個人情報保護法が改正されましたのでプライバシーポリシーを見直しましょう

個人の権利利益の保護などを目的として、「個人情報の保護に関する法律等の一部を改正する法律」が昨年6月12日に公布され、個人情報保護法が改正されました。

今回の改正のポイントのいくつかを、契約書・規約の専門家がわかりやすく解説します。

お客様の個人情報を取り扱う事業者においては、今回の改正を機に、現在自社で使用しているプライバシーポリシーを見直しましょう。この記事がその一助になれば幸いです。

１．本人の権利保護がより強化されました

今回の改正では、保有個人データに関して、本人の権利保護がより強化されています。

「保有個人データ」とは…
個人情報を取り扱う事業者が開示、内容の訂正、追加又は削除、利用の停止、 消去及び第三者への提供の停止を行うことのできる権限を有している個人データのことです。

言い換えれば、

本人から「利用を停止してください」「消去してください」「第三者に提供するのを停止してください」などの要求があった場合、これに応じなければならない個人データのことをいいます。

２．旧法と新法との比較

旧法と新法の比較をわかりやすく解説します。

旧法では…

本人が、利用停止・消去を請求できるのは、次の場合でした。

☑同意なく目的外利用されたとき
☑偽りその他不正の手段により取得されたとき

また、第三者の提供の停止を請求できるのは、次の場合でした。

☑同意なく第三者に提供されたとき

新法では…

次のような場合でも、利用停止・消去・第三者提供の停止を請求できるようになりました。（新法30条5項）

✅保有個人データを利用する必要がなくなったとき
✅漏えい等が発生したとき
✅本人の権利又は正当な利益が害されるおそれがあるとき

３．罰金の引き上げ

そして法人への罰金も引き上げられました。

旧法では…

☑措置命令の違反の罰則▶30万円以下の罰金
☑個人情報データベース等の不正流用▶50万円以下の罰金
☑報告義務違反の罰則▶30万円以下の罰則

新法では…

✅措置命令違反の罰則▶1億円以下の罰金
✅個人情報データベース等の不正流用▶1億円以下の罰金
✅報告義務違反の罰則▶50万円の罰則

４．不適正な利用の禁止

また、今回の改正では、個人情報を取り扱う事業者について、個人情報の不適正な利用の禁止が定められました。（新法16条の2）

新個人情報保護法16条
２　個人情報取扱事業者は、合併その他の事由により他の個人情報取扱事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはならない。

旧法では、個人情報の不適正な利用（違法・不当な行為を助長・誘発するおそれがある方法によって個人情報を利用すること）が、明文で禁止されていませんでした。

しかし、近年とくに、本人も予想しえないような方法で個人情報が利用される事件が数多く発生してしまいました。

こういった背景から、今回の改正では、

不適正な方法で個人情報を利用することが明文で禁止されるようになりました。

とはいえ、事業者だけが締めつけられるようなことがあってはいけません。

今回の改正の背景としては、

事業者としても、

「何をもって保護すべき個人情報なのか」
「どのように利用すれば違反にならないのか」

今まで不明確であった、このようなことを明確にしてくれる指針としての意味合いもあります。

ここで、今一度、前述の条文を見てみます

新個人情報保護法16条
２　個人情報取扱事業者は、合併その他の事由により他の個人情報取扱事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはならない。

ということは、

事業者が、合併、分社化、営業譲渡等により他の事業者から事業の承継をする際に個人情報を取得した場合は、承継前の利用目的の達成に必要な範囲内で取り扱う場合は目的外利用にはならず、よって、本人の同意を得る必要がないということになります。

また、これは改正前と変更がない規定ですが、下記のような場合は、利用目的の達成に必要な範囲を超えた場合であっても、本人の同意が例外的に必要ではないと定められています。（新法16条の3）

①法令に基づく場合
②人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
③公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
④国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。

５．まとめ

事業者はビジネスを行うにあたって、取り扱いが必要となる顧客の個人情報について当然に法律を遵守する必要があります。

とはいえ、この法律は決して事業者をいじめるための法律ではありませんので、正しくこれを取り扱うことができれば、何もおそれる必要はありません。

そして、自らの事業にそったプライバシーポリシーなどの方針や規約をしっかり整備しておくことで、より安心して事業拡大につなげることが可能になります。

当事務所は、プライバシーポリシーをはじめ、事業者で整備しておく必要のある規約の作成などを多く取り扱っている事務所です。

✅ずっと使っているプライバシーポリシーがあるけど、現行の法律にそった内容になっているか不安。。

✅自分で見よう見まねで作ったプライバシーポリシーを使っているけど、自分の事業に適したものなのか疑問。。

このような方は、どうぞお気軽にご相談ください。