1 本年4月1日から改正個人情報保護法が施行
さて、本年4月1日の令和2年及び令和3年改正個人情報保護法の施行まであと2ヶ月ほどとなりました。昨年の9月から10月には同法に関するガイドラインやQ&Aの改訂版が公表されていましたが、さらに、つい先日の本年1月25日には、個人情報保護委員会から「外国における個人情報の保護に関する制度等の調査」の結果が公表され、施行に向けた情報が出揃いました。皆様の会社ではすでに対応は終えていらっしゃるでしょうか。
今回のニュースレターでは、皆様の対応を再確認いただくため、改正内容の概要と、企業に求められる対応の概要をまとめました。ご参考にしていただけますと幸いです。
また、本ニュースレター冒頭の「事務所からのお知らせ」のとおり、本年2月17日、IT法チームでは、改正個人情報保護法と実務対応の概要をコンパクトに解説するセミナーを緊急開催いたします。奮ってご参加くださいますようお願いいたします。
2 改正内容と企業の対応の概要
| 【改正内容の概要】 | 【企業の対応の概要】 |
| 1.個人の権利の在り方 ① 利用停止・消去等の個人の請求権について、不正取得等の一部の法違反の場合に加えて、個人の権利又は正当な利益が害されるおそれがある場合にも要件を緩和する(法35条5項6項)。 ② 保有個人データの開示方法について、書面の交付に加えて電磁的記録の提供を含め、本人が指示できるようにする(法33条1項2項)。 ③ 個人データの授受に関する第三者提供記録について、本人が開示請求できるようにする(法33条5項)。 ④ 6ヶ月以内に消去する短期保存データについて、保有個人データに含めることとし、開示、利用停止等の対象とする(法2条7項)。 ⑤ オプトアウト規定により第三者に提供できる個人データの範囲を限定し、①要配慮個人情報、②不正取得された個人データ、③オプトアウト規定により提供された個人データについても対象外とする(法27条2項)。 ⑥ オプトアウト実施時の開示内容を拡充(法27条2項)。 | ①~④ 個人情報の開示請求、利用停止、消去への対応について社内規程や実務対応を見直す。 ⑤ オプトアウトによる第三者提供実施企業においては、第三者提供可能な情報にとどまっているかを確認するとともに、開示内容の見直しを行う。 |
| 2.事業者の守るべき責務の在り方 ① 漏えい等が発生し、「個人の権利利益を害するおそれが大きい」場合に、委員会への報告及び本人への通知が義務化される(法26条)。ただし、受託事業者の漏えい(他2箇所は平仮名)の場合は、委託事業者への通知で対応可。 →(政令・規則) ✓ 報告対象:①要配慮個人情報、②財産的被害が発生するおそれがある場合、③不正アクセス等故意によるもの、④1,000人を超える漏えい等を報告対象とする。 ✓ 委員会への報告:速報と確報の二段階。事態の発生を認識した後、速やかに速報を求めるとともに、30日(上記③の場合は60日)以内に確報が必要。 ② 違法又は不当な行為を助長する等の不適正な方法により個人情報を利用してはならない旨を明確化(法19条)。 | ① 漏えい等が生じた場合に、委員会に報告するとともに本人に通知をするよう、社内規程、実務対応を見直す。 また、個人情報の管理・使用等を委託している場合は、委託先による報告規定について確認する。 ② 個人情報の利用に関する社内規程、実務対応を見直す。 |
| 3.事業者による自主的な取組を促す仕組みの在り方 ✓ 認定団体制度について、現行制度に加え、企業の特定分野(部門)を対象とする団体を認定できるようにする(法47条2項)。 | |
| 4.データ利活用に関する施策の在り方 ① イノベーションを促進する観点から、他の情報と照合しない限り特定の個人を識別することができないように加工した「仮名加工情報」を創設し、内部分析に限定する等を条件に、開示・利用停止請求への対応等の義務が緩和される(法2条9項・10項、41条、42条)。 → (政令・規則) 加工基準:①氏名等の特定の個人を識別できる記述等、②個人識別符号、③財産的被害が生じるおそれのある記述等の削除・置換。 ② 提供元では個人データに該当しないものの、提供先において個人データとなることが想定される情報(個人関連情報)の第三者提供について、本人同意が得られていること等の確認が義務付けられる(法30条、31条)。 → (政令・規則) ✓ 提供元における本人同意の確認方法:提供先から申告を受ける方法等。 ✓ 提供元における記録義務:①提供年月日、②第三者の氏名等、③個人関連情報の項目等を記録させ、原則3年の保存が必要。 | ① 削除、利用停止請求を受けた場合に事業に支障が生じる情報について、仮名加工情報とする必要がないかを検討。 ② 個人関連情報の第三者提供があり得る場合には、その取得、保有、第三者提供の段階において、社内規程及び実務対応の見直しが必要。 |
| 5.ペナルティの在り方 ① 委員会による命令違反・委員会に対する虚偽報告等の法定刑が引き上げられる。また、委員会が違反事業者を公表できるようになる。 (※)命令違反:6月以下の懲役又は30万円以下の罰金→1年以下の懲役又は100万円以下の罰金(法173条) 虚偽報告等:30万円以下の罰金→50万円以下の罰金(法177条) ② データベース等不正提供罪、委員会による命令違反の罰金について、法人と個人の資力格差等を勘案して、法人に対しては行為者よりも罰金刑の最高額が引き上げられる(法人重科)。 (※)個人と同額の罰金(50万円又は30万円以下の罰金)→1億円以下の罰金(法179条) | ①② 違反行為が生じないよう個人情報保護ルールの周知、徹底を図る。 |
| 6.法の域外適用・越境移転の在り方 ① 日本国内にある者に係る個人情報等を取り扱う外国事業者が、罰則によって担保された報告徴収・命令の対象とされる(法166条)。 ② 外国にある第三者への本人同意に基づく越境移転:同意の取得時に、本人への情報提供が必要(法28条2項)。 →(政令・規則) ✓ 同意取得時に本人に提供すべき情報:①移転先の所在国名、②適切かつ合理的な方法で確認された当該国の個人情報保護制度、③移転先が講ずる措置。 ③ 体制整備要件に基づく越境移転:移転先による個人データの適正な取扱いの継続的な確保のための「必要な措置」の実施と、本人の求めに応じて必要な措置に関する情報提供が必要(法28条3項)。 ④ 法定公表事項(法32条1項4号) → (政令・規則) 公表事項:安全管理のために講じた措置の公表が必要となる(ただし、公表により支障を及ぼすおそれがあるものを除外) | ① 特に、外国事業者は個人情報保護法遵守体制の整備が必要。 ②③ 外国にある第三者へ提供する個人情報の有無を精査し、これがある場合には、第三者提供についての本人同意を取得するか、適正取扱いの確保に「必要な措置」をとる。 同意取得の際には、移転先の所在国や当該国の個人情報保護制度の説明が必要となるため、その準備が必要。 ④ プライバシーポリシー等に、「保有個人データの安全管理のために講じた措置」の記載を追加、公表する。 |