【2022年4月施行】個人情報保護法改正、プライバシーポリシー改訂のポイント
2022年4月に予定されている個人情報保護法の改正に伴い、すでに個人情報に関する規定変更を完了している企業もある一方、まだ着手できていないと頭を悩ませる企業も多いのではないでしょうか。そこで今回は、プライバシーポリシーにおいて企業が見直すべきポイントをご紹介します。(改正個人情報保護法のポイントについてはこちらをご確認ください)
プライバシーポリシーとは?
プライバシーポリシーとは、個人情報についてその情報収集や活用、管理、保護などに関する取り扱い方針を明文化したものです。個人情報保護法において作成の義務はありませんが、企業の透明性を高めるため多くの企業で自主的に作成されています。今回の改正法では、これまで曖昧だった部分の明確化とより具体的な事例が求められており、多くの企業がプライバシーポリシーを改訂する必要に迫られています。この機会に、自社の内容を今一度見直していきましょう。
【資料ダウンロード】>>資料ダウンロード一覧へ\これだけは抑えておきたい/「改正個人情報保護法対応チェックリスト」 |
見直すべきポイント
ひと口にプライバシーポリシーの改訂といっても、具体的に何をどう修正すれば良いのでしょうか。6つのポイントに絞って解説します。
利用目的の明確化
個人情報を取り扱うにあたって、”本人が、自らの個人情報がどのように取り扱われることとなるか、利用目的から合理的に予測・想定できる”ように、できる限り利用目的を特定するようにしましょう。
<具体的に利用目的を特定している事例>
- ・○○事業における商品の発送、関連するアフターサービス、新商品・サービスに関する情報のお知らせのために利用いたします。
<具体的に利用目的を特定していない事例>
- ・事業活動に用いるため
- ・マーケティング活動に用いるため
<本人から得た情報から、行動・関心等の情報を分析する場合に具体的に利用目的を特定している事例>
- ・取得した閲覧履歴や購買履歴等の情報を分析して、趣味・嗜好に応じた新商品・サービスに関する広告のために利用いたします。
- ・取得した行動履歴等の情報を分析し、信用スコアを算出した上で、当該スコアを第三者へ提供いたします。
保有個人データの公表事項の追加
改正法で追加となった点は以下の通りです。
- ・個人情報取扱事業者の住所
- ・個人情報取扱事業者である法人の代表の氏名
- ・保有個人データの安全管理のために講じられた措置
「保有個人データの安全管理のために講じられた措置」について、個人データの安全管理措置を講じる義務は以前からありましたが、その安全管理措置の公表等が追加となりました。安全措置の具体的な内容について本人が知り得る状況(※)にしておく必要があるため、その旨をプライバシーポリシーに記しておかねばなりません。
※ホームページへの掲載や紙面の配布を行い本人が知ろうとすれば知ることができる状態におくこと。
共同利用がある場合の通知事項の追加
ビックデータの活用が進む上で、自社で収集した個人データを他社へ提供するケースが多々あります。本人の同意を得ずに第三者提供ができることを指します。ただし、共同利用の際には、本人が一定の情報を知り得る状態にしておく必要があります。この一定の情報に、個人情報管理責任者の住所と代表者名が追加して明記される必要が生じました。
●「共同利用」を行う場合に記載する事項
- ①共同利用をする旨
- ②共同して利用される個人データの項目
- ③共同して利用する者の範囲
- ④利用する者の利用目的
- ⑤当該個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
仮名加工情報に関する公表事項の追加
今回の改正法で仮名加工情報(※)が新設されました。今後、利用予定がある場合は、プライバシーポリシーへの追加を検討しましょう。
※他の情報と照合しない限り、特定の個人を識別することができないように個人情報を加工した個人に関する情報のこと。
個人関連情報規制を受けるケースでの同意取得
改正法では、Cookie等の識別子に紐付けられた閲覧履歴やアプリ上での行動履歴、趣味嗜好などのデータが個人関連情報として新たに定義付けされました。しかし、個人データを第三者へ提供する度に通知を行うのは困難なため「本人が予測できる範囲において包括的に同意を取得することも可能である」とガイドライン内で記されています。
