個人情報保護法がさらに厳格化
ビジネスにおいて個人情報を扱う際は、不正利用や外部への流出を防止するため、個人情報保護法に則った上で、厳重に管理しなければなりません。同法は2003年に公布・成立され、2005年から施行されましたが、以降、社会情勢や個人情報の活用の変化などに合わせ、定期的に改正されています。
2020年6月にも改正が行われ、2022年4月から新ルールの施行がスタートしています。改正個人情報保護法では、大きく以下の2点が変更されています。
(1)漏洩時の個人情報保護委員会への報告と、本人通知の義務化
個人情報が意図しない形で流出した場合、個人の権利や利益が害される恐れがあります。旧法では、個人情報保護委員会への報告と本人への通知についても義務化されておらず、企業の個別対応に委ねられていましたが、今回の改正では、漏洩した情報が個人の権利利益を害する恐れがある場合、個人情報保護委員会へ報告と本人への通知することが義務化されました。
報告の対象となるのは、要配慮個人情報(不当な差別、偏見などの不利益が生じないよう、取扱いに配慮を要する情報)の漏洩や、不正アクセス、財産的被害に該当する場合となります。
(2)第三者提供記録における開示請求
第三者提供記録とは、データを取得した個人情報取扱事業者が、その情報を第三者へ提供する際に作成する記録のことです。旧法における第三者提供記録は、本人による開示請求が対象外となっていましたが、今回の法改正により、本人も開示請求ができるようになりました。個人情報の提供者は、自身が提供したデータをどのように第三者へ提供されたのか、その詳細を知ることができます。
「オプトアウト方式」は個人情報保護委員会への届出が必須に
今回の法改正では、これらの変更点のほかに、「オプトアウト方式」が厳格化されています。
個人情報保護法では、個人情報取扱事業者が第三者に個人データを提供する場合、個人データの本人から、同意をはっきりと得る(オプトイン)必要があります。しかし、本人の事前の同意が無い場合でも、異議が申し出されない限りは、個人データを第三者に提供しても良いという扱い方も存在します。これが「オプトアウト方式」というもので、インターネットの広告メールでは広く採用されているやり方となります。
オプトアウト方式で個人情報を扱う場合、これまではユーザー本人に対し、個人情報を第三者に提供する可能性があること、および本人からの申し出があった場合は、情報の提供をストップすることを明示しておく必要がありました。
しかし、改正個人情報保護法の施行によって、このルールがさらに厳格化。個人情報をオプトアウト方式で第三者提供する際、個人情報保護委員会への届け出が必須となりました。具体的には、「個人情報を第三者提供する目的」・「対象項目」・「情報提供方法」・「ユーザーのオプトアウト方法」の4項目を、事前に申請しておく必要があります。
会社だけではなく、従業員も処罰の対象に
このようにオプトアウト方式のルールが変更されたことで、不正な手段で取得した個人データ、および不正なオプトアウト手続きによって取得された個人データについても、利用が禁止されることになりました。第三者から個人情報の提供を受ける場合、その情報が、改正法以降の正しいやり方によって入手されたものであるか、確認が必要になります。
さらに改正法では、個人情報を不正に入手した場合、処罰の対象が企業だけでなく、従業員にも広がっています。そのため、従業員が不正に個人情報データにアクセスできないよう、データ管理の強化も必要になります。個人方法を外部へ委託している場合も、取扱いに関する指導を十分に行うべきでしょう。
今回は2022年に変更された個人情報保護法について解説しましたが、同法は今後も社会の変化やテクノロジーの進化に合わせて、さらに厳格化していくことが予想されます。古いやり方のまま続けていると、いつのまにか同法に違反していることにもなりかねません。ルールがどのようにアップデートされたのか、最新の情報を常に追っていく必要があるといえるでしょう。