個人情報保護法 三法が統一 ガイドラインが一部変更
個人情報保護法、デジタル法制定の背景
平成15年(2003年)に制定された、「個人情報の保護に関する基本方針」が2022年4月1日に改正(一部変更)されました。インターネットの普及とともに制定されたこの法案は、昨今では、クラウドサービスやAI技術革新、IOTの進展によ り、多種多様なデータが収集・分析されています。
ITの発展に伴いデータ分析が高度化し、国を越えて利活用されることにより、地域の活性化、新産業・新サービスの創出につながる一方で、個人情報の不適正な利用や漏洩が、大きな侵害につながることもあります。このような状況を踏まえ2021年9月にデジタル庁が発足し、デジタル社会形成基本法が設立されました。
そして今回の改編は、「行政機関個人情報保護法」と「独立行政法人個人情報保護法」が「個人情報保護法」に統合されひとつになり、そのガイドラインが一部改編されたものです。2023年には、地方公共団体の条例とも一本化されます。
特に注意しなければならない企業は、ネットショップやサブスクサービスを行う会社になりますが、お問い合わせフォームやメールマガジン配信を行う一般企業も対象になりますので、簡単にガイドラインをまとめましたので、参考になさってください。
改正に伴い民間企業にもとめられること
①入手の目的と処理方法を明確化する
ネットショップや求人採用などで個人情報を保管、入手している会社は「入手の目的」を明確化し、データの閲覧履歴などから、何をどのように分析するのか、その「処理方法」などを明確に記載することが求められます。
②個人情報を保有する情報取り扱い事業者の開示
現行の個人情報取扱事業者の氏名又は名称に加え、今回より住所、法人の場合は、代表者の氏名を記載することが改編されました。
③安全管理のために講じている措置の記載
物理的安全管理措置
(従業者の入退室管理の把握や持ち込み機器の制限の実施、データの盗難、紛失を防ぐための措置など)
技術的安全管理措置(不正アクセスソフトウエアの導入や担当者以外の個人データ閲覧を防止する措置など)
GoogleによるCookie設定についての記載など
簡単にまとめると、4月1日よりwebサイトには、プライバシーポリシーの見直しと記載が求められます。
そこには、GoogleのCookie情報などの記載も求められます。
ネットショップの運営やサブスクリプションなどのサービスを行っている場合には、特に注意が必要ですので、今一度現行の個人情報保護法を確認して、今回の個人情報保護法のガイドラインの改正を読むことをおすすめします。
参考として現行の個人情報保護法について記載しました。
現行の個人情報保護法を整理する
【個人情報の定義】2条1項より
生存する個人に関情報であって、次の (1)(2) のどちらかに該当するもの
(1) 当該情報に含まれる氏名 、生年月日その他の記述等 ・・・により特定の個人を識別することができるもの
(他の情報と容易に照合するこができ、それにより特定の個人を識別することができるものも含む)
(2) 個人識別符号が含まれるもの
(マイナンバーカード、パスポート番号、運転免許書番号、顔認証、指紋認証などの生体認証など)
【第三者提供の制限】
第27条 個人情報取扱事業者は、本人の同意を得ないで、個人データを第三者に提供してはならない。
(第三者とはグループ会社間やフランチャイズ組織本部と加盟店の間などが該当する)
【第三者にならない場合】
個人データの取扱いを「委託」するとき
(提供元の事業者の利用目的の範囲内で利用する場合は、委託に該当)
企業の合併など事業の承継に伴って提供されとき
個人データを「共同利用」するとき
(あらかじめ共同利用だと記載がある場合で、利用目的を明確にしている場合に限る)
「オプトアウト」を用いるとき
(メールマガジンやFaxなど製品やサービス情報を企業側から配信される情報を個人が回避することができるしくみ)
詳細は、個人情報保護委員会に記載されている「個人情報保護法・法令・ガイドライン」のページでご確認ください。
弊社も不定期ですが、メールマガジンをお送りすることがありますので、プライバシーポリシーを更新しました。