「個人情報の保護に関する法律等の一部を改正する法律案」は、令和2年6月5日の国会において可決、成立し、同月12日に「個人情報の保護に関する法律等の一部を改正する法律」(以下「改正法」という。)が公布されました。
適正な事業運営を支える基礎法として、商法・会社法や労働法が挙げられますが、昨今では、個人情報保護法に代表される情報法の重要性が高まっています。
本稿では、改正法に関し、事業者の皆様が留意すべき主要なポイントを解説します。
1 利用停止等請求要件の緩和
改正法は、保有個人データに関する本人の関与を強化する観点から、保有個人データの利用停止等の請求、第三者提供の停止の請求に係る要件を従来よりも緩和しました。
不適正な利用をした場合や、本人の権利又は正当な利益が害されるおそれがある場合、利用停止等の請求ができるようになります。
今般の改正により、個人データの漏洩、滅失、毀損などが利用停止等請求の対象になったため、権利行使が増えることが予想されます。事業者は、個人データの管理には一層の注意を払う必要があります。
2 保有個人データ開示のデジタル化推進
保有個人データの開示請求に対する対応は、これまで原則として書面交付となっていましたが、改正により、本人が、電磁的記録の提供を含め開示方法を指示できるようになりました。
事業者は、開示請求を受けたときは、当該本人が請求した方法により、遅滞なく当該保有個人データを開示しなければなりません。事業者は、本人が電磁的記録の提供による方法で請求する場合に備え、日頃からデータを厳重に保管しておくべきでしょう。
3 保有個人データの範囲拡大
改正法では、6か月以内に消去されるデータも保有個人データに該当します。短期で消去するデータであっても、個人の権利利益を侵害する危険があるためです。
4 第三者提供記録の開示の義務化
個人データの授受に関する第三者提供記録について、本人が開示を請求することができるようになります。改正前と異なり、今後は問題が生じなくとも、随時開示請求される可能性があるため、それを想定して第三者提供記録を作成しておかなければなりません。
5 オプトアウト規制の強化
「オプトアウト方式」とは、個人情報を第三者提供するにあたり、その個人情報を持つ本人が反対をしない限り、個人情報の第三者提供に同意したものとみなし、第三者提供を認めることです。要するに、自ら反対の意思表示をしないと、自動的に個人情報の第三者提供を認めることになります。そのため、本人が気づかないまま、不本意な形で個人情報が流通するケースが少なくありませんでした。
今般の改正により、オプトアウト方式で本人の同意を得ていない個人データを第三者提供しようとする場合には、予めオプトアウト手続きを行っていることを個人情報保護委員会に届け出なければならなくなりました。
具体的には、第三者への提供を利用目的にすることと、その対象項目や、第三者への提供の方法等を届け出なければなりません。
個人情報保護委員会とは、個人情報取扱事業者への監督権限を一手に集約することを目的に、内閣府の外局に新たに設置された組織です。同委員会へ情報の集中化を実現することにより、市民の個人情報の不当な流通を防止すべく、事業者に届出を義務付けたわけです。
6 ペナルティの強化
改正により、個人情報保護委員会による命令に違反した行為者に対しては、1年以下の懲役又は100万円以下の罰金が科されるようになりました。
また、法人が個人情報保護委員会の命令に違反した場合、さらに重科され、罰金は1億円以下に引き上げられます。
さらに、個人情報保護委員会により命令を受けた事業者が当該命令に違反した場合、個人情報保護委員会は、命令違反の事実を公表することができるようになりました。
個人情報漏洩は、往々にして従業員の故意や過失による行為が原因で発生します。情報の取扱方法を社内で共有する、特定の従業員しかアクセスできないようアクセス権限の範囲を限定する、私物のノートパソコンやUSBメモリの使用を禁止するといった対策が肝心です
以上、改正法について重要な点に絞って説明しました。
サイバー攻撃や従業員の不注意、知識不足などが原因で、個人情報にまつわる様々なトラブルが発生し、刑事・民事を問わず訴訟に発展するケースも後を絶ちません。
令和3年には東京オリンピック・パラリンピックという国際的なビッグイベントを控え、サイバー攻撃の更なる脅威が予想されます。
事業者の皆様におかれましては、常日頃から個人情報の適切な管理・保管に努めていただくことが肝要と思われます。
個人情報処理について疑問が生じたら、個人情報保護に関して詳しい法律事務所にご相談なさるとよいです。