2020年6月に公布された改正個人情報保護法が2022年4月に全面施行されることになっていますが、実務的に注意すべき点をいくつか見ていきます。
前回「改正個人情報保護法~2022年4月全面施行①」の(1)(2)で触れましたように、今改正では、個人の権利保護が強化され、個人情報取扱事業者の責任も強化されています。
① まず個人情報取扱事業者が保有する個人データについて、本人がその利用停止、消去、第三者提供停止を請求できる場合の拡充とそれに伴う個人情報取扱事業者の責任強化です。
現行法では、本人が個人情報取扱事業者に対して自己を識別できる個人データの利用停止・消去・第三者提供の停止といった請求権を行使できるのは、利用目的制限(現行法16条)違反、不適正な手段による情報取得(同法17条)等一定の法違反がある場合に限られています(同法30条)。
しかし、これでは、現行法16条や17条にストレートには違反しないものの、本人が望まない不適切な形で情報が利用されている場合に利用停止等の請求ができないため、改善の要求が強かったことから、改正法では、法違反がない場合でも
ア「本人の保有個人データを取扱事業者が利用する必要がなくなった場合」
イ「重大な漏えいなどが発生した場合」
ウ「保有個人データの取扱いにより、本人の権利又は正当な利益が害されるおそれがある場合」
には、上記の請求権を行使できることになりました。
そして、この関連では、改正法16条の2として、現行法では明文では禁止されていない、個人情報取扱事業者の不適正な方法での個人情報の利用、つまり、「違法・不当な行為を助長・誘発するおそれがある方法によって個人情報を利用すること」が明文で禁止されましたので、上記のウの場合が拡充されることになります。
また、現行法では、個人情報取扱事業者は、漏えい事故が発生したときは、個人情報保護委員会に報告する法的義務はなく、取扱事業者の個別対応に委ねていましたが、今改正では本人の権利利益の侵害が大きい漏えい等が発生した際には、取扱事業者の個人情報保護委員会への報告義務と本人への通知義務が定められました(改正法22条の2)。
これもまた、本人の上記イの権利行使を容易にするものといえます。
さらに、保有個人データの範囲について、現行法では、6か月以内に消去することとなる短期保有データは除外され、開示、利用停止等請求の対象外でしたが、改正法では短期保有データでもそれが漏えいするなどしたときは、本人への影響が大きいこともあることから、短期保有データも保有個人データに含まれ、したがって、開示、利用停止等請求の対象となることになりましたので(改正法2条7項)、取扱事業者は注意を要します。
ちなみに、上記アの「利用する必要がなくなった」とは、保有する個人データについて利用する必要がなくなったとき、すなわち、利用目的が達成され当該目的との関係では当該個人データを保有する合理的な理由が存在しなくなった場合や、利用目的は達成されなかったものの当該目的の前提となる事業自体が中止となった場合等をいいます。具体的には、
・ダイレクトメールを送付するために保有していた情報について、本人からの求めを受ける等して、ダイレクトメールの送付を停止した後、本人が消去を請求した場合
採用応募者のうち、採用にならなかった応募者の情報について、再応募への対応等のための合理的な期間が経過した後に、採用応募者が利用停止等を請求した場合
等が挙げられますが、使わない個人データをいつまでも持っていると、かえって漏えい等の事故で大ごとになってしまいますから、請求を待たずに取扱事業者自ら消去していく実務的な取扱をするのが望ましいでしょう。
② 次に、保有個人データの電磁的記録による開示請求権です。
本人は、個人情報取扱事業者に対して、自己に関する保有個人データの開示を請求することができ(現行法28条)、これを受けた個人情報取扱事業者は、原則として保有個人データを開示しなければなりませんが、この開示は、現行法では書面による交付が原則とされています(同条2項、同法施行令9条)。しかし、文書にすると大部となる場合や動画・録音などのように、書面による交付が適さない場合がありますので、改正法では、本人の利便性向上の観点から、本人は、電磁的記録の提供による方法など、「本人の指定する方法による開示」を請求することができることになり(改正法28条1項)、個人情報取扱事業者は、原則として本人が請求した方法によって開示する義務を負うことになりました(同条2項)。
③ もう一つ、保有個人データの授受についての第三者提供記録の開示請求権です。
これも現行法にはなくて、改正法で新設されたものです。
個人情報取扱事業者は、個人データを第三者に提供するときは、法令で定められた記録を作成しなければならず、また、第三者提供を受ける側も、法令で定められた記録を作成しなければなりません(現行法25条1項、26条3項)が、これは、不正の手段によって取得された個人情報が転々流通することを防止し、また、個人情報の流通に係るトレーサビリティ(追跡可能性)の確保を図ること、を目的とするものです。
しかし、こうした第三者提供当事者双方が作成した記録について、現行法は本人の開示請求権を認めていません。これでは監督機関の監督機能が十分あるいは迅速になされない場合、本人の保護に十分ではありませんから、最も利害関係を有する本人による追跡可能性に配慮して、今改正により、本人は、第三者提供記録の開示を請求できることになりました(改正法28条5項)。
以上のように、改正法では、本人の権利保護が拡充されますので、個人情報取扱事業者としては、その権利行使への対応体制を整え、不要な情報は自主的に消去するなど見直しを図ることを考える必要がありますね。
次回以降も、実務的対応として気をつけるべき点を更にみていきましょう。