それでは、いま事業者は何をすべきでしょうか。「直前対応」という観点から、最重要の作業項目を以下にピックアップしました(図表2)。
まずは、現在の自社における個人データの取扱状況を正しく把握することが出発点となります。
筆者は現在、改正法施行にあたり、複数社の個人情報保護体制の整備に携わっていますが、いずれもまずは社内で取り扱う個人データの内容とその取扱状況を棚卸しする作業がスタート地点です。これにより、どの改正項目が自社に影響するかの見当をつけて、効率的に作業を進めることが可能となります。
特に把握しておくべき項目としては、
などが考えられます。
そのうえで、多くの企業で着手する必要があるのは、企業サイトに掲載しているプライバシーポリシーの改訂です。
すでに述べた通り、今回の改正では、事業者による法定の公表事項の範囲が広くなりました。実務上、法定の公表事項や同意取得への対応は、企業サイトのプライバシーポリシーで行うのが一般的です。
そのため、改正法が定める公表事項等の内容に沿って、プライバシーポリシーの改訂を検討することが必要となります。
また、今回の改正では、個人の請求権が拡充され、開示方法や開示対象が見直されました。そのため、すでに作成している内部規定や開示の体制を見直す必要があります。
同様の体制整備の観点としては、漏えい等発生時の報告等の体制、個人関連情報の提供や外国にある第三者への個人データの提供時における情報提供時のフロー構築なども求められます。
* * *
以上、改正法の全体像を再確認し、いま行うべき直前対策を紹介しました。改正項目が多岐にわたるため、「もう間に合わない」と感じた事業者も少なくないかもしれません。
しかし、改正による法定刑の引上げもさることながら、個人データ関連で炎上が相次ぐ昨今の情勢に鑑みれば、事業規模を問わず、目を背けることはできない改正事項といえるでしょう。改正対応にあたっては、自社の顧問弁護士等と相談のうえ、焦らずに順次対応していくことが肝要です。
STORIA法律事務所/弁護士
AI、データの利活用に関するビジネスモデル構築・法的助言・契約交渉・規制対応を中心に、IT系スタートアップに関する法律問題全般を広く取り扱う。
© 企業実務
Special
PR注目記事ランキング
編集部おすすめブックレット