本日は、改正個人情報保護法についての後編として、改正によって、どのようなことに対応しなければならないのかについて解説していきます。
前編をまだご覧になっていない方はこちらからどうぞ。
個人情報保護法の対象事業者
個人情報保護法の対象となる事業者のことを個人情報取扱事業者といい、個人情報を扱う事業者のほとんどがこれに該当します。法律上、自社の従業員の名前・生年月日なども個人情報に当てはまるため、複数社員を抱える事業者は例外なく対象になります。
これを踏まえ、改正によって皆さんが対応しなければならないことを解説していきます。
実務対応
電磁的記録での開示方法への対応
本改正で、個人情報の開示請求の際には、請求者本人が電磁的記録データか書面での交付を選択できるようになりました。電磁的記録データとはパソコンなどで記録される電子的なデータ全般を指します。
そのため、事業者は、開示請求を受けた際にスムーズに対応できるように、テキストデータやPDFファイルなどの電子データで情報開示を行えるように準備しなくてはなりません。
また、第三者への個人情報の提供・受領時の記録についての請求にも同様の対応が求められます。常に情報の受け渡しなどの履歴を電子的に記録できる体制を構築しましょう。
個人情報漏えい時に備えた社内ルール等の整備
本改正では、個人情報漏えい時に個人情報保護委員会への報告と本人への通知義務が追加されました。そのため、社内ルールや報告体制を見直す必要がでてきます。
万が一の事態を想定して、スムーズに対応できるように社内ルールを修正し、関係者への周知・教育を行いましょう。
プライバシーポリシー(個人情報保護方針)改定
個人情報の利用目的の特定
個人情報保護法のガイドラインによると、「本人が、自らの個人情報がどのように取り扱われることとなるか、利用目的から合理的に予測・想定できる」ように特定することが求められています。
そのため、利用目的をより詳細に記載する必要があります。
保有個人データに関する公表事項の追加
個人情報保護法のガイドラインによると、現行法で求められている公表事項に加え、下記2点の公表が求められています。
●個人情報取扱事業者の氏名または名称に加えて住所・法人代表者氏名
●個人情報の取扱体制や講じている措置の内容
なお、上記については、本人の求めに応じて遅滞なく回答することでも要件を満たしますが、プライバシーポリシー(個人情報保護方針)上で公表することで、そのサイトや企業の信頼性が高まります。
cookie等利用の際の注意点
前編での、「第三者提供時の同意・確認義務の新設」について解説します。
cookieとは、あるサイトを見たという情報を、そのコンピューター内に記憶させておく機能のことです。(等という言葉には、閲覧履歴・購買履歴などが含まれます)
本改正により、Cookie等は「個人情報」ではないものの、「個人情報になることが想定できる提供を行う場合には事前に本人への同意を得ること」と定められました。
Cookieを例に挙げると、A社のもつデータだけでは誰の情報であるかは分かりません。しかし、提供先のB社は、自社で持つcookieID等のデータを用いて個人情報と紐づけることが可能です。
そのため、このように提供先で個人情報となることが想定される情報の場合には、事前に本人の同意を得てから提供することが義務付けられました。
自社のサイト・情報提供先がイラストの状態に当てはまっているのかが分かりにくいことも、難しい点です。
おわりに
4月1日から改正・施行される個人情報保護法の改正について、前・後編にわたり解説してきました。個人情報保護法は難しい言葉も多く、まだまだ分からないことがある方も多いのではないでしょうか?
個人情報の取り扱いに対する規制は年々厳しくなっています。ぜひ今のうちにできることから対応を進めていきましょう!
この記事を読んでなにか気になる点がありましたらお気軽に弊社担当か当サイトのお問い合わせフォームからお声がけください。
コメント