【2022年4月施行】改正個人情報保護法対応に向けた主なTo Doを解説!(全企業対象)

「まもりの種」では、2022年4月に施行された個人情報保護法改正について解説をお届けしております(これまでの記事は最下部ご参照)。今回は、個人情報保護法改正を受け、今企業に必要なTo Do(やるべきこと)について、これまでの記事をまとめながら解説します。

【資料ダウンロード】>>資料ダウンロード一覧へ

\これだけは抑えておきたい/「改正個人情報保護法対応チェックリスト」

重要な6つのTo Do

ここでは、改正法対応に向けたTo Doの中から特に重要な6つをピックアップして解説します。

1.プライバシーポリシーの改訂と公表

個人情報保護法においてプライバシーポリシー作成は法律上必須の義務ではありませんが、「個人情報の取得・利活用時の効率化」や「自社の個人情報の取り扱い方針を対外的に公表する必要性・メリット」などから大多数の企業で作成されています。

今回の改正を受け、変更しなければならない項目の中から特に重要なものを以下に例示します。

・利用目的の明確化

改正法のガイドラインでは利用目的の明確化がより厳しくなりました。あいまいな表現ではなく“本人が、自らの個人情報がどのように取り扱われることとなるか、利用目的から合理的に予測・想定できる”ように明示する必要があります。

・保有個人データの公表事項の追加

個人データの安全管理措置を講じる義務は以前からありましたが、改正法でその安全管理措置の公表等が追加となりました。安全措置の具体的な内容について本人が知り得る状況(※)にしておく必要があります。

※ホームページへの掲載や紙面の配布を行い本人が知ろうとすれば知ることができる状態におくこと。また、本人の求めに応じて遅滞なく回答する場合を含む。

・外国にある第三者への提供時の公表事項

クラウドサービス等を利用しており、かつ、そのサービスのデータが外国に保管されている場合は、該当する国名や当該外国における個人情報保護に関する制度等の情報を列挙しておく必要があります。

しかしながら、海外のクラウドサービスに個人データを保存する場合でも、そのサーバーを保有する法人が個人データを取り扱わないとする場合は、第三者への提供には該当しません。なお、クラウドサーバーを通じてデータを共有する場合も同様の対応が求められます。海外のクラウドサービスを利用している企業は、今一度、「当該クラウドサービスの利用が第三者への提供に該当するか否か」について利用約款や規約等、契約内容を確認しましょう。

2. 仮名加工情報の取り扱いについて

改正法では、仮名加工情報(※)が新しく定義されました。すでに社内で取り扱っている場合もしくは今後取り扱う予定がある場合は、そのルールを定める必要があります。

※他の情報と照合しない限り、特定の個人を識別することができないように個人情報を加工した個人に関する情報のこと。

仮名加工情報の取扱いに関するルール設定には、以下の項目を検討すると良いでしょう。

  • ■加工の手順
  • ■削除情報に関する安全管理措置
  • ■禁止事項
      • 1. 公表している目的以外の用途に利用すること
      • 2. 他の情報と照合して本人を識別すること
      • 3. 仮名加工情報に含まれる電話番号などを利用し本人に連絡や訪問をすること
      • 4. 第三者提供すること

3.個人関連情報の第三者提供を受ける場合について

自社が運営しているWebサイトにおいて、Web解析ツールや広告サービスを利用していてcookie情報等を取得し個人情報と関連付けて利用している場合は、本人から同意を得る必要があります。

まずは上記の「本人から同意を得る必要性」についての現状を確認の上、必要に応じてルールを策定/改訂し、早急に該当するWebサイトでプライバシーポリシーを変更します。具体的には、ポップアップなどを活用して本人からの同意を取得するなどの方法が挙げられます。

