2022年4月施行 改正版個人情報保護法のポイントは?

2022年4月1日より個人情報保護法が改正されました。

これまでと安全管理措置要求事項は同じなのですが、責任範囲の拡大、事故発生時点の公表など、さらに外国における事業展開の際には注意が必要になってきます。

以下にポイントを纏めています。

個⼈の権利の在り⽅

・利⽤停⽌、消去、第三者提供の停⽌請求の要件を緩和する

・保有個⼈データの開⽰⽅法を、本⼈によりデジタル化の指⽰ができる

・第三者提供記録の開⽰ができる

・6 ヵ⽉以内に消去する短期保存データが「保有個⼈データ」の対象となる

・オプトアウト規定(届出対象事項の追加、第三者提供限定)の強化

事業者の守るべき責務の在り⽅

・漏えい等について委員会、本⼈への通知の義務化

・不適正な⽅法による個⼈情報の利⽤の明確化

事業者による⾃主的な取組をうながす仕組みの在り⽅

・企業の特定分野・部⾨を対象とする団体を認定団体制度に基づき認定可能

・データ利活⽤に関する施策の在り⽅

・⽒名等を削除した「仮名加⼯情報」を新設し、内部分析に限定する等を条件に開⽰・利⽤

停⽌・請求への対応等の義務を緩和する

・提供元では個⼈データに該当しないが、提供先において個⼈データとなる情報(個⼈関連

情報 ) に、第三者提供の本⼈同意確認の義務化

・ペナルティの在り⽅

・法定刑の引き上げ

法の域外適⽤・越境移転の在り⽅

・外国事業者に対し、罰則によって担保された報告徴収・命令の対象とする

・外国の第三者提供時に、情報の取り扱いに関する本⼈への情報提供の充実

これらのポイントを踏まえた上で現状を整理し、社内規程の改定、情報システム群の改修、

 社内運用体制の組み直し、WEBサイトの確認などが行っていく事が必要です。

参考としまして、技術的安全対策管理措置の対策例を記載します。

3.1.1.データ取得から第三者提供までのシステムの見直し

 個人情報の取得から第三者提供・データ活用に至るまで、一連の社内システム全般についての見直しが必要になる事が想定されます。

 第三者提供をおこなう可能性がある場合はその旨を記載して同意を得る、得られた同意についても、どのユーザがどこまで同意しているのかを容易に確認できる状態

 に置くなど、実務上の利便性を意識したシステム構築が必要です。

 3.1.2.データの閲覧制限や権限の見直し

 改正法では、法人への罰金額が数十万円程度から最大1億円にまで引き上げられます。

 違反してしまわないよう、各社員に付与するデータの閲覧や処理の権限を必要最低限となるように見直して、これまでよりもヒューマンエラーが起きにくくなるシステム

 に組み直すことが求められます。

 3.1.3.取得データの分類の変更

 企業が改正法を順守しつつ競争力を保つためには、第三者提供で得た情報を仮名加工情報に変更するなど、取得したデータの区分変更が必要になると見込まれます。

 3.1.4.第三者提供や越境移転などの記録

 上記のとおり、提供に関する記録を本人が開示請求できるようになるなど、第三者提供の取扱いが厳密化されます。国外へのデータ移転とあわせて、 移転の記録(移転先、本人同意の状況、提供先の個人情報の取り扱い状況)などを保存する仕組みが推奨されます。

 3.1.5.要配慮個人情報等の処理

 個人情報のなかには要配慮個人情報(偏見や差別につながりうる個人情報)のように取り扱いに特別な制限のかかるデータ区分もあります。もし取り扱いを誤れば個

 人に深刻なダメージを与えてしまう可能性もあり、他のデータと決して混同しないようにシステムを整える必要があります。

ご参考になれば幸いです