皆さんこんにちは。山口です。
いつも広告の事ばかり話をしているのですが今回は個人情報保護法の改正についての記事を書いていきたいと思います。
目次
個人情報保護法の改正ポイント
2020年6月12日に公布された個人情報の保護に関する法律等の一部を改正する法律では、個人の権利利益の保護などを目的として、個人情報保護法が改正されました。改正ポイントは、下記の6つとなります。
ポイント1:本人の権利保護が強化
ポイント2:事業者の責務が追加
ポイント3:企業の特定分野を対象とする団体の認定団体制度が新設
ポイント4:データの利活用の促進
ポイント5:法令違反に対する罰則の強化
ポイント6:外国の事業者に対する、報告徴収・立入検査などの罰則が追加される
大きく分けると上記の6つが修正となっています。
ポイントをまとめて一つずつ説明を行っていきます。。
ポイント1:本人の権利保護が強化
改正前の個人情報保護法では6ヶ月以内に消去する個人情報は保有個人データ(※1)に含まれませんでしたが、改正後は保有する期間を問わず、保有個人データとして保護しなければならなくなりました。
また、本人からの保有個人データの利用停止、消去の請求は、「目的以外で利用されたとき」「不正に取得されたとき」のみ可能となります。
第三者提供の停止請求については、「本人の同意なく第三者提供されたとき」となっていましたが、改正後は加えて「不適正に利用されたとき」も請求可能となりました。
※1「保有個人データ」とは、個人データのうち、個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有するものをいいます。
ポイント2:事業者の責務が追加
事業者は個人情報が流出しないよう努めなければなりませんが、万が一保有個人データが漏えいなどした際には必ず個人情報保護委員会に報告し、本人にも通知しなければならないという義務が追加されました。
ただし、データの取り扱いについて委託されているケースでは、委託元への通知のみで問題ありません。委託元が上記の報告業務を行う事となります。
報告については、本人に通知することが難しいとき、本人の権利や利益の保護をするために代替措置を行っているときは、必ずしも通知しなければならないというわけではないと定められています。
ポイント3:企業の特定分野を対象とする団体の認定団体制度が新設
旧法では、事業者の全ての分野における個人情報の取り扱いを対象とする団体に対して認定する「認定団体制度」がありました
認定団体は下記の対象事業者の全ての分野について対応を行う必要がありました。
①対象事業者の個人情報等の取扱いに関する苦情の処理
②個人情報等の適正な取扱いの確保に寄与する事項についての対象事業者に対する情報の提供
③対象事業者の個人情報等の適正な取扱いの確保に関し必要な業務
改正後は企業の特定分野(部門)を対象として上記の①~③の業務を行うように限定できるようになっています。
ポイント4:データの利活用の促進
改正前は匿名加工情報という個人が識別できないように氏名や顧客IDを加工して個人と特定できなくするように加工する事が必須となっておりました。
改正後は新たに「仮名加工情報」「個人関連情報」が追加されます。
仮名加工情報とは他の情報と照合しない限り特定の個人を識別することができないように加工された個人に関する情報です。例えば、氏名は削除するが、会員番号はそのまま残しておくような加工方法です。統計分析や情報を変更したりすることが可能ですが、利用目的の範囲内となりますので企業のプライバシーポリシーで定義を行っておく必要があります。
また、第三者への提供はできませんのでご注意下さい。
個人関連情報とは、生存する個人に関する情報であって、個人情報、仮名加工情報、匿名加工情報のいずれにも該当しないものを指します。
例えば、Cookie等の端末識別子を通じて収集された個人情報のウェブサイトの閲覧履歴、特定の個人を識別できないメールアドレスに結び付いた個人の年齢・性別・家族構成等が個人関連情報となります。
こちらも同意を取る事で個人関連情報の利用が可能となります。
最近サイトに入るとポップアップで同意を得るサイトが増えたのはこの法律が制定されたためとなります。
ポイント5:法令違反に対する罰則の強化
個人情報保護委員会による命令違反について、行為者の懲役刑が6カ月以下から1年以下へ、罰金刑も30万円以下から100万円以下へ引き上げられました。
法人に対しては、罰金刑の上限額が1億円まで大きく上がりました。その他、個人情報保護委員会に対する虚偽報告について、罰金刑の最高額が30万円から50万円に引き上げられました。
ポイント6:外国の事業者に対する、報告徴収・立入検査などの罰則が追加される
一部のみ対象となっていた外国事業者への罰則は、改正後には日本国内に住む人の個人情報などを取り扱っている事業者も報告徴収・命令の対象になり、これに違反した場合は罰則が適用されるようになりました。
外国企業はいままで対象外となっていたものが、今後は全て個人情報保護法に則って事業を行う必要があります。
個人情報保護法によって企業が対応する事
1.プライシーポリシーの見直し
今までは個人情報の利用目的などは細かく記載を行う必要はありませんでしたが、法改正により、プライバシーポリシーの細かい記載が必要となります。
利用目的などは詳細に記載を行っておかないと目的外利用と指摘されたりする可能性がありますので、個人情報の利用目的を詳細に記載を行い、広告のタグについての情報収集の記載も必要となります。
2.デジタルデータによる開示請求の対応準備
個人情報保護法の改正により、今までは情報開示の際に書面での開示を行わなければなりませんでしたが開示請求の方法を選択する事が可能となったため、電磁記録による開示もできるよう準備をしておかなければなりません。
3.社内の個人情報に関するセキュリティの見直し
個人情報は流出してしまうと企業の倒産の恐れがある情報です。
改正法で罰金や責任が大きくなっている為、企業の対応の見直しを行う必要があります。
また、万が一に備え、対応に関するマニュアルの作成と社員教育を行うようにしましょう。
いかがだったでしょうか?
今回は個人情報保護法の改正について簡潔にわかりやすく説明を行わせていただきました。
個人情報の取扱いや公表について一番簡単なのが企業のプライバシーポリシーです。
もし不安があれば、確認や改定等ご協力いたしますので是非当社にお問い合わせください。