全2357文字
PR

 2022年、消費者と接点を持つ企業は個人情報を取り扱う負担がどう増えるかを見定め、管理体制などを再点検する必要がある。個人の権利を拡大した改正個人情報保護法が2022年4月に全面施行されるからだ。

 相次ぐ情報漏洩事故により、消費者は自己の情報が企業内でどう取り扱われているかに敏感になっている。改正個人情報保護法が施行されると、企業が個人情報を漏洩させた場合、本人1人ひとりに漏洩の事実を通知する義務を負う。

 さらに情報漏洩したという事実は改正個人情報保護法において、利用者が企業に対して自己情報の削除や利用停止を求める理由として認められやすくなる。そのため、利用者から「自分の情報を削除せよ」という請求が殺到する事態が十分に起こり得る。

 自己情報の削除・利用停止は、利用者がサービスを退会する場合でも請求できる。いずれにしても法律の要件を満たせば企業は削除・利用停止の依頼に全て対応するしかない。

 改正個人情報保護法の施行により、個人から企業への情報開示も請求しやすくなる。企業は原則として、Webサイトや電子メールといった「電子的手段」での開示にも応じる義務が新たに生じるからだ。

 削除・利用停止の請求への対応も含めて、企業の多くは個人情報の取り扱いを透明化するためシステムと体制の整備が必要になるだろう。個人情報保護法に詳しい牛島総合法律事務所の影島広泰弁護士は「企業によって事情は異なるが、全社的に業務フローやシステムを整備すべきケースが増えるだろう」とみる。

 個人情報をビジネスに用いている企業にとって、改正個人情報保護法の全面施行は個人情報の利活用を後押しするプラスの面もある。個人を特定できないように処理した「仮名(かめい)加工情報」で統計的な利用方法が広がるからだ。とはいえやはり企業にとって喫緊の課題は、個人情報保護の強化や権利拡大という負担増にどう対応するかである。

保有する全情報を開示する義務

 企業にとって相対的に影響が大きいとみられる改正点は大きく4つある。(1)個人からの開示請求をデジタルで対応する必要がある、(2)自己情報の削除や利用停止を請求できる範囲が広がる、(3)個人情報の漏洩時には本人に通知する義務を負う、(4)海外に個人データ(個人情報を集積したデータベース)を移転している場合は情報開示や本人同意がより厳格化される──である。

図 2022年4月全面施行の改正個人情報保護法の改正点と企業に求められる対応
図 2022年4月全面施行の改正個人情報保護法の改正点と企業に求められる対応
個人情報を扱う体制の見直しが必須に
[画像のクリックで拡大表示]

 最初の開示請求のデジタル対応は、改正個人情報保護法で「(前略)電磁的記録の提供による方法(後略)」(第28条第1項)で開示を請求できると、新たに追加されたことが根拠となる。2点目に挙げた、範囲が広がる削除や利用停止の請求とセットでデジタル対応を考える必要がありそうだ。

 例えば会員向けWebサイトで企業が持つ本人の全個人情報をWebサイト上で確認できるようにする。同じページで利用停止や削除の請求も受け付け、請求に応じたかどうかの結果も表示する、といった対応だ。

 特に複数の部門で個人情報を取り扱っている企業にとっては、扱っている個人データの再点検が必要となる。個人情報保護委員会のガイドラインなどから、本人が求めた場合は企業が持つ本人の全情報を開示する義務を負うことが明確になったからだ。

 影島弁護士は「部門をまたがって串刺しで個人情報を名寄せできるようにするなど、業務フローや体制、システムを整備する必要がある」と話す。実際に2021年初めごろから整備を進めている企業もあるという。