弁護士法人PRO | 人事 労務問題 中小企業法務 顧問弁護士 愛知 名古屋 | 伊藤 法律事務所
弁護士コラム
Column
公開日:2022.3.14
企業法務施行直前!改正個人情報護法について
弁護士法人PROの弁護士の伊藤崇です。
2022年4月1日から令和2年改正個人情報保護法が施行されます。
令和2年改正個人情報保護法は個人情報の取り扱いに大きな変更を及ぼすもので
あり、大企業のみならず中小企業の事業活動にも大きな影響が生じます。
そこで、今回は令和2年改正個人情報保護法の中から特に個人情報の取得・利用・保管・提供・開示等の求めに関するルールの概要を網羅的に取り上げ、
その中で本年4月1日から施行が開始される改正事項にも触れていきたいと思います。
以下、令和4年4月1日施行の令和2年改正個人情報保護法のことを「改正法」と呼びます。
【目次】
1.個人情報・個人データ・保有個人データと個人情報保護法上の規律の適用関係
2.保有個人データの範囲の拡大【改正】
3.取得・利用に関するルール (個人情報・個人データ・保有個人データ)
4.保管に関するルール (個人データ・保有個人データ)
5.提供に関するルール (個人データ・保有個人データ)
6.開示等の求めに関するルール
7.プライバシーポリシーの改定が必須に
1.個人情報・個人データ・保有個人データと個人情報保護法上の規律の適用関係
2.保有個人データの範囲の拡大【改正】
3.取得・利用に関するルール (個人情報・個人データ・保有個人データ)
4.保管に関するルール (個人データ・保有個人データ)
5.提供に関するルール (個人データ・保有個人データ)
6.開示等の求めに関するルール
7.プライバシーポリシーの改定が必須に
1.個人情報・個人データ・保有個人データと個人情報保護法上の規律の適用関係
個人情報保護法では、「個人情報」「個人データ」「保有個人データ」ごとに適用される規律が区別されています。
これを図示すると以下のようになります。
「個人情報」に該当する情報については、上図のⅠのルール(のみ)が、
「個人データ」に該当する情報については、上図のⅠ&Ⅱ&Ⅲが、
「保有個人データ」に該当する情報については、上図のⅠ~Ⅳのすべてのルールが、
それぞれ適用される=そのルールの順守が必要になる、ということです。
2.保有個人データの範囲の拡大【改正】
保有個人データは、個人情報保護法上の全てのルールの順守が必要になる情報です。
保有個人データは、情報の持主本人からの開示請求や利用停止等の請求の対象になる情報であり、情報の持主本人との関わりが生じる情報ですから、企業としては特に適切な取り扱いをする必要があります。
改正前までは、「取得から6ヶ月以内に消去するものを除く」という保有期間要件が設けられていましたが、改正法の施行後はこの保有期間要件が撤廃されます。
つまり、これまでは、取得から6ヶ月以内に消去される個人データは保有個人データから除外されており、Ⅳの開示等の求めに関するルールは適用されませんでしたが、
改正法の施行後は、取得から6ヶ月以内に消去される個人データ(個人情報取扱事業者が開示、訂正、削除等の権限を有するもの)についても保有個人データに含まれることになり、本人からの開示請求や利用停止等の請求の対象になる情報が大きく広がることになります。
3.取得・利用に関するルール (個人情報・個人データ・保有個人データ)
⑴ 適正な取得
個人情報の取得にあたっては、虚偽や不正手段を用いない限り、本人の同意は不要です。但し、要配慮個人情報の取得に際しては本人の事前の同意が必要です。
⑵ 利用目的の特定
個人情報を取り扱うにあたっては利用目的をできる限り特定する必要があります。
⑶ 利用目的の公表
個人情報を取得する場合、あらかじめ利用目的を公表するか、取得後速やかに本人に通知ないしは公表する必要があります。企業のホームページに掲載されているプライバシーポリシーは利用目的の事前公表のために行っているという側面もあります。
⑷ 利用目的による制限
個人情報は利用目的の範囲内で取り扱うことができ、利用目的の範囲を超えて個人情報を取り扱うことはできません。
事後的に事後的に利用目的を変更すること自体は可能ですが、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて利用目的を変更することはできません。
⑸ 不適正な方法による利用禁止【改正】
個人情報取扱事業者が、違法または不当な行為を助長し、または誘発するおそれがある方法により個人情報を利用することが禁止されることになりました。
「違法」だけではなく「不当」な行為も規制対象に含まれるため、注意が必要です。