例として、「自社のシステム内でcookieを利用して個人情報に紐づくアクセス履歴を取得している場合」には“通知公表(プライバシーマーク取得の場合は同意)”が必要になりますのでプライバシーポリシーへの反映を検討しましょう。
保有個人データの取り扱いに関する請求対応の義務化
改正法では開示請求における本人の利用権が拡大され、さらに、事業者が個人データを利用する必要がなくなった場合に本人が事業者に対し開示・訂正等・利用停止を請求することができるようにもなりました。プライバシーポリシーに記載しておくことも重要な作業ですが、同時に顧客データのより一層の厳密な管理も行う必要があるでしょう。
【記述例】
当社は、個人情報の照会・訂正・利用停止・消去等のご要望があったときは、所定の手続でご本人様であることを確認のうえ、すみやかに対応します。
プライバシーポリシー改訂後の対応も重要
以上のように、改正法の施行を機に個人の請求権が強化されるため、以前と比べて本人からの開示・請求の頻度が上がることが予想されます。ここでプライバシーポリシーの改訂という単なる事務作業で終わることなく、その後の具体的な対応についても企業内で明確にしておきましょう。必要に応じ、社内規程の改訂を行うケースもあるでしょう。また、従業員への周知徹底も同じく必要な行動です。
個人情報保護法への対応をサポートしてくれるおすすめのサービス
上記の個人情報保護法改訂にかかる作業は複雑かつ難解でもありますが、企業として根拠ある対応が求められます。「これで大丈夫だろうか」と不安に思うことがあるなら、外部のプロにサポートを依頼するのが賢い選択と言えるでしょう。そこで今回は、おすすめの情報セキュリティサービス「Coach MAMORU」をご紹介します。
経験豊富な専門コンサルタントが、企業の情報セキュリティ教育・コンサルティングを提供するサービスです。最新の法改正を踏まえて上で、企業の抱える情報セキュリティ課題に対して柔軟にコンサルティングを行います。情報セキュリティにお悩みの担当者は一度相談してみてはいかがでしょうか。
Pマーク取得企業も新たな「構築・運用指針」に対応した運用を
今回の改正個人情報保護法に合わせて、Pマーク取得企業も新たな「構築・運用指針」に対応していかなければなりません。次の審査まで時間に余裕があったとしても、2022年4月以降は新たな基準での運用が求められています。Pマーク取得企業は今回の対応を「個人情報に対する意識向上」の好機だととらえ、積極的に進めていきましょう。
Pマーク取得企業も新たな「構築・運用指針」に対応した運用を
今回の改正個人情報保護法に合わせて、Pマーク取得企業も新たな「構築・運用指針」に対応していかなければなりません。次の審査まで時間に余裕があったとしても、2022年4月以降は新たな基準での運用が求められています。Pマーク取得企業は今回の対応を「個人情報に対する意識向上」の好機だととらえ、積極的に進めていきましょう。
個人情報保護法改正(2022年4月施行)関連記事
第1回【2022年4月施行】個人情報保護法改正、6つのポイントとは?
第2回【2022年4月施行】個人情報保護法改正、6つのポイントを徹底解説
第3回【2022年4月施行】個人情報保護法改正、プライバシーポリシー改訂のポイント
第4回【2022年4月施行】個人情報保護法改正、開示請求のポイント
第5回【2022年4月施行】個人情報保護法改正、個人関連情報・オプトアウト規制・不適正利用に関する対応ポイント
第6回【2022年4月施行】個人情報保護法改正、従業員教育で取り上げるべきポイント教育
第7回【2022年4月施行】個人情報保護法改正、個人データ漏洩等の報告・対応について
第8回【2022年4月施行】個人情報保護法改正、個人データの取り扱いに関する安全管理措置について
第9回【2022年4月施行】個人情報保護法改正Q&A、海外のクラウドサーバーやソーシャルプラグインに関する考え方
第10回【2022年4月施行】改正個人情報保護法対応に向けた主なTo Doを解説!(全企業対象)
第11回【2022年4月施行】改正個人情報保護法対応に向けた主なTo Doを解説!(Pマーク取得企業対象)
【資料ダウンロード】>>資料ダウンロード一覧へ\これだけは抑えておきたい/「改正個人情報保護法対応チェックリスト」 |