最近、「当社の個人情報の取り扱いを変更しました」というメールがよく届くなぁ。
そのように感じている方も多いのではないでしょうか?
2022年4月1日から改正個人情報保護法が施行されます。実は、これらのメール、4月からの改正法施行に向けて各社が着々と進めている準備の一環です。
貴社の準備はいかがですか?
今回の改正は、久々の大改正といわれています。近年、データの利活用が進む反面、情報漏洩や不適切な利用が問題となってきました。改正個人情報保護法では、これら事例を受けて運用レベルまで見直しを行っています。
当社は大丈夫だろうか?手は打たれているのだろうか?
そう感じたら、まず、貴社のプライバシーポリシーを確認してみましょう。多くの企業では、「プライバシーポリシー」や「個人情報保護方針」などのタイトルでホームページなどに掲載されているでしょう。
改正個人情報保護法に対応するためには、プライバシーポリシーの見直しとして、主に、次の3点がポイントになります。
1)利用目的の見直し
プライバシーポリシーには、原則、取得した個人情報の利用目的が記載されています。
今回の改正では、「利用目的をできる限り具体的に特定」しなければならないとされました。
では、「できる限り具体的」とは、どの程度でしょう?
ガイドラインでは、具体的な利用目的として次の例があがっています。
「○○事業における商品の発送、関連するアフターサービス、新商品・サービスに関する情報のお知らせのために利用いたします。」
つまり、「事業活動に用いるため」などの記述では、具体的でないと考えられます。従来、このような記載は多くみられました。貴社のプライバシーポリシーではいかがでしょう?
2)個人情報取扱事業者の氏名又は名称「及び住所並びに法人にあっては、その代表者の氏名」
かっこで示された部分が今回の改正個人情報保護法施行にあたって必須として追加された事項です。住所や代表者の氏名などは、これまでも記載していた企業も多いかもしれません。念のため確認しましょう。
3)安全管理措置
保有個人データの安全管理のために講じている措置の公開が義務付けられました。公開が義務付けられた事項について、公開の方法としてプライバシーポリシーを活用している企業は多いでしょう。
ただ、安全管理措置といわれても、何をどの程度記載すればよいか悩ましいものがあります。法律で「このように書きなさい」と定められているわけではありません。企業の規模や業種、実際に行っている措置にもよるでしょう。
「個人情報管理規程や安全管理規程を策定して、これらに準拠した安全管理措置を実施している」など明示されていれば、ひとまず良いかと思います。あとは具体的にどこまで記載するかの検討です。一方、「プライバシーポリシーで保有個人データの安全管理措置について何も触れられていないとしたら見直す」と考えていただくのが良いでしょう。
今回は、まず、プライバシーポリシーに限って見直しのポイントを概説しました。
もちろん、4月1日施行の改正個人情報保護法のポイントは、他にもあります。全体を網羅して見直しことは結構大仕事になるでしょう。
そのなかでも、プライバシーポリシーは外部の目に触れるものでもあり、貴社の個人情報保護の根幹となるものです。まずは、ここから確認することをお勧めします。
(メルマガ「IPビジネスだより 2022年3月号」から転載)