【直前整理】改正個人情報保護法の対応チェックポイント５選

個人情報漏えい事件が多発しています。
これにより、個人情報に対する意識が急速に高まっています。

また、令和２年１２月１２日から、個人情報保護法の罰則が強化されています。
例えば、個人情報データベース等を自己もしくは第三者の不正な利益を図る目的で提供し、または盗用したときには、これまで、法人には５０万円以下の罰金が科せられていたところ、法改正後においては、１億円以下の罰金が科せられることになっています。

以上から、事業者の守るべき責務は増大しています。
そして、いよいよ改正個人情報保護法が2022年4月1日からスタートします。

そこで、今回は、
●【直前整理】改正個人情報保護法の対応チェックポイント５選
について、解説しますので、ぜひ最後まで、ご覧ください。

■不適正利用の禁止

事業者は、違法または不当な行為を助長し、または誘発するおそれがある方法により個人情報を利用してはならない。

【ポイント】

個人情報保護法違反がない利用方法であっても、違法または不当な行為を助長し、または誘発されるおそれがある方法により個人情報を利用することが禁止される。

個人情報の保護に関する法律についてのガイドライン（通則編）では、次の禁止事例が紹介されています。

・個人情報を提供した場合、提供先において第三者提供の制限に違反する第三者提供がなされることを予見できるにもかかわらず、当該提供先に対して、個人情報を提供する場合

・採用選考を通じて個人情報を取得した事業者が、性別、国籍等の特定の属性のみにより、正当な理由なく本人に対する違法な差別的取扱いを行うために、個人情報を利用する場合

ガイドライン（通則編）の禁止事例も踏まえ、不適正利用が禁止されることを社内規程に明確に規定しておきましょう。

■保有個人データの利用停止等への対応

事業者は、個人情報保護法違反がない場合であっても、本人が識別される保有個人データの取扱いにより当該本人の権利または正当な利益が害される場合には、保有個人データの利用停止等（利用停止・消去）の請求に応じなければならない。

【保有個人データの利用停止等の請求に応じなければならないケース】は次のとおりです。

１．本人の同意なく目的外利用している場合

２．偽りその他不正の手段により個人情報を取得している、本人の同意なく要配慮個人情報を取得している場合

３．違法または不当な行為を助長し、または誘発されるおそれがある方法により個人情報を利用している場合（「不適正な利用の禁止」に違反している場合）

４．保有個人データを個人情報取扱事業者が利用する必要がなくなった場合

５．個人データの漏えい等により、個人情報保護委員会への報告義務が生じた場合

６．保有個人データの取扱いにより、本人の権利または正当な利益が害されるおそれがある場合

※上記３．～６．が新設

個人情報の保護に関する法律についてのガイドライン（通則編）では、次の事例が紹介されています。

・ダイレクトメールの送付を受けた本人が、送付の停止を求める意思を表示したにもかかわらず、事業者がダイレクトメールを繰り返し送付していることから、本人が利用停止等を請求する場合

ガイドライン（通則編）の事例も踏まえ、本事項についての手続を社内規程に明確に規定しておきましょう。

■漏えい事案等への対応

個人データの漏えい、滅失、き損その他の個人データの安全の確保に係る事態であって、個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定める事態が発生したときは、当該事態が生じた旨を個人情報保護委員会（個人情報保護委員会が報告を受理する権限を事業所管大臣に委任している場合には、当該事業所管大臣）に報告しなければならない。

さらに、改正個人情報保護法では、次のとおり、「本人への通知」が義務化されることになります。

報告の対象事態を知った後、当該事態の状況に応じて速やかに、本人の権利利益を保護するために必要な範囲において、本人に通知しなければならない。

行政への報告の対象事態は、次のとおりです。

１．要配慮個人情報が含まれる個人データの漏えい、滅失、き損（以下「漏えい等」という。）が発生し、または発生したおそれがある事態（個人データの性質に着目した基準）

２．不正に利用されることにより、財産的被害が生じるおそれがある個人データの漏えい等が発生し、または発生したおそれがある事態（個人データの内容（クレジットカード番号、ID・パスワード等）に着目した基準）

３．不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、または発生したおそれがある事態（漏えい等の態様（従業員による不正な持出し、不正アクセス等）に着目した基準）

４．個人データに係る本人の数が１０００人を超える漏えい等が発生し、または発生したおそれがある事態（漏えい等の規模に着目した基準）

さらに、「報告期限」が次のとおり明確化されることになります。

■速報
対象事案の事態を知った後、概略を速やかに報告（知った時点から概ね３～５日以内）

■確報
対象事案の事態を知った日から３０日以内に報告（「３．不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、または発生したおそれがある事態」の場合は６０日以内に報告）

