2022年4月1日施行の「改正個人情報保護法」では、個人の権利強化が図られ、その結果、企業の個人情報の取扱いに対しても変更が迫られています。
プライバシーポリシーにおいても、より明確で具体的な記載が求められるようになりますので、これを機に自社のプライバシーポリシーを見直しておく必要があります。
前回は、見直しポイントのうち「利用目的」について説明しましたが、今回は「保有個人データに関する事項の追加」について確認します。
「保有個人データ」に関する事項の追加
「保有個人データ」とは、事業者が取り扱っているデータベース化された個人情報の中で、本人から要求された場合に開示、訂正、利用停止などをできる個人データのことをいいます。
この「保有個人データ」については、利用目的や苦情の申出先など一定の事項を 本人の知りうる状態 におかなければなりません。
そして、今回の改正で、下記の事項が追加 になりました。
① 事業者の住所
② 事業者ある法人の代表者の氏名
③ 保有個人データの安全管理のために講じた措置
そのため、既存のプライバシーポリシーに上記3点の記載が欠けている場合は、追加する必要があります。
安全管理のために講じた措置の記載方法
上述の③ 保有個人データの安全管理のために講じた措置については、単に、「安全管理措置を実施している」と記載するだけでは十分ではありません。
「個人情報の保護に関する法律についてのガイドライン(通則編)」に具体例が記載されていますが、例えば、下記のような 具体的な措置の記載が必要となります。
- 個人データの取扱いに関する留意事項について、従業者に定期的な研修を実施
- 個人データについての秘密保持に関する事項を就業規則に記載
- アクセス制御を実施して、担当者および取り扱う個人情報データベース等の範囲を限定
- 個人データを取り扱う情報システムを外部からの不正アクセスまたは不正ソフトウェアから保護する仕組みを導入
- 個人データの取扱いに関する責任者を設置するとともに、個人データを取り扱う従業者および当該従業者が取り扱う個人データの範囲を明確化し、法や取扱規程に違反している事実または兆候を把握した場合の責任者への報告連絡体制を整備
- 個人データの取扱状況について、定期的に自己点検を実施するとともに、他部署や外部の者による監査を実施
おわりに
今回の改正前から、個人データの安全管理措置を講じる義務はありましたが、本改正で、安全措置の具体的な内容についても、本人が知りうる状況におくべき (つまり、プライバシーポリシーに記載する) 義務が追加されました。プライバシーポリシーの改定作業は煩雑で、容易ではありませんので、必要であれば専門家の助けを借りながら、改正法施行日までに改定を進めるようにしましょう。
コメント