回の改正の対象となっていない部分も含まれています。
そのため、すでに対応されている部分があるようでしたら、その点については重ねて対応される必要はないものと思われます。

(1)現状把握

まずは、現在、事業活動を行っている中で、どのような個人情報を保有しているか、それらはどのような目的で、どのように取得し、どのように利用しているか、などの現状を把握します。
これらの内容をリスト化しておくと、様々な場面で活用できて便利かと考えます。
後ほどご紹介するとおり、個人情報保護法では、個人情報の取得、利用、保管などの場面に分けてルールが定められています。
そのため、リスト化した内容とルールを照らし合わせて、現在または今後予定されている自社の運用が、個人情報保護法に沿うように行われているかを確認できると効果的です。
また、今回の個人情報保護法の改正により、見直しが必要となる項目、改正とは関係ない項目などと区別できると、後々の作業もスムーズに進むものと思われます。

(2)取得、利用、保管のルールの概要

ア 取得
個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはなりません。
また、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を本人に通知し、または公表しなければなりません。
特に、本人との間で契約を締結することに伴って契約書等に記載された本人の個人情報を取得する場合や、本人から直接書面等に記載された個人情報を取得する場合は、原則として、あらかじめ本人に対し、その利用目的を明示しなければなりません。
ここで、利用目的の定め方が問題となりますが、個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用目的をできる限り特定することとされています。
具体的には、例えば、事業者が商品の販売に伴い、個人から氏名・住所・メールアドレス等を取得するに当たり、「○○事業における商品の発送、関連するアフターサービス、新商品・サービスに関する情報のお知らせのために利用いたします。」等の利用目的を明示している場合には、具体的に利用目的を特定しているものと考えられています(個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」(以下、「ガイドライン」といいます)31頁)。

イ 利用
個人情報取扱事業者は、あらかじめ本人の同意を得ないで、利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはなりません。
また、違法または不当な行為を助長し、または誘発するおそれがある方法により個人情報を利用してはなりません(令和2年改正)。

ウ 保管
個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、その個人データを遅滞なく消去するよう努めなければなりません。
また、その取り扱う個人データの漏えい等が発生した場合には、原則として、個人情報保護委員会に報告し、本人に対し、そのような事態が生じた旨を通知しなければなりません(令和2年改正)。

(3)第三者提供のルールの概要

個人情報取扱事業者は、原則として、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはなりません。
ただし、これには重要な例外があり、例えば、本人の求めがあれば事後的に停止することを前提に、提供する個人データの項目等を公表等した場合(オプトアウト)や、個人データの取扱いを委託する場合、個人データを共同利用する場合には、一定のルールのもとで、本人の同意なく個人データを提供することができるものとされています。
なお、個人情報取扱事業者は、個人データを第三者に提供したときは、個人データを提供した年月日、その第三者の氏名または名称、その他の事項に関する記録を作成し、一定期間保存しなければなりません。

(4)安全管理措置の検討

個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失または毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければなりません。
具体的には、個人データの適正な取扱いの確保について組織として取り組むための基本方針を策定し、組織的安全管理措置(組織体制の整備など)人的安全管理措置(従業者の教育など)物理的安全管理措置(個人データを取り扱う区域の管理など)技術的安全管理措置(アクセス制御など)外的環境の把握(外国において個人データを取り扱う場合)などの措置を講じることとされています(ガイドライン「10 (別添)講ずべき安全管理措置の内容」162頁以下、ただし、中小規模事業者の例外あり)。

(5)各種規程の作成、修正と社内共有

個人情報取扱事業者は、保有個人データに関し、次に掲げる内容を公表(本人の求めに応じて遅滞なく回答する場合を含みます)しなければなりません。

・個人情報取扱事業者の氏名または名称、住所、法人の場合はその代表者の氏名(令和2年改正)
・全ての保有個人データの利用目的
・保有個人データの開示、訂正、利用停止等の請求に応じる手続(手数料を含む)
・保有個人データの安全管理のために講じた措置(令和2年改正)
・保有個人データの取扱いに関する苦情の申出先
・認定個人情報保護団体の場合は、その認定個人情報保護団体の名称および苦情の解決の申出先

これらの内容を公表するため、自社のウェブサイト上にプライバシーポリシーとして掲載したり、またはすでに掲載済みの場合には、必要に応じて改正部分を修正したりすることになるものと思われます。
また、前述の安全管理措置の一環として、基本方針の策定、組織的安全管理措置、人的安全管理措置、物理的安全管理措置、技術的安全管理措置などに関する規程類を策定、修正することも考えられます。
その他、自社の個人情報保護方針などを理解するため、社内研修などを行うことも重要かと考えます。

4.その他の注意点

(1)要配慮個人情報がある場合

要配慮個人情報とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとされている記述等(身体障害、知的障害、医師による診療、健康診断の結果等)が含まれる個人情報をいいます。
個人情報取扱事業者は、原則として、あらかじめ本人の同意を得ないで、このような要配慮個人情報を取得してはならないこととされています。

(2)匿名加工情報や仮名加工情報を利用する場合

匿名加工情報とは、個人情報に含まれる記述等の一部を削除等して、特定の個人を識別することができないようにした個人に関する情報であって、その個人情報を復元することができないようにしたものをいいます。
また、仮名加工情報とは、個人情報に含まれる記述等の一部を削除等して、他の情報と照合しない限り特定の個人を識別することができないようにした個人に関する情報をいいます(令和2年改正)。
これらの違いは、特定の個人を識別できないようにするために、どの程度の措置が求められるか、という点になります。
匿名加工情報や仮名加工情報を利用する場合には、それぞれ個別に細かい義務などが定められていますので、注意が必要です。

(3)外国にある第三者に提供する場合

個人情報取扱事業者は、外国にある第三者に個人データを提供する場合には、原則として、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならないこととされています。
なお、この場合には、オプトアウト、委託、共同利用などによる提供はできないこととなっています。

5.当事務所のサポート例

当事務所では、各社様のご要望を伺いながら、下記のご依頼などを承っております。

・個人情報保護規程などを作ってほしい。
・ウェブサイトに掲載しているプライバシーポリシーの内容を見直したい。
・個人情報保護法の改正に合わせて作り直した規程などを確認してほしい。
・実務対応などのコンサルティングをしてほしい。
・社内研修の講師を依頼したい。

お気軽にお問い合わせください。

お問い合わせはこちら

関連記事

PAGE TOP