城北法律事務所 ニュース　No.86（2022.8.1）

＜法改正問題＞個人情報保護法改正について
〜そもそも個人情報保護法をご存知ですか〜

弁護士　木下 浩一

1 はじめに

2022年4月1日、改正個人情報保護法が施行されました。今回の改正では、一定の漏洩事故等の事態が発生した場合の個人情報保護委員会への報告及び本人への通知の義務化、外国にある第三者への個人データの提供に関する条件の厳格化、違反した場合の罰則の強化等の内容が含まれています。改正前からの内容も含め簡単にご案内します。

2 個人情報の有用性への配慮と情報漏えいによる消費者被害等の防止目的

個人情報保護法は、デジタル社会における個人情報の「有用性」に配慮しつつ、個人情報の不適切な取り扱いにより生じる情報漏えいによる消費者被害等を未然に防止するための適正なルールを定める法律です。

不適切な取り扱いで個人情報を漏洩させた場合には、プライバシー侵害等を理由に被害者に対し損害賠償責任を負うとともに、個人情報保護法により行政処分が課されるという二重の法的責任が問われます。

3 非営利事業者も義務を負う

個人情報保護法により義務が課されるのは、法人や個人事業主だけではありません。自治会や同窓会のような非営利事業も含みます。かつては、個人情報の保有数が一定数以上でなければ対象外でしたが、この要件は既に撤廃されていますので、多くの事業者に関係する法律です。

4 個人情報保護法で課される義務

以下のような「個人情報のライフサイクル」の段階毎にどのような義務が課されているのか検討し、対応策を練るのが有効です。

（１）取得段階

個人情報を取得する際に、利用目的を特定し、本人に「通知」または「公表」しなければなりません（病歴や障害等の「要配慮個人情報」とは異なり、「同意」までは不要）。多くの企業では、「プライバシーポリシー」の名目で、以下で触れる内容と共にホームーページに「公表」しています。なお、本人から直接、申込書等の書面やインターネット等を通じ、当該本人の個人情報を取得するには、あらかじめ、本人に対し、利用目的を記載した書面を交付したり、インターネットの入力画面に記載する等して「明示」する必要があります。

（２）利用段階

個人情報を利用する際には、原則、特定された利用目的の達成に必要な範囲でのみ利用しなければなりません。

（３）保管・管理段階

個人データを保管・管理する際には、漏洩等ないよう安全管理措置を講じなければなりません。組織体制の整備、従業「者」への教育（従業「員」に限らず役員も含む）、電子媒体の盗難防止、外部からのアクセス防止等様々な対応が必要です。

アウトソーシング等でデータを外部「委託」をする場合、本人の事前同意は不要ですが、委託先の監督等が必要となります。委託契約の条項が適切か、契約が遵守されているかの点検方法のルール化等も求められます。

また、本人には、保有個人情報について、開示・訂正・利用停止請求権がありますので、これらを行使された場合の受付体制の整備、ウェブページでの連絡先等の公表、申請・回答書式の準備等も必要です。

（４）提供段階

個人データを第三者に「提供」する際には、原則、本人の同意を得なければなりません。同意を要しない方法もありますが、その場合、公表、委員会への届出、記録の作成・保存等の要否が異なります。

（５）消去段階
無駄な個人データを保有することにはリスクと管理コストが伴います。業法や税務関係での法定保存期間も考慮して、消去時期や安全な消去方法等を定める必要があります。

5 「過剰反応」をせず適切な対応の必要性

なお、上記義務には常識的な例外も存在しています。例えば、新型コロナの蔓延状況における個人情報の目的外利用や個人データの同意を得ないでの第三者提供等が許容される場合もあります。個人情報保護委員会がガイドラインを公表して例示していますが、「有用性」にも配慮し、適切に個人情報を扱う必要があります。

6 最後に

限られたスペースでしたので概略の説明にとどまりました。様々な体制の整備が必要だという認識だけでも持って頂けたのであれば幸いです。気になる方は是非専門家にご相談ください。