今の「プライバシーポリシー」では不十分、法改正で求められる内容とは？

個人情報保護法では、「保有個人データに関する事項」をお客様に知らせる方法として、「公表して、本人の知り得る状態に置く」か、もしくは「本人の求めに応じて遅滞なく回答する」か、いずれかの方法で行うことが求められています。

一般的には、「公表して、本人の知り得る状態に置く方法」を選択し、「保有個人データに関する事項」を記載した「プライバシーポリシー」を自社のホームページに掲載するか、事業所内にポスター掲示して公表することが主流になっています。

２０２２年４月１日からスタートする「改正個人情報保護法」では、
「保有個人データに関する事項」の内容が追加されることから、現在公表されている「プライバシーポリシー」の見直しの検討を行い、「改正個人情報保護法」のスタートに備えておきましょう。

■保有個人データに関する事項

法改正後において、公表が求められる「保有個人データに関する事項」は、次の内容になります。

１．個人情報取扱事業者の氏名または名称、住所、法人の代表者の氏名

⇒法改正によって、「住所、法人の代表者の氏名」が追加されます。

２．全ての保有個人データの利用目的（利用目的を本人に通知し、または公表することにより本人または第三者の生命、身体、財産その他の権利利益を害するおそれがある場合等、法第１８条第４項第１号から第３号までに該当する場合を除く）

⇒現行どおり

３．保有個人データの開示、内容の訂正・追加・削除、利用停止・消去、第三者への提供の停止の請求に応じる手続

⇒法改正によって、開示の請求を受けたときは、本人に対し、電磁的記録の提供による方法、書面の交付による方法、その他事業者の定める方法のうち本人が請求した方法（当該方法による開示に多額の費用を要する場合その他の当該方法による開示が困難である場合にあっては、書面の交付による方法）により、当該保有個人データを開示することが求められます。したがって、開示請求に対する回答方法を検討する必要があります。

⇒法改正によって、「違法または不当な行為を助長し、または誘発される恐れがある方法により個人情報を利用している場合（法第１６条の２（不適正な利用の禁止）に違反している場合）」等、利用停止・消去の請求があれば応じなければならない事項が新設されますので、当該事項についての手続を新設する必要があります。

４．個人データの第三者提供時の記録の開示の請求に応じる手続

⇒法改正によって、「個人データの第三者提供時の記録の開示」が新設されますので、当該事項についての手続を新設する必要があります。

５．保有個人データの「利用目的の通知の求め」および「開示の請求」に係る手数料の額（定めた場合に限る）

⇒現行どおり

６．苦情の申出先

⇒現行どおり

７．個人情報取扱事業者が認定個人情報保護団体の対象事業者である場合は、当該認定個人情報保護団体の名称および苦情の解決の申出先

⇒現行どおり

８．保有個人データの安全管理のために講じた措置（事業者にとって、保有個人データの安全管理に支障を及ぼすおそれがあるものは除く）

⇒「個人情報の保護に関する法律についてのガイドライン（通則編）」で示されている下記【安全管理のために講じた措置として本人の知り得る状態に置く内容の事例】および【中小規模事業者における安全管理のために講じた措置として本人の知り得る状態に置く内容の事例】を参考にして、自社の取組みの概要を記載することが求められます。
　また、外国にて個人データを取り扱う場合には、「外的環境の把握」の概要を記載することが求められます。

【安全管理のために講じた措置として本人の知り得る状態に置く内容の事例】

（基本方針の策定）
事例）個人データの適正な取扱いの確保のため、「関係法令・ガイドライン等の遵守」、「質問及び苦情処理の窓口」等についての基本方針を策定

（個人データの取扱いに係る規律の整備）
事例）取得、利用、保存、提供、削除・廃棄等の段階ごとに、取扱方法、責任者・担当者及びその任務等について個人データの取扱規程を策定

