令和２年　個人情報保護法改正について２

　個人情報取扱事業者の義務として新たに加えられた規定について述べたいと思います。

１　漏えい等発生した場合の報告及び通知義務

　これまで漏えい等が発生した場合について、監督官庁への報告や本人への通知については、個人情報保護法には規定がなく、ガイドラインで努力義務として定められていました。

　多くの国では報告等が義務化されていること、事業者、本人、監督機関にとっても、報告等がされることにより、適切な監督がされ、多くの情報提供がされることにより適切な対応につながるなど意義があると考えられていることから、改正法では法律上に義務として明記されました。

　（１）個人情報保護委員会への報告

　個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは、個人情報保護委員会に報告しなければならないとされました（改正法22条の２第1項本文）。

　個人情報保護委員会規則は、まあ公表されていませんが、「個人の権利利益を害するものおそれが大きいもの」について、「個人データの性質や漏えい等の態様に着目して、要配慮個人情報や財産的被害に至るおそれのある情報の漏えい等や不正アクセスによる漏えい等（これらは件数の多寡は問わない）、また、安全管理措置について懸念される一定数以上の大規模漏えい等を想定」し、報告の方法や期限について定められる予定です。（改正個人情報保護法 政令・規則・ガイドライン等の整備に当たっての基本的な考え方について）

　なお、受託者の場合は、委託者に通知すれば足りるとされています（改正法22条の２第1項ただし書）

　（２）本人への通知

　本人が二次被害の防止を行ったり、必要な権利行使をするなどの適切な措置がとれるよう、上記（１）の個人情報保護委員会への報告をしなければならない事態が生じたときは、本人への通知をしなければならないとされました（改正法22条の２第2項本文）。

　ただし、データに連絡先が含まれていない場合やデータが古く連絡がつかないなど、本人への通知が困難な場合であって、本人の権利利益を保護するため必要な代替措置（公表を行い問い合わせに応じるなど）をとるときは、通知は不要となっています（同ただし書）。

２　適正な利用義務

　取得に際しては「適正な取得」が求められ（17条）、利用にあたっては、利用目的に従って取り扱いを求められていましたが（15条・16条）、違法ではないとしても、見過ごすことのできない事案が見受けられるようになっているとして、「違法又は不当な行為を助長し、又は誘発するおそれがある
方法により個人情報を利用してはならない」と適正な利用をしなければならないことが明記されました（改正法16条の２）。