更新日:
2022年4月1日 改正個人情報保護法への実務対応ポイント
個人情報保護法は、3年ごとに見直しをすることとなっています。2022年4月1日の改正法施行もこれにあたり、自身の個人情報に対する意識の高まり、技術革新を踏まえた保護と利活用のバランス、越境データの流通増大に伴う新たなリスクへの対応等の観点で改正がされました。改正法への実務対応ポイントを解説します。
個人情報保護法改正対応のための6つのチェックポイント
個人情報保護法では、すべての事業者が個人情報取扱事業者となり、個人情報保護法の適用を受けることとなります。2022年4月1日の改正法施行への6つの実務対応ポイントを確認していきましょう。
- 個人情報保護委員会への報告及び本人への通知の義務化
- 外国にある第三者への個人データの提供時に、提供先の第三者における個人情報の取扱いに関する本人への情報提供の充実
- 安全管理のために講じた措置の公表等の義務化
- 6ヶ月以内に消去するデータについても開示請求の対象とし、開示方法を本人が指示できることや利用停止・消去等の個人の請求権の拡充
- 違法行為が疑われる事業者への個人情報の提供等の禁止の明確化
- 個人関連情報の第三者提供について本人同意の確認を義務化
1.個人情報保護委員会への報告及び本人への通知の義務化
改正前は、努力義務だった下記の漏えい等の事態に該当する場合に個人情報保護委員会への報告や本人通知が義務化されます。
- 要配慮個人情報の漏えい等
- 財産的被害のおそれのある漏えい等
- 不正の目的によるおそれがある漏えい等
- 1,000件を超える漏えい等
※また、それぞれの漏えい等の「おそれ」がある場合も対象
漏えい等の報告は、速報として3~5日以内、確報として30日以内(不正アクセスなどの場合は60日以内)の2段階で行う必要があります。情報漏えい等のおそれがある場合は、直ちに社内のルールに則り担当部署に報告し漏えいの被害を最小にできるよう、従業員への教育を徹底しましょう。
2.外国にある第三者への個人データの提供時に、提供先の第三者における個人情報の取扱いに関する本人への情報提供の充実
外国にある第三者に個人データを提供できる要件として、以下の3つがあります。
① 本人の同意があること
② 個人情報保護委員会が定める基準に適合する体制を整備した事業者であること
③ 日本と同等の水準国(EU、英国)であること
改正後は、①と②にルールが追加されました。
① 本人の同意取得時に法令で定められた以下の情報を提供することが必要
- 移転先の所在国の名称
- 移転先の外国における個人情報の保護に関する制度
※日本の個人情報保護法との違いを認識できる情報の提供 - 移転先が講じている個人情報の保護のための措置
② 移転元が必要な措置(年に1回以上の定期的な確認や、移転先での適正取扱いに問題が生じた場合の対応を定める等の措置)をとり、その必要な措置等については、個人情報を取得した本人の求めに応じて情報を提供することが必要
3.安全管理のために講じた措置の公表等の義務化
どのような安全管理措置が講じられているかについて、本人が把握できるようにする観点から、原則として、安全管理のために講じた措置の公表等が義務化されました。 具体的には、以下の6つの措置の具体的な内容を公表します。ただし、公表することで、個人情報の安全管理ができなくなる場合は、その内容については公表する必要はありません。
- 基本方針の策定
- 個人データの取扱いに係る規程の整備
- 組織的安全管理措置
- 人的安全管理措置
- 物理的安全管理措置
- 技術的安全管理措置
4.6ヶ月以内に消去するデータについても開示請求の対象とし、開示方法を本人が指示できることや利用停止・消去等の個人の請求権の拡充
6か月以内に消去するデータも個人情報の開示請求の対象となり、第三者提供の記録についても開示請求できるよう、対象範囲が広がりました。開示請求の方法についても、原則、書面による交付での開示とされていましたが、改正後は、電磁的記録の提供を含め開示請求する本人が指示できることとなりました。
HP等で公開している開示方法を修正し、電磁的方法での開示請求に応じられるよう体制を整えておきましょう。
また、利用停止・消去等の請求権が目的外利用、不正取得、第三者提供義務違反の場合に限定されていたところ、利用する必要がなくなった場合が追加されました。
5.違法行為が疑われる事業者への個人情報の提供等の禁止の明確化
違法な行為を営むことが疑われる事業者に、違法又は不当な行為を助長するおそれが想定されるにもかかわらず、個人情報を提供すること等、不適正な方法により個人情報を利用することが禁じられることが明確化されました。
6.個人関連情報の第三者提供について本人同意の確認を義務化
個人関連情報の第三者提供の制限等として、提供元では個人データに該当しないものの、提供先において個人データとなることが想定される情報の第三者提供について、本人同意が得られていること等の確認が義務付けられます。
個人関連情報には、端末識別子を通じて収集されたサイト閲覧履歴や、商品購買履歴、位置情報等が該当します。なお、これらの例でも、個人情報に該当する(特定の個人を識別できる)ものは、個人関連情報にはあたりません。
具体的な事例としては、下記の図をご覧ください。
出典:個人情報保護委員会
A社のポイントシステムでの購買履歴は、特定の個人を識別できないため、個人情報には該当しないため、A社からコジョHDには個人関連情報として提供しています。
コジョHDでは、A社と共有しているID等に紐づいた個人データを保有しています。そうなると、コジョHDでは、A社から提供された購買履歴と、そのIDを自社で保有しているIDと紐づけることで、個人データと結合することができます。
そのような場合、本人同意を得る必要があります。このケースでは、原則、本人と接点を持ち、情報を利用する主体となるコジョHDが本人同意を得ることになります。
まとめ:利用目的を明確にし、不正利用になっていないか確認を
2022年4月の改正法施行に対応するためには、これまで以上に事業でどのような情報を取得し、利用しているか等を明確にし、個人情報を取得する際に、より具体的にその利用目的を示すことができているかを実際の事業を担当する部門とも連携し、実務に沿って把握し適切に対応していく必要があります。
筆者プロフィール
北條 孝枝(ほうじょう たかえ)
- 株式会社ブレインコンサルティングオフィス
- 社会保険労務士・メンタルヘルス法務主任者
- 社会保険労務士として11年間、数多くの企業の労務管理、業務改善サポートやメンタルヘルス対策などを通し、現場に即したアドバイス、従業員のモチベーションを高める組織づくりに取り組んでいる。
- また、会計事務所で15年に渡り、給与計算・年末調整業務に従事した経験を活かし、労務問題だけでなく、バックオフィスの業務全般わたる課題に関するわかりやすい解説には定評があり、全国から多数の講演依頼がある。
- セミナーでの講演、顧問先への提案を通じて蓄積された実務ノウハウをもとに、すぐに業務で使える「実務安心パックシリーズ」など、商品開発においても全国の企業・社会保険労務士より好評価を得ている。
- 北條氏が講師を務める「2022年度施行法令対応版『育児休業実務安心パック』」
個人情報保護法・マイナンバー法への実務対応解説+社員研修 DVD・資料セットのご紹介
2022年4月の改正個人情報保護法により、各企業で個人情報管理について見直す動きが求められます。その対応のための DVD・資料セットのご紹介です
※本記事の内容についての個別のお問い合わせは承っておりません。予めご了承ください。
