2022年4月1日施行の改正個人情報保護法のポイントを網羅的に眺めてみましょう。
1.個人情報の利用と情報提供についての規制の強化
個人情報の利用目的をできるだけ具体的に特定して公表・開示することが求められました。また、保有個人データについての安全管理措置などが新たに公表事項に追加されました。これらにより、プライバシーポリシーや個人情報保護方針などの見直しが求められます。
2.個人の権利の強化
個人情報を保有される側の個人からの要求に対応すべき範囲が拡張されました。例えば、開示や利用停止の請求がされた際は、6か月以内に消去されるデータは例外的に対象外とされていました。しかし、今後は6か月以内に消去されるデータであっても要求に対応しなければなりません。また、保有個人データの開示を求められた場合、データでの情報開示も可能なように準備を進めることが求められます。個人からの要求については、他にも強化された項目がありますので確認しておきましょう。
3.個人関連情報の取得
「個人関連情報」との概念が導入されました。ざっくりいうと「個人に関連する情報ではあるが、個人が特定できる個人情報や、個人情報を記号などに置き換えた情報ではない情報」です。代表例が、Cookieです。Cookieとは、訪問したウェブサイトの情報をパソコンやスマホに一時的に記録するデータです。例えば、Cookieに紐づく情報を第三者へ提供する際に、Cookie自体は個人情報ではないとしても、提供先において個人データとなることが想定されるならば、取得する際には同意が必要となりました。
4.グローバルな取り扱い
個人データを、外国にある第三者のサーバやクラウドサービスに受け渡す場合には、その旨の確認と開示が必要となりました。例えば、データ移転先の外国での個人情報の保護に関する制度の有無などを調査のうえ、開示する必要があります。
5.仮名加工情報の新設
仮名加工情報とは、ざっくりいうと「個人が特定できる名前や生年月日、マイナンバー、財産的被害が出る情報(クレジットカード番号、銀行口座など)を消した情報」です。改正では、仮名加工情報を統計分析などに企業等内部で利活用することが認められました。
今回の改正点はこれがすべてではありません。改正点は他にもありますが、整理すると多くは上述の5つに分類されるでしょう。改正に関する情報も書籍やセミナーなどで目にする機会も多いと思います。それらを眺める際に5つのどれにあたるか意識しながら整理されると理解が深まると思います。
(メルマガ「IPビジネスだより 2022年4月号」から転載)