2022年4月施行 会社の実務対応ー改正個人情報保護法―
小さな会社でも対応が必要な実務
改正個人情報保護法は本年4月1日施行
令和4年の4月1日から改正個人情報保護法が施行されます。
企業に影響する法の動きはその他にも様々ありますが、今回は小さな会社でも必ず実務対応が必要になる個人情報保護法についてコラムを書きます。
<その他の関連法務>
・知的財産法
・会社法
・育児介護休業法
・パワハラ防止法 etc.
<個人情報保護法の改正>
◇ミニ知識 個人情報保護法「3年ごと見直し」とは◇
個人情報保護法の趣旨は
① 個人情報の有用性(産業や国民に資すること)
② 個人の権利・利益を保護すること
の二つの側面のバランスを保つことです。
そのために社会・経済情勢の変化に対応し、3年ごとに検討がなされます。
個人情報保護委員会
「個人情報保護法 いわゆる3年ごと見直し制度改正大綱」
令和4年4月1日に施行される改正法は、令和2年改正法及び令和3年改正法です。
しかし令和3年改正法は主に行政機関や独立行政法人等を対象としていることから、今回は令和2年改正法について、企業が実務対応すべき点を抜粋して御説明します。
※あくまで抜粋ポイントの御説明であるため、完全な対応が必要な事業者である場合は個別に必要な対応を御確認ください。
※個人情報保護法の改正にともない、特定分野のガイドラインも各管轄省庁から改正案が公表されています。
自社の事業に関連する特定分野ガイドラインを参照しておく必要があります。
企業の規模にかかわらず、行うべき実務対応
1. 「プライバシーポリシー」「個人情報の取扱いについて」等の改訂
(1) 本人からの利用停止・消去・第三者提供の請求
① 本人が開示方法を指定できる
② 開示する内容(第三者提供記録開示請求等)の追加
(2) 利用目的の特定
ガイドライン通則編3-1-1
変更内容によっては本人の同意取得を要する。
(3) 共同利用を行う場合における通知等事項の追加。
(4) 外国に所在する第三者への個人データ提供時における情報提供。
(5) 漏洩時の報告義務。
(6) オプトアウト規定による第三者提供を行う場合は追加された通知・届出等事項を追記する。
2. 社内規程の修正・フローの作成・見直し
(1) 外国において個人データを取り扱う場合の安全管理措置
(2) 個人関連情報を提供している場合において、同意取得の確認方法
契約書中の同意取得義務の条項追加
cookie等の個人関連情報を取得する場合においての同意取得フロー
(3) 発生した個人データの漏洩等が一定の大きさのおそれとして規則の定めに該当する場合において、個人情報保護委員会への報告及び本人への通知義務
社内規程及びフロー作成
(4) 短期保存データの廃止により保有個人データに含まれる
開示・利用停止等のフロー作成と社内規程の修正
(5) オプトアウト規制強化
改正法施行前に取得したオプトアウト規定によって取得したデータに下記のデータが含まれていないか確認する。
① 改正法20条1項の規定に違反し不正の手段により取得された個人データ
② オプトアウト規定により提供された個人データ
・第三者提供を受ける場合の確認・記録義務のフローを検討する
・オプトアウトに関する通知・届出等事項の追加に伴い、上記1と併せて個人情報保護委員会への届出を行う。
罰則・ペナルティ
罰則の法定刑が引き上げられ、法人重科規定が導入されます。
【ま と め】
小さな会社を含め、担当者になったときはまず基本的な知識を得ます。
(1) 個人情報の定義を正しく理解する。
(2) 自社における個人情報の状況を明確に可視化する。
次に今回の令和2年改正への対応として、少なくとも下記の改訂等作業を実行しましょう。
(1) プライバシーポリシー等の改訂
共同利用・開示の方法等・各情報の定義の説明 etc.
(2) 社内規程とフローの見直しと教育
社外への公表文書だけ、つまり表面だけを改訂するのではなく、情報の取扱いについてフローや規程を改訂し、社内教育を行います。
社内外への公表文書は、法・規則・ガイドライン等に規定されている内容であっても「わかりやすく」することも留意して作成しましょう。
┏┏┏┏┏┏┏┏┏┏┏┏┏┏┏┏┏┏┏
個人情報保護に関しては、国内だけではなく海外の動向も大きく影響します。
自社における個人情報のデータマッピング~リスク管理は
全社の理解を得て協力してもらうことが難しいものですが、企業活動をするうえで重要なポイントです。
御相談は問い合わせフォームから