第22回 令和2年改正個人情報保護法について(1)
令和2年6月に個人情報保護法の改正法(「令和2年改正法」)が成立・公布され、関連する政令・規則・ガイドライン等の改正がなされました(全面施行日は令和4年4月1日。改正項目のうち罰則の引上げは令和2年12月12日に施行済み。)
令和2年改正法の改正項目は、非常に多岐にわたりますが、以下では主な改正点につき概要を説明致します。なお、本稿では令和3年改正法には触れません。
1.不適正な利用の禁止
個人情報取扱事業者が、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用することが明文で禁止されます。
2. 漏えい等事案の報告及び本人への通知の義務化
後記⑴のいずれかの事態が生じた場合に、個人情報保護委員会への報告(後記⑵)及び本人への通知(後記⑶)が個人情報取扱事業者に義務づけられます(現行法は努力義務のみです)。
⑴ 報告対象となる事態
① 要配慮個人情報が含まれる個人データの漏えい、滅失若しくは毀損(以下「漏えい等」という。)が発生し、
又は発生したおそれがある事態
② 不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態
③ 不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態
④ 個人データに係る本人の数が1,000人を超える漏えい等が発生し、又は発生したおそれがある事態
但し、高度な暗号化その他の個人の権利利益を保護するために必要な措置を講じた個人データは、報告・通知義務の対象外となります。
なお、個人データが外部に流出した場合でも、第三者に閲覧される前に全て回収した場合には「漏えい」に当たりません。
⑵ 個人情報保護委員会への報告
以下のように速報・確報の二段階で報告事項を報告します。
なお、報告先は、原則として個人情報保護委員会ですが、報告の受理権限を委任された事業所管大臣となる場合もあります。
ア 速報
報告対象となる事態を知った後速やかに(概ね 3~5 日以内)、原則として個人情報保護委員会のホームページの報告フォームに入力する方法により、下記ウの報告事項のうち当該時点において把握している内容を報告します。
なお、取扱いの委託がなされている個人データにつき報告対象となる事態(前記⑴)が生じた場合、委託先は、報告義務を負っている委託元に対し、当該事態を知った後速やかに(概ね 3~5 日以内)、下記ウの報告事項のうち当該時点において把握している内容を通知すれば、別途の個人情報保護委員会への報告及び本人への通知は不要となります。
イ 確報
報告対象となる事態を知った時点から30日以内(前記⑴③の場合は60日以内)に下記ウの報告事項の全てを報告します。
上記期間において合理的努力を尽くした上で、一部の事項が判明しておらず、全ての事項を報告することができない場合には、その時点で把握している内容を報告し、判明次第、報告を追完します。
ウ 報告事項
① 概要
② 漏えい等が発生し、又は発生したおそれがある個人データの項目
③ 漏えい等が発生し、又は発生したおそれがある個人データに係る本人の数
④ 原因
⑤ 二次被害又はそのおそれの有無及びその内容
⑥ 本人への対応の実施状況
⑦ 公表の実施状況
⑧ 再発防止のための措置
⑨ その他参考となる事項
⑶ 本人への通知
報告対象となる事態を知った場合、当該事態の状況に応じて速やかに、当該本人の権利利益を保護するために必要な範囲において、前記⑵ウの報告事項のうち①②④⑤⑨を通知します。通知方法の例としては、文書の郵送やメール送信が考えられます。
本人への通知が困難である場合(連絡先が不明な場合など)は、本人の権利利益を保護するために必要な代替措置(事案の公表、問合せ窓口の開設及び公表など)を講ずることが可能です。
~(2)へ続く~
*本記事は、法律に関連する一般的な情報を提供するものであり、専門的な法的助言を提供するものではありません。また、実際の法律の適用およびその影響については、特定の事実関係によって大きく異なる可能性があります。具体的な法律問題についての法的助言をご希望される方は当事務所にご相談下さい。
執筆者
