改正個人情報保護法の中小企業への影響(1)
SEF
中小企業が押さえておくべき主なポイント
令和4年(2022年)4月1日に施行された個人情報保護法は、令和2年と令和3年(一部)の改正が反映されています。企業の個人情報保護体制に影響が大きいのは、主に令和2年改正分です。
当社では、お客様の社内における個人情報保護体制の維持・構築を支援していますが、規程の改定や業務フローの見直しの際には改正法の内容について十分にご説明する時間を取れないことがあります。
このコラムでは、よくあるご質問や、企業運営に影響が大きい事項を中心に、数回に分けて改正内容を概観していきます。今回は「個人の権利の在り方」に関する改正内容です。
なお、以下において改正前の法律は令和2年12月2日施行法の条項によるものとし、改正後の法律は令和4年4月1日施行法の条項によるものとします。
個人の権利の在り方
1.利用停止・消去等の個人の請求権
利用停止・消去等の個人の請求権について、一部の法違反の場合に加えて、個人の権利又は正当な利益が害されるおそれがある場合等に拡充されました。
| 改正前 | 利用停止・消去ができるのは、目的外利用、不正取得の場合に限定(法30-1) 第三者提供の停止ができるのは、第三者提供義務違反の場合に限定(法30-3) |
| 改正後 | ■利用停止等(利用停止・消去)を請求ができる場合(法35-1) ・目的外利用(法18)、不適正利用(法19)、不正取得(法20)の場合 ■第三者への提供停止を請求できる場合(法30-3) ・第三者提供義務(法27-1、法28)違反 ■利用停止等又は第三者への提供停止を請求できる場合(法35-5) ・利用する必要がなくなった場合 ・第26条1項本文に規定する事態(重大な漏えい等)が発生した場合 ・本人の権利又は正当な利益が害されるおそれがある場合 |
2.保有個人データの開示方法
従来は、保有個人データの開示方法は原則として書面交付によるものとされていましたが、電磁的記録の提供を含め、本人が指示できるようになりました。
| 改正前 | 保有個人データの開示方法は、書面の交付による方法が原則(法28-1、2) |
| 改正後 | 保有個人データの開示方法は、電磁的記録の提供を含め、本人が指示できる(法33-1、2) |
- Q)本人が指示できる開示方法とは?
- 規則第30条では、「「電磁的記録」、「書面の交付」、その他当該個人情報取扱事業者が定める方法」とされています。このうち、ガイドライン(通則編)では、「電磁的記録」による方法の例として次のものがあげられています。また、ガイドラインにおいては、「本人が請求した方法による開示が困難であるときは、その旨を本人に通知した上で、書面の交付による方法により開示を行わなければならない。」とされています。
【電磁的記録の提供による方法の事例】
事例1)電磁的記録をCD-ROM等の媒体に保存して、当該媒体を郵送する方法
事例2)電磁的記録を電子メールに添付して送信する方法
事例3)会員専用サイト等のウェブサイト上で電磁的記録をダウンロードしてもらう方法
- 規則第30条では、「「電磁的記録」、「書面の交付」、その他当該個人情報取扱事業者が定める方法」とされています。このうち、ガイドライン(通則編)では、「電磁的記録」による方法の例として次のものがあげられています。また、ガイドラインにおいては、「本人が請求した方法による開示が困難であるときは、その旨を本人に通知した上で、書面の交付による方法により開示を行わなければならない。」とされています。
3.第三者提供記録の開示
個人データを他の事業者に提供したり受領したりした場合の記録(第三者提供記録)について、本人が開示請求できるようになりました。
| 改正前 | 規定なし |
| 改正後 | 個人データの授受に関する第三者提供記録について、本人が開示請求できる(法33-5、法33-1、2、3) |
4.短期保存データの開示等対象化
6ヶ月以内に消去する短期保存データも保有個人データに含めることとし、開示・利用停止等の対象とすることになりました。
| 改正前 | 6ヶ月以内に消去するデータ(短期保存データ)は開示・利用停止等の対象外 |
| 改正後 | 6ヶ月以内に消去するデータ(短期保存データ)も保有個人データに含めることとし、開示・利用停止等の対象とする(法16-4) |
- Q)1日で消去するようなデータも開示請求の対象になるか?
- 1日で消去されるようなデータであっても「個人情報データベース等」を構成する「保有個人データ」に該当する場合は開示請求の対象になり得ます。
(参考:個人情報保護委員会「令和2年改正個人情報保護法について」(令和4年3月))- 注)開示請求の対象になる「保有個人データ」は、特定の個人情報を検索できるように体系的に構成した「個人情報データベース等」を構成する情報。このように検索性をもって体系的に構成されたとはいえない、いわゆる「散在情報」は開示請求の対象にはなりません。)
- 1日で消去されるようなデータであっても「個人情報データベース等」を構成する「保有個人データ」に該当する場合は開示請求の対象になり得ます。
5.オプトアウト規定により第三者に提供できる個人データの限定
オプトアウト規定(注)により第三者に提供できる個人データの範囲について、「不正取得された個人データ」、「オプトアウト規定により提供された個人データ」についても対象外とすることになりました。
| 改正前 | 要配慮個人情報のみ、オプトアウト規定により第三者提供することができない(法23-2) |
| 改正後 | 要配慮個人情報に加えて、以下の2つの個人データもオプトアウトで第三者提供することができない(法27-2) ①不正取得された個人データ ②オプトアウト規定により提供された個人データ |
- 注)オプトアウト規定により第三者に提供できる個人データとは
- 本人の求めに応じて第三者提供を停止するとしている個人データ
- “予め本人に通知+本人が容易に知り得る状態におく+委員会に届出”という手続きを踏んだもの
