改正個人情報保護法が、2022年4月から施行されます。
今回の改正のポイントは、個人の権利保護の強化やペナルティの強化などですが、もし、個人情報を扱っている事業者であれば、『(情報漏えいが起きた際の)事業者の責務の追加』を理解しておくことが大切です。
これは、情報漏えいを起こした際の個人情報保護委員会への報告義務化とともに、本人にも、情報漏えいが起きたことを通知する必要があるとする決まりです。
今回は、事業者の責務の追加についてご説明します。
情報漏えいが起きた際の報告義務
『個人情報保護法』は2003年に成立した法律です。
ところが、情報通信技術の発達により、法律が想定していたよりはるかに大きく個人データの活用が広がったため、近年では、現実に起きていることに法律が追いついていないケースが多く見られました。
そこで、2015年にこの法律が改正されたタイミングで、3年ごとの『見直し規定』が盛り込まれ、2020年には見直し規定に基づく初めての法改正が行われました。
同年6月に公布された『改正個人情報保護法』は、満を持して2022年4月から施行されます。
今回の改正でポイントになるのは、下記の6つです。
(1)個人の権利保護の強化
(2)事業者の責務の追加
(3)事業者の全事業のうち、特定の事業に限定して個人情報を取り扱う団体を認定できる
(4)データの利活用の促進
(5)法律違反に対するペナルティの強化
(6)外国の事業者に対する法の域外適用
それぞれ重要な改正ですが、事業者や法務担当者は、特に『事業者の責務の追加』という項目について、要点を押さえておく必要があります。
事業者の責務として追加された内容は、2つです。
ひとつ目は、個人情報の漏えいなどが発生し、対象となる個人の権利や利益を害するおそれがある場合、事業者は個人情報保護委員会に報告する義務を負うことです。
個人情報保護委員会とは、内閣府の外局で、個人情報の適正な取り扱いを確保するために設置されている機関です。
もし、個人情報の漏えいやそのおそれがある場合には、拡大の防止や事実関係の調査、原因の究明、再発防止策の検討などと同時に、速やかに個人情報保護委員会に報告しなければいけません。
個人情報保護委員会の事務局には『個人データ漏えい等報告窓口』がありますので、情報漏えいの状況を詳しく伝えることになります。
そして、会社側は、漏えいした個人情報の主に通知する義務も課せられます。
これは、本人の権利利益の保護のために、大切なことです。
委員会に報告するのと同様に、本人への通知も忘れないようにしましょう。
ただし、対象者が社外の人間で昔の連絡先しか知らない場合など、本人への通知が困難で、代替措置を取っている場合には通知義務が免除されます。
代替措置とは、事実関係を公表して、世間の周知を図るなどの方法のことです。
個人情報の不適切な利用の禁止
事業者が負うもうひとつの責務は、個人情報の不適切な利用の禁止です。
これまでは、法律に違反しなければ、違法や不当な行為を助長・誘発するおそれのある、いわば『グレーゾーン』の個人情報活用も行われることがありました。
しかし、改正後には、違法行為を行う可能性が高い集団に、個人情報が渡ってしまうような行為は禁止されます。
たとえば、破産者の情報を集めてインターネット上で公開することも不適切な利用の範疇に含まれます。
破産者の情報は官報に掲載されている公的な情報ですが、その情報をリスト化することにより、違法行為や不当行為を助長したり誘発したりするおそれがあるためです。
こうした情報は、保管しているだけでも利用に該当するので注意することが大切です。
万が一、個人情報の不適切な利用が行われた場合は、個人情報保護委員会から行政指導を受けることになります。
このように、事業者に対する責務が追加されたため、個人情報の取り扱いは、これまで以上に慎重に行う必要があります。
個人情報が正しく扱われているかどうか、漏えいのおそれがないかどうかについて、今一度、しっかり確認しておきましょう。
※本記事の記載内容は、2022年3月現在の法令・情報等に基づいています。