本事項についての手続を社内規程に明確に規定しておきましょう。

■利用目的の特定

「利用目的」をできる限り特定することが求められます。

「利用目的の特定」について、2022年４月１日からスタートする「改正個人情報保護法」において、法律上の改正はありません。

しかしながら、「個人情報の保護に関する法律についてのガイドライン（通則編）」が、次のとおり改正されることになります。

○個人情報をどのような事業に利用し、どのような目的で利用するのかについて、できるだけ具体的に明確にしなければならない。

○本人から得た情報から、本人に関する行動・関心等の情報を分析する場合、個人情報取扱事業者は、どのような取扱いが行われているかを本人が予測・想定できる程度に利用目的を特定しなければならない。

例えば、ターゲティング広告など、お客様から得た情報から、お客様に関する行動・関心等の情報を分析する場合には、次の事例を参考に、利用目的に規定することが必要です。

・取得した閲覧履歴や購買履歴等の情報を分析して、趣味・嗜好に応じた新商品・サービスに関する広告のために利用いたします。

・取得した行動履歴等の情報を分析し、信用スコアを算出した上で、当該スコアを第三者へ提供いたします。

以上を踏まえ、次の観点から「利用目的」の改訂を行いましょう。

◆個人情報の取扱範囲が具体的・明確に特定できているか？
◆お客様が予測・想定できる内容となっているか？

■保有個人データの公表事項への対応

「保有個人データに関する事項」をお客様に知らせる方法として、次の２つがあります。

１．公表して、本人の知り得る状態に置く
⇒「プライバシーポリシー」を自社のホームページに掲載等

２．本人の求めに応じて遅滞なく回答する

上記１．の方法が一般的だと思いますので、次のとおり、「保有個人データの公表事項」の追加内容を網羅した「プライバシーポリシー」の改訂が必要になります。

１．個人情報取扱事業者の氏名または名称、住所、法人の代表者の氏名

⇒法改正によって「住所、法人の代表者の氏名」の追加が必要になります。

２．保有個人データの開示、内容の訂正・追加・削除、利用停止・消去、第三者への提供の停止の請求に応じる手続

⇒法改正によって、開示の請求を受けたときは、本人に対し、電磁的記録の提供による方法、書面の交付による方法、その他事業者の定める方法のうち本人が請求した方法（当該方法による開示に多額の費用を要する場合その他の当該方法による開示が困難である場合にあっては、書面の交付による方法）により、当該保有個人データを開示することが求められることから、開示請求に対する回答方法の改訂が必要になります。

⇒法改正によって、「違法または不当な行為を助長し、または誘発される恐れがある方法により個人情報を利用している場合（「不適正な利用の禁止」に違反している場合）」等、利用停止・消去の請求があれば応じなければならない事項が新設されることから、本事項についての手続の新設が必要になります。

３．個人データの第三者提供時の記録の開示の請求に応じる手続

⇒法改正によって、「個人データの第三者提供時の記録の開示」が新設されることから、本事項についての手続の新設が必要になります。

４．保有個人データの安全管理のために講じた措置（事業者にとって、保有個人データの安全管理に支障を及ぼすおそれがあるものは除く）

⇒「個人情報の保護に関する法律についてのガイドライン（通則編）」で示されている【安全管理のために講じた措置として本人の知り得る状態に置く内容の事例】および【中小規模事業者における安全管理のために講じた措置として本人の知り得る状態に置く内容の事例】を参考にして、自社の取組みの概要を記載することが求められます。
また、外国にて個人データを取り扱う場合には、「外的環境の把握」の概要を記載することが求められます。

【安全管理のために講じた措置として本人の知り得る状態に置く内容の事例】は、次のとおりです。

●基本方針
●個人データの取扱いに係る規律の整備
●組織的安全管理措置
●人的安全管理措置
●物理的安全管理措置
●技術的安全管理措置
●外的環境の把握

以上を踏まえ、「保有個人データの安全管理のために講じた措置」の改訂が必要になります。

それでは、今回のまとめです。

今回は「【直前整理】対応チェックポイント５選」について、解説しました。

１．不適正利用の禁止（社内規程の改訂）
２．保有個人データの利用停止等への対応（社内規程の改訂）
３．漏えい事案等への対応（社内規程の改訂）
４．利用目的の特定（プライバシーポリシーの改訂）
５．保有個人データの公表事項への対応（プライバシーポリシーの改訂）

ぜひ、今回の記事を参考にして
改正個人情報保護法への対応を万全に行っていきましょう。

福田秀喜（行政書士福田法務事務所）

講演実績・サイト運営者|これで解決！成功するためのコンプライアンス経営

【追伸】

「個人情報保護規程」のモデル規程の提供を通じて、改正個人情報保護法への対応をサポートしています。

個人情報保護法|これで解決！成功するためのコンプライアンス経営

【追伸２】

この記事の内容は、YouTubeでも紹介しています。