個人の権利意識の高まりを背景に、個人データに関する個人の請求権が拡充されます。保有個人データの取扱いなど、直前対応が必要な項目といえます。
現行法では、6カ月以内に消去されるいわゆる短期保存データは、開示等の対象となる「保有個人データ」に含まれませんでした。しかし、改正法により、短期保存データも保有個人データに含まれることになりました。
そのため、短期保存データを前提とした運用を行う企業は、見直しが必要となります。
現行法上、保有個人データの開示方法は書面を原則とし、本人が書面以外を希望しても事業者が最終決定できました。
しかし、改正法により、デジタルデータ(電磁的記録)での提供を含め、本人が開示方法を指定できるように変更されました。
また、改正法により、本人が事業者に対して行う開示請求の対象も拡充されました。
具体的には、従前は対象に含まれていなかった、事業者における個人データの第三者提供記録が含まれることになりました。
現行法上、本人による、保有個人データの利用停止・消去・第三者提供の停止の請求ができるのは、一定の法律違反がある場合に限られていました。
しかし、今回の改正では、法律違反の場合に限らず、個人の権利または正当な利益が害されるおそれがある場合には、利用停止等の請求ができるよう要件が緩和されました。
個人データを第三者へ提供する際には、原則として本人の同意を得ることが必要です。
一方、法は、本人の求めがあれば事後的に停止することを前提に、提供する個人データの項目等を公表等したうえで、例外的に本人の同意なく第三者に提供できる制度(オプトアウト制度)を用意しています。
現行法において、オプトアウトにより第三者提供できない情報は要配慮個人情報のみでしたが、改正により、不正取得された個人データおよびオプトアウト規定に基づき提供を受けた個人データも、オプトアウトにより第三者提供できない情報に含まれることになりました。
個人の権利の拡充と併せて、事業者側の責務も見直されます。該当する事業者は、対応が必要になります。
まず、法定の公表事項が追加されます。具体的には、事業者の住所や代表者の氏名、安全管理措置に関する事項などが法定の公表事項に追加されます。
また、信用スコアリングなど、本人が合理的に予測・想定できないような利用を行う場合には、本人が当該取扱いを予測・想定できる程度に、利用目的を特定しなければならないことがガイドライン上定められました。
改正法では、個人データの漏えい等が発生した際、一定の場合に、個人情報保護委員会への報告および本人への通知を行うことが義務化されました(現行法では、漏えい時等の報告等は努力義務にすぎませんでした)。
報告等が義務化されたのは、一定の重大な類型についてです。具体的には、(1)質的に重大な類型として、要配慮個人情報や財産的被害が発生し得る個人データが漏えいするケース、(2)量的に重大な類型として、漏えいした個人データの数が1000を超えるようなケースにおいて、それぞれ報告等が求められることになりました。
また、報告の方法も、速報と確報に分けて行うこととされ、今後は事案に応じて速やかな対応が求められることになります。
現行法においても、個人情報の不適正な「取得」が禁止されていますが、いわゆる破産者マップ事件などを経て、改正法では新たに、不適正な「利用」も明文で禁止されることになりました。
© 企業実務
Special
PR注目記事ランキング
編集部おすすめブックレット