「不当」な行為の具体例としては、差別を誘発する利用方法(破産者マップ事件)や違法行為を営むおそれがある者への個人情報の提供(特殊詐欺グループへの名簿の提供)等が想定されています。
4.保管に関するルール (個人データ・保有個人データ)
⑴ 正確性の確保
個人データを正確かつ最新の内容に保つとともに利用する必要がなくなったときは遅滞なく消去するよう努める必要があります。
⑵ 安全管理措置
個人データの安全管理のために必要かつ適切な措置を講じる必要があります。
①基本方針の策定
②個人データの取り扱いに関する規律の整備
③組織的安全管理措置
④人的安全管理措置
⑤物理的安全管理措置
⑥技術的安全管理措置
②個人データの取り扱いに関する規律の整備
③組織的安全管理措置
④人的安全管理措置
⑤物理的安全管理措置
⑥技術的安全管理措置
但し、従業員数が100人以下の事業者の場合には安全管理措置が緩和されています。
⑶ 従業者の監督
従業者に個人データを取り扱わせるにあたっては従業者に対する監督を行う必要があります。
⑷ 委託先の監督
個人データの取り扱いを委託する場合は委託先に対する監督を行う必要があります。
⑸ 漏えい等発生時の国への報告及び本人への通知【改正】
以下の一定条件を満たした個人情報等の漏えいが生じた場合、国(個人情報保護委員会)や本人への通知が義務化されます。
①要配慮個人情報が含まれる個人データの漏えい等
②不正利用により財産的被害が生じるおそれのある個人データの漏えい等
③不正目的をもって行われた個人データの漏えい等
④1,000人を超す個人データの漏えい等
②不正利用により財産的被害が生じるおそれのある個人データの漏えい等
③不正目的をもって行われた個人データの漏えい等
④1,000人を超す個人データの漏えい等
5.提供に関するルール
⑴ 個人データを第三者に提供する場合には、原則として事前に本人の同意を得る必要があります。
⑵ これに対し、オプトアウト方式による場合には個人データの第三者提供に際して本人の事前の同意は不要です。
オプトアウト方式とは・・・
本人の求めがあれば事後的に個人データの第三者提供を停止することを前提に、提供する個人データの項目等を公表等した上で、本人の同意なく第三者に個人データを提供できる制度のことです。詳細な条件は個人情報保護法第23条2項に規定されています。
本人の求めがあれば事後的に個人データの第三者提供を停止することを前提に、提供する個人データの項目等を公表等した上で、本人の同意なく第三者に個人データを提供できる制度のことです。詳細な条件は個人情報保護法第23条2項に規定されています。
但し、不正手段により取得した個人データ、他の事業者からオプトアウト方式により提供された個人データについてはオプトアウト方式による第三者提供が禁止されます。【改正】
⑶ 個人データを第三者に提供する場合、提供者側・受領者側のそれぞれに相手方の名称等の個人データ提供に関する記録を作成・保存する義務が課されています。
この記録のことを第三者提供記録と言いますが、改正法により第三者提供記録も本人からの開示請求の対象に含まれることになりました。
⑷ 個人データの取扱委託に伴う個人データの第三者提供や、個人データの共同利用の場合には、一定の条件の下であれば個人データの提供に関するルールは適用されません。
6.開示等の求めに関するルール
⑴ 保有個人データに関する事項の公表【改正】
個人情報取扱事業者は、以下の事項について本人の知りうる状態にしておく必要があります。
①個人情報取扱事業者の氏名・名称
②保有個人データの利用目的
③開示、訂正、利用停止等の請求手続
④保有個人データの取り扱いに関する苦情の申出先等
⑤個人情報取扱事業者の住所及び代表者【追加】
⑥第三者提供記録の開示請求に応じる手続【追加】
⑦改正法により追加された利用停止等、第三者提供停止に応じる手続【追加】
②保有個人データの利用目的
③開示、訂正、利用停止等の請求手続
④保有個人データの取り扱いに関する苦情の申出先等
⑤個人情報取扱事業者の住所及び代表者【追加】
⑥第三者提供記録の開示請求に応じる手続【追加】
⑦改正法により追加された利用停止等、第三者提供停止に応じる手続【追加】
多くの企業では自社のHPにプライバシーポリシーを掲載しプライバシーポリシーに上記事項を掲載することでこのルールに対応しているケースが多く見られます。そのような企業においてはプライバシーポリシーの改訂が必要になります。
⑵ 開示(開示対象の追加、開示方法の指定【改正】)
ⅰ 本人から、本人に関する保有個人データの開示請求を受けた場合には、原則としてこれに従って対応する必要があります。
