2022年4月施行「改正個人情報保護法」~「個人の権利強化」に企業はどう対応すべき?

会社法

2020年6月に公布された「令和2年改正個人情報保護法」が、2022年4月から施行されます。

個人情報保護法は、企業の規模のかかわらず、個人情報を扱う「すべての事業者」に適用されます。そのため、何らかの形で個人情報を扱う会社は気づかぬうちに法律違反を犯さないよう、重要な改正内容を確実に押さえておく必要があります。

ポイントはいくつかありますが、今回は「 (データを提供をした) 本人の権利強化」に焦点を当て、法改正の内容や、企業がどのように対応すべきかについて取り上げます。

データビジネス時代の要請~顧客やユーザーの権利強化

今回の改正の大きなポイントの一つが「本人 (顧客やユーザー) の権利」を強化した点ですが、その背景には2019年に起きた「リクナビ問題」があります。

就職情報サイト「リクナビ」が就活生の同意を得ずにそのデータを利用して「内定辞退率」を予測し、企業に販売していた問題は、社会に大きく報じられ注目を集めました。その影響が法改正の内容にも及び、「個人のデータ利用停止権」など個人の権利の強化につながりました。

近年はデジタル化の進展によりビジネスにデータを活用する企業が増えていますが、同時に消費者のプライバシー意識も高まっています。そのため、認識の甘さから重大なプライバシー保護違反を犯してしまわないよう、企業はこれまで以上に「個人情報をどのように扱うか」について慎重に検討し、必要な体制を構築していく必要があります。

主な変更のポイント

では、具体的にどのような点で本人の権利が強化されたのでしょうか。

以下、主な改正内容について見ていきます。

(1) 利用停止・消去などの請求権の拡大

本人が、個人情報の利用停止・消去・第三者提供の停止を請求できる範囲が拡大されました。

これまでは、法律違反がある場合のみ利用停止などを請求できたのですが、本人が望まない形で情報利用されていることへの不満の声があったことから、利用停止等を請求できる範囲を広げました。

例えば、下記のような場合、本人から請求があればデータ消去などに応じる必要があります。

①利用する必要がなくなった場合 (例:DM送付のために個人情報を保有していたが、送付を停止した場合)

②重大な漏えい等が生じた場合 (例:ECサイトからクレジットカード番号などの個人データが流出した場合)

③本人の権利または正当な利益が害されるおそれがある場合 (例:本人からダイレクトメールの送付停止を請求したにもかかわらず、繰り返し送られている場合)

(2) 短期保存データの保有個人データ化

6ヶ月以内に消去する「短期保存データ」が、「保有個人データ」に変更になりました。

簡単に説明すると、個人情報を取り扱う事業者は、保有する個人データについて、本人から請求があれば、開示したり、訂正したり、利用停止に応じなくてはいけない義務を負っているのですが、これまでは、例えばキャンペーンの応募で取得したような短期間 (6ヶ月以内) に消去される個人データは対象外とされていました。しかし、たとえ6ヶ月という短期間であっても、そのあいだに漏えいして被害が発生することも十分あり得るため、短期保存データも開示や訂正の義務に応じなければならなくなりました。

(3) 個人データの開示方法のデジタル化

改正後は、本人から「個人データをデジタル形式で提供してほしい」と要求されたら、デジタル形式で提供する必要があります。これまでは書面での提供が原則だったのですが、膨大な量がある場合や、音声や動画などそもそも紙では提供できない場合などがある等の理由から、本人が望めば電磁的記録で提供することとされました。

(4) 第三者への提供記録を開示請求の対象に

個人データを第三者 (他の事業者や子会社など) に提供した際の記録について、本人が開示請求できるようになりました。

すでに前回の改正で、個人データを第三者提供する場合は、いつ、誰に提供したか等を記録する義務が定められていましたが、本改正で、その記録自体も開示の対象とされることが明確化されました。

企業はどのように対応すべきか?

このような改正点を踏まえ、企業にはさまざまな対応をとる必要が生じます。

(1) 個人データの管理体制

顧客から自分の個人情報の開示や削除の依頼があった場合、まずはその顧客の情報を特定する必要があります。そのため、社内の個人データ保管状況を見直し、どこのデータベースに保管されているか、他のシステムとの共有はされていないか、外国への移転は行っていないかなどを確認しておく必要があります。

(2) 対応フローの構築

例えば、顧客から個人情報の開示請求があったときに備えて、受付から提供までの対応フローを準備しておく必要があります。

また、個人情報の開示をデジタルデータで請求された場合にも備えておかねばなりません。

(3) プライバシーポリシーの更新

個人情報をどのように扱っているか、どのように処理しているかについて、プライバシーポリシーに記載しておく必要があります。また、本人が請求できることの範囲や選択肢についても説明しておくべきでしょう。

おわりに

今回の改正は、消費者やユーザーが抱いているプライバシー侵害への不安を解消することを目的の一つとしており、企業には、より消費者やユーザー目線に立った対応が求められるようになります。重要なポイントをしっかり押さえたうえで、改正法への対応を着実に進めていきましょう。

コメント

タイトルとURLをコピーしました