弁護士が語る!経営者が知っておきたい法律の話(第86回) 22年4月改正個人情報保護法施行、留意点を解説

業務課題 法・制度対応

公開日:2021.11.22

 2022年4月より、2020年改正個人情報保護法が施行されます。同改正法のポイントについては、現行の個人情報保護法の基本的なポイントとともに、「弁護士が語る!経営者が知っておきたい法律の話」の第73回において解説していますが、施行を控え、今回は改めて同改正法に対応するための実務上の留意点という観点から解説します。

 個人情報保護法は、2015年の改正によって、基本的にすべての企業に適用されることとなりました。従って、顧客名簿を作り販促などに活用している企業、あるいは幅広い顧客をターゲットとしたネット通販を行っている企業などに限らず、およそすべての企業が今回の改正に対応することを求められます。

 なお、個人情報保護法は、2021年にも改正されています。こちらの改正は、民間の企業には影響を与えないものですが、同改正法の一部も2022年春から施行される予定ですので、本稿の最後で簡単に紹介します。

2020年改正項目は6つ、中でも3つに注目

 まずは、個人情報保護法の2020年の改正内容について確認しておきましょう。同改正は、下記の通り、大きく分けると6つの項目について、新たに規定を設けるなどしています。

●表1 個人情報保護法の2020年の改正内容

 このうち、一般の企業が実務上の対応を求められるのは、上記(1)、(2)および(4)です。以下では、これらへの対応に当たっての留意点についてそれぞれ解説します。

個人の権利の在り方に関わる改正への対応

 まずは、個人の権利の在り方に関わる改正への対応について説明します。ここでは、特に「保有個人データ」に関する改正への対応について触れます。

 個人データ(データベースなどを構成する個人情報)のうち、一定の場合に、企業が本人の請求に応じて、開示、訂正・追加・削除、利用停止・消去・第三者提供停止を行うものを保有個人データといいます。今回の改正では、表2の通り、この保有個人データの範囲と本人の請求権の範囲が拡大されています。従って、企業は、まずこの改正内容を把握して、改正法施行後は、本人からの請求に対応できるように備えておく必要があります。

●表2 個人の権利の在り方に関わる改正内容

 また、これまでは、本人の開示請求に応じる方法は、原則として書面の交付による方法とされていました。しかし、改正法では、開示方法は下記①~③とされ、本人がいずれの方法によるかを指示できるようになりました(ただし、本人の指示に従うことが困難な場合は、②の方法によって開示します)。

①電磁的記録の提供による方法(※)
②書面の交付による方法
③企業の定める方法
※例えば、電磁的記録を電子メールに添付して送信する方法、会員専用サイトなどのウェブサイト上で電磁的記録をダウンロードしてもらう方法など

 従って、企業は自社の保有個人データの管理状況などから、どのような方法によって開示請求に応じることが可能であるかを検討し、必要に応じてシステム改修やプライバシーポリシーの見直しをすることが求められます。

事業者の守るべき責務の在り方に関わる改正への対応

 次に(2)の事業者の守るべき責務の在り方に関わる改正への対応について説明します。今回の改正では、個人データの漏えいなどが発生したときの報告・通知が義務化されましたから特に注意が必要です。改正法は、個人データに次の①~④の事態が生じたときは、企業に対し、個人情報保護委員会への報告本人に対する通知を原則として義務化しました。

①要配慮個人情報の漏えい・滅失・毀損
(これらが発生した恐れがある場合を含む。以下②~④も同じ)
②財産的被害が生じる恐れがある漏えい・滅失・毀損
③不正アクセスなどによる漏えい・滅失・毀損
④1000件を超える大規模な漏えい・滅失・毀損

 企業としては、報告・通知の対象となる事態に含まれる、要配慮個人情報、不正利用による財産的被害が生じる恐れがある情報(クレジットカード情報など)、または1000件を超える個人情報の取り扱いの有無を確認し、取り扱いがある場合はどこでどのように管理されているかを把握しておくとともに、不正アクセスなどへの対応が十分か改めてチェックする必用があります。また、漏えいなどが生じたときに報告・通知を行う部署やその業務フローを定めるなどして、有事に備えておくことも重要です。

 さらに改正法は、企業に対して、違法・不当な行為を助長・誘発する恐れがある方法によって個人情報を利用しないよう義務付けています。これは、例えば違法行為を営む第三者に個人情報を提供するなど、相当程度悪質なケースが想定されています。

 従って、通常の企業であれば問題となることはないでしょうが、改正法の施行を機会に、自社における個人情報の利用方法について、改めて確認しておくとよいでしょう。

データ利活用の在り方に関わる改正への対応

 3番目に、(4)のデータ利活用の在り方に関わる改正への対応について説明します。ここでは、このうち「個人関連情報の第三者提供」に関する改正への対応について触れます。この改正点は少々分かりづらいので、個人情報保護委員会「改正法に関連するガイドライン等の整備に向けた論点について」に記載の下図を基に説明します。

出典:個人情報保護委員会「改正法に関連するガイドライン等の整備に向けた論点について」

 

 これは、A社では誰の個人データか分からない情報(個人関連情報=Cookie情報など)をB社に提供するというケースに関するものです。こうしたケースであっても、B社において、提供を受けた当該情報をB社が保有する個人データにひも付けて利用することが想定される場合には、次の規制が及びます。

 すなわち、B社は、このような取得をすることにつき、本人の同意を得ておかなければならず、A社は、このような情報の提供に当たってB社がこうした同意を得ていることを確認し、その記録を作成・保存することが求められるのです。

 従って、企業の対応としては、まず、そもそもこうした事例に当てはまる個人関連情報の取り扱いがあるか、取り扱いがあるとして提供側か受領側かを確認します。そして、どちらの側であるかに応じて、本人からの同意取得方法、あるいは同意を得ていることの確認方法・記録方法につき検討して準備しておかなければなりません。

 最後に、2021年の個人情報保護法改正について触れておきます。この改正は、主に公的部門と学術研究部門に関するもので、一般の企業には影響を与えません。この改正によって、個人情報保護法、行政機関個人情報保護法、独立行政法人等個人情報保護法という3本の法律は1本の法律に統合され、全体の所管が個人情報保護委員会に一元化されます。この改正の一部については、2022年春に施行が予定されています。

執筆=植松 勉

日比谷T&Y法律事務所 弁護士(東京弁護士会所属)、平成8年弁護士登録。東京弁護士会法制委員会商事法制部会部会長、東京弁護士会会社法部副部長、平成28~30年司法試験・司法試験予備試験考査委員(商法)、令和2年司法試験予備試験考査委員(商法)。主な著書は、『会社役員 法務・税務の原則と例外-令和3年3月施行 改正会社法対応-』(編著、新日本法規出版、令和3年)、『最新 事業承継対策の法務と税務』(共著、日本法令、令和2年)など多数。

【TP】

あわせて読みたい記事

  • ニューノーマル処方箋(第58回)

    1本の電話が大きなリスクに!? 実は怖い迷惑電話とその対策

    業務課題 リスクマネジメント音声通話

    2025.02.07

  • 中堅・中小企業DX実装のヒント(第11回)

    DXで人材採用の効率と精度アップを実現

    業務課題

    2025.02.07

  • 知って得する!話題のトレンドワード(第22回)

    ポイント解説!スッキリわかる「イクボス」

    業務課題 経営全般

    2025.02.04

「業務課題」カテゴリーから探す

連載バックナンバー

弁護士が語る!経営者が知っておきたい法律の話

もっと見る

カテゴリー 一覧