個人情報保護法改正-何から始めたらいいの?-

(質問)
 改正された個人情報保護法(以下「改正法」といいます。)が施行されたと聞きました。改正法の概要を教えてください。 

(回答)

1 はじめに
2022年4月1日に、改正法が施行されました。今回の改正は事業者の皆様にとって非常に重要なものとなっています。
  今回の改正のポイントは、事業者に対して、個人情報を流出させないための対策の強化を要求するとともに、流出した場合の対応方法を準備するよう要求することにあります。 

2 個人の権利の在り方の見直し
改正法は、個人の権利の在り方について見直していますが、これは言い換えると本人からの求めに応じて事業者が対応すべき事項が増大することを意味しています。
たとえば、改正前個人情報保護法(以下「旧法」といいます。)では、本人が事業者に対して個人保有データの利用停止や消去を請求できるのは、事業者が目的外利用した場合や不正取得した場合に限定されていました。
それに対して改正法では、一部の法違反の場合に加えて、個人の権利又は正当な利益が害される「おそれ」がある場合にも、本人から個人データの利用停止・消去が請求できるようになります。権利利益が侵害される「おそれ」があるだけでよいため、利用停止等を請求することができる範囲は広範なものとなります。具体的には、個人情報取扱事業者が十分な安全管理措置を取っていない場合やダイレクトメールの送付を停止したにもかかわらず、繰り返し送付する場合などがあります。詳細については、個人情報保護委員会がガイドラインを制定しているのでそちらをご確認ください。
また、旧法でも、事業者が第三者に個人情報を提供する場合には、いつ、誰に対して、どのような情報を提供したかについて記録する必要がありましたが、改正法では、本人が事業者に対してそのような記録の開示を請求することができることになりました。
本人からの求めに応じて事業者が対応すべき範囲が拡大されたことに伴い、必然的に事業者がいつでもそれに応じられるよう準備しなければならなくなったため、事業者は個人情報の取扱いに関する内部規定を定めておく必要があります。 

3 事業者の守るべき責務の在り方の見直し
「事業者の守るべき責務の在り方」についての重要な変更点としては、個人情報の漏えいが発生し、個人の権利利益を害するおそれが大きい場合には、個人情報保護委員会への報告と本人への通知が義務化されました。プライバシー性の高い個人情報が漏えいした場合や不正アクセスによるデータ漏えい、あるいは財産的被害のおそれがある漏えいの場合には、漏えいの報告を行う必要があるとされています。
  仮に個人情報の漏えいが発生した場合、発生してからどのように対処するべきか検討するのでは遅く、発生した場合に講ずべき措置についてまとめたフローチャートを事前に作成しておかなければなりません。対応の遅れによっては企業イメージが大きく損なわれることになります。 

4 早急に内部規定などの見直しを!!
改正法で見直された点は上記以外にも、外国にある第三者への個人データの提供時の本人への情報提供義務、安全管理のために講じた措置の公表義務、提供元では個人データに該当しないものの提供先において個人データとなることが想定される情報の第三者提供において本人同意があることの確認義務など多岐に渡っており、内容も複雑となっています。そのため、内部規定等を見直すにも時間がかかる可能性があります。
情報管理のミスは会社にとって致命的なミスとなりかねませんので、予め改正法に対応した内部規定を構築しておくことが重要です。また、構築するだけではなく、リスクマネジメントの一環として従業員に対する研修を実施するなど個人情報管理の重要性を周知させることも忘れてはなりません。
改正法に対応した内部規定を整備されていないという方は、お早めに弁護士にご相談されることをお勧めします。