改正された「個人情報保護法」が4月1日から施行となりましたが、改正によって何が変わったのか、そして個人情報を扱う際に、どのような点に注意すべきかをまとめてみました。

企業の対応が必要な事項や報告義務などが追加

「個人情報の保護に関する法律(個人情報保護法)」は2003年に成立しましたが、この法律は、その名称が示すように“個人の情報を守るために個人情報を適切に取り扱う”ことを定めたものです。

これまでもたびたび改正されてきましたが、デジタル技術の進化とともに、個人情報を取り扱う際に、個人の権利やプライバシーが損なわれるリスクも高くなっています。そこで“3年ごとに見直す”規定が、2015年に附則として設けられています。

今回の改正は、その見直し規定によるものですが、企業として対応が必要となる事項や報告義務なども追加されていますから、社内規定や業務フローを見直すことが必要となります。そのためには、まずは改正のポイントを正しく理解することです。

本人の請求権が拡充

今回の主な改正で注意すべきポイントは、本人の請求権の拡充や事業者の義務・公表事項の追加、そして仮名加工情報・個人関連情報など新たな情報類型が創設されたことです。また、部門別の認定個人情報保護団体の制度化やペナルティの強化、外国事業者関係(域外適用・第三者提供時の情報提供等も、事業者には影響が多い改正点です。

とくに注意が必要なのが、書面での交付が認められていた個人データの開示が、本人がデジタルデータでの提供を希望すれば、それに応じなければなりません。また、第三者提供記録の開示請求も認められ、本人が個人データの入手元や、誰に提供されたかを把握できるようになりました。

一方、個人情報を扱う事業者は第三者提供記録の開示請求の対象となりますから、開示請求に対応するため、個人データをどのように入手し、それを誰に提供したのかを記録しておかなければなりません。

情報漏洩報告は努力義務から義務化へ

個人情報を扱ううえで、もっとも注意しなければならないのが個人情報の漏洩です。残ながら、不正アクセスや不注意による個人情報が流出する事件は増加傾向にあります。しかし、もし個人情報が流出してしまっても、これまでは関係機関への報告などはあくまでも事業者の努力義務でした。

しかし、これからはクレジットカード情報や口座情報など、個人の財産を侵害する可能性がある場合は、個人情報保護委員会への報告義務と、本人通知が必要となります。

また、 “不適正な方法で個人情報を利用してはならない”ことも明文化されるなど、個人情報利用に関しては、改正によってかなり厳しい規制が盛り込まれたことになります。

ここで確認しておくべきは、どのような方法が“不適切”に該当するのかということですが、これについては、個人情報保護委員会のガイドラインに禁止事項が示されているので、個人情報を扱う事業者は、しっかりと確認しておきましょう。

罰則強化も改正の大きなポイント

いずれにしても、今回の改正では、個人情報の本人の権利に対する保護が強化された内容になっていますので、個人情報を扱う事業者は、これまでの個人情報の管理方法を、大幅に見直さなければならないといえるでしょう。

本人の権利の保護が強化されたのは、ビッグデータの活用など、個人情報を活用したビジネスモデルが多様化するに伴って、多くの問題も持ち上がっているという社会状況が大きく影響しています。

そのため、罰則が強化された点も見逃せません。たとえば、個人情報保護委員会からの命令に違反した場合は「1年以下の懲役又は100万円以下の罰金」、委員会に虚偽の報告をした場合は、「50万円以下の罰金」となることも、しっかりと押さえておく必要があります。

まとめ

個人情報を活用した新たなビジネスも続々と登場していますが、そこには、個人の財力やプライバシーも含まれています。個人情報で事業行う際には、当然、個人の権利が守られなければなりません。そのためにも、個人情報保護法の改正内容を、しっかりと把握することが、個人情報を扱う事業者の社会的責任でもあります。