士業・管理部門のキャリアコラムが集う場所
カテゴリ
カテゴリ
2020(令和2)年6月に、改正個人情報保護法が公布されました。施行は今後2年以内(追って指定とのこと)。今回の改正では、規制が強化・追加されただけでなく、企業への罰則も強化されています。まだ期間はありますが、今のうちに改正法案の内容について確認し、施行日までに対応ができるように備えておきましょう。
出典:個人情報保護委員会WEBサイト 「個人情報の保護に関する法律等の一部を改正する法律」の概要等について
取得した個人情報の利用について、これまでは取得方法が法令違反だった場合のみ利用停止・消去の請求ができたのですが、仮に取得方法が合法(官報や本人が開示している場合など)だったとしても「個人の権利又は正当な利益が害されるおそれがある場合」は利用停止・消去の請求を行えるようになります。
「仮名加工情報」とは、特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報のことです。
本人が特定されない情報と言うことで、過去に個人情報を取得した際の利用目的に限らず、別目的でも利用が可能になります。ただし、個人情報である、ないにかかわらず仮名加工情報を同意に基づいて第三者提供することはできないとされました。
本人の同意を得ることが原則となる個人データの第三者提供についてです。仮に個人データの一部を切り取ったものだとしても、提供先で個人データとなることが想定される情報を第三者提供する際は本人の事前の同意を得なければならないことになります。
この件で取り上げられているのがCookieなどの識別子情報を埋め込むメディアや、インターネットユーザーのデータ収集・分析を行うDMPなどです。
私たちが何気なく使っているシステムにも影響が及びます。
本人から開示請求ができる個人情報の範囲が広がります。
6か月以内に消去する短期保存データについても、改正法で開示請求が可能になります。
#### 第三者提供記録
個人データの授受に関する第三者提供記録についても、開示請求できるようになります。
#### 提供方法
開示方法については、現行法では書面のみとなっていましたが、改正法では電磁的記録の提供など、本人が開示方法を指示できるようになります。
オプトアウトとは、本人の同意なく第三者提供を行い、もし後で本人から求めがあれば提供停止を行う方法です。
この方法については、一定事項を事前に個人情報保護委員会に届け出るとともに、本人に通知するもしくは本人がそのことを容易に知ることができる状態に置くことが義務づけられています。
改正法では、提供元の個人情報取扱事業者の情報、提供対象となる個人データの取得方法、その他個人情報保護委員会規則で定める事項を追加で届出・通知することが定められました。オプトアウトを行っている事業者については通知やWEBサイトなどの修正が必要となるでしょう。
また、本人の関与しない個人データの流通を防止するため、オプトアプト方式によって提供された個人データをさらにオプトアウト方式で第三者提供はできなくなります。
現在でもたびたび起こる、個人データの漏洩事件。改正法では、事業者において個人データの漏洩が発生した場合、国への報告と本人の通知が義務化されます。
どのレベルで報告が求められるのかは、ガイドラインによる策定が待たれるところです。
改正法では、個人情報保護委員会の命令違反や、虚偽報告への法定刑については、法人の罰金刑の最高額が1億円まで引き上げられます。
日本国内にあるものの個人情報を取り扱う外国事業者への罰則なども適用されるようになるほか、外国にある第三者への個人データ提供において、その国の個人情報の保護制限などの情報を本人に提供する義務なども課されることになりました。
実務については「個人情報保護法ガイドライン」において詳細が提示される予定ですが、これだけ見ても、事業者によっては大きな業務変更を迫られるところもあるのではないでしょうか。
まずは自社における個人情報の取り扱いや、提供サービスなどを見直し、法務やシステム部門など関連部門との連携を深め、どのように実務レベルでの業務に落とし込むかを検討していきましょう。
シェア
