見出し画像

あたしでもわかるの?「個人情報保護法改正(20/6/5成立)」のポイント1(個人のことと、会社さんのこと)

こんにちは。IT企業法務の狼です。

今回も、自己紹介で書かせていただいた流れで、改正されたポイントがすぐにわかるような内容を、心がけますね。

さて、今回は個人情報保護法の改正です。
この改正は、会社さんにとって、とっても影響が大きそうですね。

施行日は20/6/12から2年以内とのことですが、細かいポイントは、「政令(内閣が定める命令)」や「個人情報保護委員会規則(個人情報保護委員会という団体が定める規則)」などに委ねられますので、
最終的には、それらが出される日を待ってから、具体的な対策をすることになると思います。

ただ、このスケジュール感だと、政令等を待っているだけだと間に合わないと思うので、できることは今すぐ始めていかないだろうな〜、って思ってます。

さて、今回の改正の内容は、以下の①~⑥で全部です。
シンプルにいえばこれだけ。

 ①【個人】利用停止・消去などを請求する本人の権利が拡大した。
 ②【会社】漏えいしたときの委員会への報告&本人への通知義務ができ
  て、「不適正な方法」による利用禁止になった。
 ③【団体】国に認定してもらうことのできる団体の条件が緩和された。
 ④【利活用】「仮名加工情報」と「個人関連情報」という情報のていぎが
  できた。
 ⑤【罰則】違反したときの罰が拡大された。
 ⑥【海外】外国の事業者に対しても、国内の事業者と同じ罰則が追加さ
  れ、個人データを海外に提供するときの義務が増えた。

上記のうち、私が実務で影響を受けるだろうな〜って思う、大きなポイントは、①、②、④、⑥、かなって思っています。

ただ、この改正にちゃんと向き合うとややこしいし長いので、まずは、上記の①と②についてだけ触れますね。
残りの③~⑥は、次回にしよ~って思います。

1.「個人のこと(個人の権利の在り方)」

ざっくりいうと、「本人による利用停止・消去などを請求する権利・対象範囲が拡大」したってことです。

(1)利用停止・消去等の個人の請求権について、不正取得等の一部の法違反の場合に加えて、個人の権利又は正当な利益が害されるおそれがある場合にも要件を緩和する。

つまり、追加して、「不適正な利用」「利用不要」「漏洩」「その他本人の利益又は正当な利益が害されるおそれ」がある場合でも、利用停止・消去請求ができるようになります。
なぜ、これまでこういった場合に、利用停止や消去請求ができなかったんでしょうね?そもそも、そこが変だと私は思います。

(2)保有個人データの開示方法(※)について、電磁的記録の提供を含め、本人が指示できるようにする。
(※)現行は、原則として、書面の交付による方法とされている。

つまり、これまで原則書面での交付だったのが、電磁的記録(PDFとか)などでも開示を請求することができるようになったってことです。
そもそも、これもいままで電磁的記録で開示請求できなかったんかい!ってびっくりな話ですね。
でも、たいていの会社さんでは、プライバシーポリシー(いか、ぷらぽり)では書面で開示することを記載してるんじゃないかなーって思うので、改正前までに、ぷらぽりの修正が必要になりそうですね。

(3)個人データの授受に関する第三者提供記録について、本人が開示請求できる ようにする。

つまり、これも(1)と同類で、本人の権利として、第三者提供時の記録の開示請求が追加されたわけですね。

(4)6ヶ月以内に消去する短期保存データについて、保有個人データに含めることと し、開示、利用停止等の対象とする。

改正前は、個人データの存否が明らかになることで①「公益やその他の利益が害されるもの」や、②「6か月以内に消去する短期保存データ」は、保有個人データ(保有している個人データ)から除外されていましたが、改正後は①だけが除外になります。

(5)オプトアウト規定(※)により第三者に提供できる個人データの範囲を限定し、 ①不正取得された個人データ、②オプトアウト規定により提供された個人デー タについても対象外とする。
(※)本人の求めがあれば事後的に停止することを前提に、提供する個人データの項目等を 公表等した上で、本人の同意なく第三者に個人データを提供できる制度。

オプトアウト(あらかじめ本人に対して、個人データを第三者提供することについて通知または認識し得る状態にしておき、本人がこれに反対をしない限り、同意したものとみなし、第三者提供をすること)方式で、第三者提供できない個人データが増えたということです。

2.「会社のこと(事業者の守るべき責務の在り方)」

(1)漏えい等が発生し、個人の権利利害を害するおそれがある場合(※)に、委員会への報告及び本人への通知を義務化する。
(※)一定数以上の個人データの漏えい、一定の類型に該当する場合に限定。

つまり、委員会規則で定められた範囲を超えた漏えい等が生じたら、委員会規則で定めた方法で、委員会に報告しないといけないって意味です。なお、改正の条文読むと、個人データの取り扱いを受託していた側は、委託先に報告すればよくなりそうです。

(2)違法又は不当な行為を助長する等の不適正な方法により個人情報を利用してはならない旨を明確化する。

これまで利用目的の範囲内か、同意を得ているかを確認してきましたが、そのほかに、「不適正な方法」で利用していないかも確認する必要がでてきます。

いったんは、以上です。つぎ、③~⑥やりますね。
あ~ややこしい。肝は、いま会社の個人データ等の取り扱いを棚卸して、どれが影響するのか、あてはめをしたほうが良さそうですよね。

いいなと思ったら応援しよう!

この記事が参加している募集