ⅱ 改正法により、開示請求の対象に第三者提供記録が追加されました。【改正】
ⅲ 改正法により、開示方法については、原則として、本人が指定した方法により開示しなければならないことになりました。【改正】
但し、本人指定方法による開示に多額の費用を要する場合など、本人指定方法による開示が困難な場合には、例外的に本人指定以外の方法で開示ができます。この場合には書面で開示することになります。
ⅳ 開示請求に対して全部または一部を開示しないとき、保有個人データが存在しないとき、本人が請求した方法による開示が困難であるときは、本人に対し、遅滞なく通知しなければなりません。
ⅴ 開示請求を受けてから2週間以内に対応することが望ましいとされています。
⑶ 訂正、追加、削除(訂正等)
ⅰ 本人は、本人に関する保有個人データの内容が事実でないときは、保有個人データの訂正、追加、削除(訂正等)を請求でき、個人情報取扱事業者はこれに応じる必要があります。
ⅱ 訂正等の請求に対して訂正等を行ったとき、訂正等を行わない旨の決定をしたときは、本人に対し、遅滞なく通知しなければなりません。
ⅲ 訂正等の請求を受けてから2週間以内に対応することが望ましいとされています。
⑷ 利用停止・消去(利用停止等)(請求権拡充【改正】)
ⅰ 本人は、本人に関する保有個人データについて、目的外利用、不正取得の場合に、保有個人データの利用停止、消去(利用停止等)を請求でき、個人情報取扱事業者はこれに応じる必要があります。
この利用停止等を請求できる事由に、以下の場合が追加されました。【改正】
①改正法により追加された不適正利用禁止違反の場合
②個人情報取扱事業者が保有個人データを利用する必要がなくなった場合
※利用する必要がなくなった=利用目的達成
③国への報告を要する個人データの漏えいが生じた場合
④その他、保有個人データの取扱により本人の権利または正当な利益が害される恐れがある場合
②個人情報取扱事業者が保有個人データを利用する必要がなくなった場合
※利用する必要がなくなった=利用目的達成
③国への報告を要する個人データの漏えいが生じた場合
④その他、保有個人データの取扱により本人の権利または正当な利益が害される恐れがある場合
ⅱ 個人情報取扱事業者は、本人からの請求に理由があることが判明したときは、利用停止等の対応をしなければなりません。但し、利用停止等に多額の費用を要する場合、利用停止等を行うことが困難な場合で代替措置をとるときは、利用停止等を行わない旨の決定をすることができます。
ⅲ 利用停止等の請求に対して利用停止等を行ったとき、利用停止等を行わない旨の決定をしたときは、本人に対し、遅滞なく通知しなければなりません。
ⅳ 利用停止等の請求を受けてから2週間以内に対応することが望ましいとされています
⑸ 第三者提供の停止(請求権拡充【改正】)
ⅰ 本人は、本人に関する保有個人データについて、第三者提供に関するルール違反の場合に、保有個人データの第三者提供の停止を請求でき、個人情報取扱事業者はこれに応じる必要があります。
この第三者提供の停止を請求できる事由に、以下の場合が追加されました。【改正】
①個人情報取扱事業者が保有個人データを利用する必要がなくなった場合
②国への報告を要する個人データの漏えいが生じた場合
③その他、本人の権利または正当な利益が害される恐れがある場合
②国への報告を要する個人データの漏えいが生じた場合
③その他、本人の権利または正当な利益が害される恐れがある場合
ⅱ 個人情報取扱事業者は、本人からの請求に理由があることが判明したときは、第三者提 供停止の対応をしなければなりません。但し、第三者提供停止に多額の費用を要する場合、第三者提供停止を行うことが困難な場合で代替措置をとるときは、第三者提供停止を行わない旨の決定をすることができます。
ⅲ 第三者提供停止の請求に対して第三者提供停止を行ったとき、第三者提供停止を行わない旨の決定をしたときは、本人に対し、遅滞なく通知しなければなりません。
ⅳ 第三者提供停止の請求を受けてから2週間以内に対応することが望ましいとされています。
7.プライバシーポリシーの改定が必須に
改正個人情報保護法の施行に伴い、多くの企業においてプライバシーポリシーの改定が必須となります。
企業活動における個人情報の有用性や重要性を考えると、自社のプライバシーポリシーの見直しを行うよい機会です。
当事務所ではプライバシーポリシーの改定の支援に積極的に取り組んでいますので、よろしければ一度、ご相談ください。
以上
Online Meeting
オンライン会議・
チャット相談について
最大利益実現のための法律相談お問い合わせ
まずはお気軽に、お電話またはフォームよりお問い合わせください。
