2020年6月に改正された個人情報保護法が、1年以上の周知期間を経て2022年4月1日に施行日を迎える。改正個人情報保護法(以降、改正法)では個人の権利保護が強化され、個人情報を取り扱う企業に課される義務がより重くなる。
4月1日の施行に合わせて企業が続々とプライバシーポリシーを改定し、本人同意を取り直すなど対応を始めている。ただし、より重要なのは、情報漏洩の事故が起きたときや個人が自己情報のコントロールを求める動きに、企業が具体的に対応する準備ができているかだ。
漏洩の「可能性」でも本人に通知
個人情報保護法は前回の2015年改正法(2017年施行)で「(施行から次の改正までの)3年ごと見直し規定」を盛り込んだ。初めての見直しである2020年改正法は、相次いだ個人情報を巡る事件なども反映し、5年をかけた大きい改正になった。2021年には行政機関向けの個人情報保護関連(行政機関個人情報保護法、独立行政法人等個人情報保護法)を含めた3法を1つに統合する法改正も行われた(2023年施行予定)が、企業に影響する改正は2020年改正法にほぼまとまっている。
2020年改正法で企業に影響が大きいのは、第1に個人情報の開示請求や削除、利用停止など本人の権利を広げたうえで情報の漏洩時は本人に迅速に通知するなど、企業に個人の権益を保護する行動を求める点だ。第2にWebサイトの閲覧履歴など個人にひも付く情報も保護対象にして本人同意を必須にする点、第3に海外企業への業務委託を含めた外国へのデータ移転をより厳しく管理することが求められる点も、対応が必要になる。
企業への罰則も強化される。最も重い法令違反に課される法人の罰金は2015年改正法の最高30万円から最高1億円に大きく引き上げられた。個人情報保護委員会(個情委)による改善や停止の命令に従わないなど、該当する違反の前例はまだ日本にない。ただし、企業により強い責任を求める改正法の考え方は反映されている。
今回は第1に挙げた個人の権利保護に企業が対応すべきポイントを取り上げる。改正法で特に企業の即応力が問われるのが、不正アクセスなど悪用や影響が大きい個人情報の漏洩が判明したときである。本人に速やかに通知し、一定の基準で個情委に報告することが義務化されるからだ(2021年改正法の第26条第1項、同第2項)。現行の2015年改正法ではどちらも努力義務にとどまり、企業の判断で本人通知や行政に報告していない例があった。
通用しなくなる「公表控え」、約3〜5日で本人通知へ
改正法で注意したいのは、外部からの不正アクセスなどで個人データ(個人情報を集積したデータベース)の漏洩範囲が特定できない場合だ。個情委は、アクセスの痕跡があるなど「漏洩の可能性がある個人データは、すべての該当者に通知する必要がある」(事務局)と明言する。
個情委のガイドラインによれば、「速やかに(中略)通知」しなければならない(施行規則第6条の5)のは「おおむね3~5日」を想定しているという。つまり漏洩の可能性が判明したら、直ちに本人通知や事実公表へと行動を起こす必要がある。個人情報を扱う企業は漏洩事故を想定した事前の体制づくりが不可欠といえる。