（組織的安全管理措置）
事例1）個人データの取扱いに関する責任者を設置するとともに、個人データを取り扱う従業者及び当該従業者が取り扱う個人データの範囲を明確化し、法や取扱規程に違反している事実又は兆候を把握した場合の責任者への報告連絡体制を整備

事例2）個人データの取扱状況について、定期的に自己点検を実施するとともに、他部署や外部の者による監査を実施

（人的安全管理措置）
事例1）個人データの取扱いに関する留意事項について、従業者に定期的な研修を実施

事例2）個人データについての秘密保持に関する事項を就業規則に記載

（物理的安全管理措置）
事例1）個人データを取り扱う区域において、従業者の入退室管理及び持ち込む機器等の制限を行うとともに、権限を有しない者による個人データの閲覧を防止する措置を実施

事例2）個人データを取り扱う機器、電子媒体及び書類等の盗難又は紛失等を防止するための措置を講じるとともに、事業所内の移動を含め、当該機器、電子媒体等を持ち運ぶ場合、容易に個人データが判明しないよう措置を実施

（技術的安全管理措置）
事例1）アクセス制御を実施して、担当者及び取り扱う個人情報データベース等の範囲を限定

事例2）個人データを取り扱う情報システムを外部からの不正アクセス又は不正ソフトウェアから保護する仕組みを導入

（外的環境の把握）
事例）個人データを保管しているA 国における個人情報の保護に関する制度を把握した上で安全管理措置を実施

【中小規模事業者※における安全管理のために講じた措置として本人の知り得る状態に置く内容の事例】

※中小規模事業者
従業員の数が１００人以下の個人情報取扱事業者のうち、以下の者を除くものをいう。
・個人情報データベース等を構成する個人情報によって識別される特定の個人の数の合計が過去６月以内のいずれかの日において5,000を超える者
・委託を受けて個人データを取り扱う者

（基本方針の策定）
事例）個人データの適正な取扱いの確保のため、「関係法令・ガイドライン等の遵守」、「質問及び苦情処理の窓口」等についての基本方針を策定
（【安全管理のために講じた措置として本人の知り得る状態に置く内容の事例】と同様）

（個人データの取扱いに係る規律の整備）
事例）個人データの取得、利用、保存等を行う場合の基本的な取扱方法を整備

（組織的安全管理措置）
事例1）整備した取扱方法に従って個人データが取り扱われていることを責任者が確認

事例2）従業者から責任者に対する報告連絡体制を整備

（人的安全管理措置）
事例1）個人データの取扱いに関する留意事項について、従業者に定期的な研修を実施
（【安全管理のために講じた措置として本人の知り得る状態に置く内容の事例】と同様）

事例2）個人データについての秘密保持に関する事項を就業規則に記載
（【安全管理のために講じた措置として本人の知り得る状態に置く内容の事例】と同様）

（物理的安全管理措置）
事例1）個人データを取り扱うことのできる従業者及び本人以外が容易に個人データを閲覧できないような措置を実施

事例2）個人データを取り扱う機器、電子媒体及び書類等の盗難又は紛失等を防止するための措置を講じるとともに、事業所内の移動を含め、当該機器、電子媒体等を持ち運ぶ場合、容易に個人データが判明しないよう措置を実施
（【安全管理のために講じた措置として本人の知り得る状態に置く内容の事例】と同様）

（技術的安全管理措置）
事例1）個人データを取り扱うことのできる機器及び当該機器を取り扱う従業者を明確化し、個人データへの不要なアクセスを防止

事例2）個人データを取り扱う機器を外部からの不正アクセス又は不正ソフトウェアから保護する仕組みを導入

（外的環境の把握）
事例）個人データを保管している A 国における個人情報の保護に関する制度を把握した上で安全管理措置を実施
（【安全管理のために講じた措置として本人の知り得る状態に置く内容の事例】と同様）

福田秀喜（行政書士福田法務事務所）

個人情報保護法|これで解決！成功するためのコンプライアンス経営

【追伸】

この記事の内容は、YouTubeでも紹介しています。