4.開示請求を受けた場合について

今回の改正法では、情報を提供している本人が個人情報取扱事業者に対して情報開示を請求できる方法を、本人が指定できるようになりました。

これまでの開示方法は原則「書面のみ」でしたが、今後は「電磁的記録」を含む「本人が指定した請求方法」が可能となったため、その旨をルールや様式に反映します。

5.外国にある第三者への個人情報提供について

外国にある第三者へ個人情報を提供する場合に、本人の同意が必要であることは、以前から変わりありません。

改正法では、外国にある第三者へ個人情報を提供(または委託)する旨の本人からの同意を取得する場合に、あらかじめ下記の3点を本人に提供しなければなりません。

  • ・移転先となる外国の名称
  • ・適切かつ合理的な方法に基づき得られた当該外国における個人情報保護に関する制度
  • ・第三者が講ずる個人情報の保護のための措置

なお、ここで言う外国にある第三者の定義とは、個人データを提供する個人情報取扱事業者と個人データによって識別される本人以外の者を言い外国政府なども含まれます。一方で、自社の支店や駐在員が常駐している事務所など同一法人格内での個人データの移動の場合には外国にある第三者に該当しません。

外国との取引がある場合は、こうした定義の再確認も必要になるでしょう。

6)委員会への報告と本人通知の義務化、ルールの見直し

これまでは漏えい等があった場合、個人情報保護委員会に報告するよう努め、本人への通知が望ましいとされていましたが、改正法では個人情報保護委員会規則で定める事例が生じた場合に報告・通知が義務付けられました。まずは、どのようなルートで報告・連絡・相談を行うのかといったフローをまとめ、社内で共有しておきましょう。

さらに改正法では、措置命令・報告義務違反に対するペナルティが強化されています。事案発生時を想定した訓練を行うなど入念な対策を検討しても良いかもしれません。

改正法への適合は細かな対応が必要

今回の改正法では、上記でご紹介した以外にも細かな変更点が多くあります。これを機にさらにより良い社内制度となるようにしていきましょう。

社内の個人情報保護関連ルール整備には、外部の専門家に相談することもひとつの方法です。たとえば、日本パープルが提供する「Coach Mamoru」は、経験豊富な専門コンサルタントが、企業の情報セキュリティ教育・コンサルティングを提供するサービスとして多くの企業に利用されています。最新の法改正と顧客企業の状況を踏まえたうえで、企業が抱える情報セキュリティ課題に対し柔軟かつ適切にコンサルティングを行うことが特徴です。改正個人情報保護法を機に制度チェックやさらなる整備に努めたい企業は利用を検討すると良いでしょう。

 

Pマーク取得企業も新たな「構築・運用指針」に対応した運用を

今回の改正個人情報保護法に合わせて、Pマーク取得企業も新たな「構築・運用指針」に対応していかなければなりません。次の審査まで時間に余裕があったとしても、2022年4月以降は新たな基準での運用が求められています。Pマーク取得企業は今回の対応を「個人情報に対する意識向上」の好機だととらえ、積極的に進めていきましょう。

個人情報保護法改正(2022年4月施行)関連記事

第1回【2022年4月施行】個人情報保護法改正、6つのポイントとは?
第2回【2022年4月施行】個人情報保護法改正、6つのポイントを徹底解説
第3回【2022年4月施行】個人情報保護法改正、プライバシーポリシー改訂のポイント
第4回【2022年4月施行】個人情報保護法改正、開示請求のポイント
第5回【2022年4月施行】個人情報保護法改正、個人関連情報・オプトアウト規制・不適正利用に関する対応ポイント
第6回【2022年4月施行】個人情報保護法改正、従業員教育で取り上げるべきポイント教育
第7回【2022年4月施行】個人情報保護法改正、個人データ漏洩等の報告・対応について
第8回【2022年4月施行】個人情報保護法改正、個人データの取り扱いに関する安全管理措置について
第9回【2022年4月施行】個人情報保護法改正Q&A、海外のクラウドサーバーやソーシャルプラグインに関する考え方
第10回【2022年4月施行】改正個人情報保護法対応に向けた主なTo Doを解説!(全企業対象)
第11回【2022年4月施行】改正個人情報保護法対応に向けた主なTo Doを解説!(Pマーク取得企業対象)

【資料ダウンロード】>>資料ダウンロード一覧へ

\これだけは抑えておきたい/「改正個人情報保護法対応チェックリスト」