株式会社ISOサポートです。
2020年6月12日に「個人情報の保護に関する法律(以下、個人情報保護法)等の一部を改正する法律」が公布されました。
改正個人情報保護法の施行は一部を除き、公布後2年以内となっているので、
実際に施行されるのは、2022年の4月〜6月頃になるのではないでしょうか。
個人情報保護法は、個人情報保護をめぐる国内外の政策、技術、産業等の状況等の変化に応じて、3年ごとに見直しが図られています。
昨今、自分の個人情報がどのように利用されているのか意識する人々が増えてきたこと、
技術の進歩によって新たなサービスが提供される中で、個人情報の保護と利活用のバランスを取る必要が出てきたこと、
越境データの流通増大に伴う新たなリスクへの対応等の観点から、
このたび、個人情報保護法が改正されるに至りました。
私共のPマーク(プライバシーマーク)コンサルティング現場においても、
改正個人情報保護法に対する取り組みについてお問い合わせが寄せられることが増えてきましたので、
コラムの中でも順次取り上げていきます。
今回は、改正個人情報保護法の中で登場した新たな用語、「個人関連情報」についてです。
「個人関連情報」の定義ですが、
「生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないもの」とされています。
具体的にはどのような情報のことを指すのでしょうか?
個人情報保護委員会資料によると、氏名と結びついていないインターネットの閲覧履歴、位置情報、Cookie情報等とされています。
私共にお問い合わせいただいた中ですと、
スーパーマーケットにおける購買情報(いわゆるPOSデータ)、
ウェラブル端末に提供するアプリ内で収集するライフログ、
自動車の事故記録装置内に記録されたイベントデータなどは、
この「個人関連情報」であるとの認識でした(各事業者ごとにサービス仕様が異なるため、ご自身のサービス仕様は十分ご確認ください)。
最近では、
携帯電話の位置情報を解析し、主要駅や観光地の人出の増減を報道各社に提供しているサービスがありますが、
これも個人関連情報を有効に利活用した事例ですね。
では、
個人関連情報を取り扱う事業者(「個人関連情報取扱事業者」という。)は、
どのような対応が必要になるのでしょうか?
個人関連情報を第三者に提供するにあたっては、
提供先において特定の個人を識別できるようになることが想定される場合、
当該本人から同意が得られていることの確認と、確認の記録の作成・保存(保存期間は原則3年)が求められます。
(個人情報保護委員会資料より抜粋)
Pマーク(プライバシーマーク)取得事業者においては、
提供先において当該本人から同意が得られていることの確認は、
新たに仕組み化する必要がありそうです。
(個人情報保護委員会資料より抜粋)
Pマーク(プライバシーマーク)取得事業者においては、
すでに本人からの同意を取得する仕組みや、
第三者提供に関する事項の明示がなされていることでしょうが、
明示内容等を見直す必要がありそうです。
ほかにも、
漏えい等が発生し、個人の権利利益を害するおそれがある場合、
個人情報保護委員会への報告および本人への通知が義務化されます。
また、
個人情報保護委員会による命令違反・個人情報保護委員会に対する虚偽報告等については、
法定刑の引き上げが定められました。
このあたりは、
改正内容の全従業者への周知、業務における具体例などを認識させる必要がありそうですね。
冒頭にも述べましたが、
個人情報保護法改正の主旨は、
個人関連情報の利活用の制限ではなく、
個人関連情報を上手に利活用しつつも、個人の権利利益を保護する、よいバランスを取ることです。
皆様の新しいビジネスにおいて、
個人関連情報の取り扱いについて懸念事項があるようでしたら、
株式会社ISOサポートの
Pマーク(プライバシーマーク)認証取得+取得後サポートコンサルティングは
こちらをご覧ください。
