Pマーク取得・更新はTFK

個人情報保護法改正によるプライバシーマークに関わる内容の変更について

2021/11/08

プライバシーマークがさらに規格改訂されます。今回の規格改訂は 2022年4月に施行される改正個人情報保護法に基づいたものとなります。

ただし規格改訂というよりは、「運用指針」を改定されるという感じの内容となりそうです。 要求事項をより分かりやすい内容に改定したので、それにあわせてプライバシーマークの運用を行っていきましょうというものです。 これまでのプライバシーマーク運用に大きな変更はありませんが、この指針と照らし合わせながら自社のルールを再確認する必要がでてきます。 また、この新運用指針の完全版公表が2022年1月となっており、公表される内容によっては ホームーページの修正等が必要な可能性もあるでしょう。 公表される指針は、一体どんな内容が追加されたりするのでしょうか？2020年6月に「個人情報の保護に関する法律等の一部を改正する法律」（以下、改正個人情報保護法）が公布されました。改正個人情報保護法では、近年の各国の個人情報保護法の厳格化、データ利活用の促進や消費者のプライバシー意識の高まりなどの背景を踏まえた要件が追加されています。 今回、プライバシーマークの運用指針の改訂は、この「個人情報の保護に関する法律等の一部を改正する法律」に基づくものとなるでしょうから、まずはこの改正される個人情報保護法をチェックすることからはじめましょう。また個人情報の取扱いに対する社会の関心も高まっていますので知っておくべき内容です。 ■「個人情報の保護に関する法律等の一部を改正する法律」の変更点
個人情報保護委員会は、平成27年の個人情報保護法の改正以来、社会・経済情勢の変化を踏まえて、令和元年１月に示した「３年ごと見直しに係る検討の着眼点」に即し、３年ごとに個人情報保護法の見直しを進めてきました。

• 情報を提供する個人の権利意識の高まりに即した個人の権利利益の保護
• 現行法制定時に特に重視された保護と利用のバランスの推進
• 個人情報のグローバルな利用の増加を踏まえた国際的な制度調和・連携
• 個人情報を取扱う外国事業者に対するリスクに対応する制度への見直し

今回の改正は、この3年ごと見直しの過程で、上記のように得られた共通の視点を反映したものです。今後、企業は、消費者の権利を保護すると共に、この改正法によって課される義務への備え対応策を検討していく必要があります。 変更のポイントは大きくわけて6つとなります。

①本人の権利保護が強化

• 利用停止や消去等の個人の請求権について、これまでの「不正取得等の⼀部の法違反の場合」に加えて、「個人の権利または正当な利益が害されるおそれがある場合」にもデータの利用停止や消去が請求可能になります。
• 保有個人データの開示方法について、本人が希望すれば電磁的記録での提供が選べるようになります。また第三者提供記録について、これまでできなかった本人による開示請求が可能になります。よって請求がこれまでよりも簡単にできるようになります。
•  6ヶ月以内に消去する短期保存データについても、保有個人データと同様に開示、利用停⽌等の対象となります。プライバシーマークでは既に対象でしたので、大きく運用が変わることはありません。

②事業者の責務が追加

• 漏えい時の報告義務について、漏えい等が発生し、個⼈の権利利益を害するおそれがある場合に、個人情報保護委員会への報告及び本人への通知が義務化されます。
• 不適正な利用の禁止について、違法または不当な行為等の不適正な方法により個人情情報を利用してはならない旨を明確にします。また個人情報漏えい時に個人情報保護委員会への報告が義務化されるようになります。

③企業の特定分野を対象とする団体の認定団体制度が新設される

• 現行法では「事業分野」単位での縦割りの民間団体にのみが認定制度の対象となっていましたが、改正によって各事業者の「部門」単位で組織される民間団体も認定の対象となります。現行制度に加えて、特定分野での認定を受けることで、分野ごとの個人情報保護推進を高める狙いがあります。

    出典：個人情報保護委員会「改正法に関連するガイドライン等の整備に向けた論点について（認定個人情報保護団体制度）」

④データ利用活用の促進

• イノベーションを促進する観点から、氏名等を削除した「仮名加工情報」を創設し、内部分析に限定する等を条件に、開示利用停止請求への対応等の義務を緩和します。「仮名加工情報」とは、他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報です。これとは別に既に「匿名加工情報」という用語がありますが、こちらも特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものです。匿名加工情報は、加工により元の個人情報を「復元できない」ようにすることが求められるのに対し、仮名加工情報は、他の情報との照合により元の個人情報が復元されることは許容されているため、その加工基準は、より簡便なものになります。
• cookieの第三者提供において提供先で個人情報となる場合、本人の同意取得が必要となります。

⑤法令違反に対するペナルティが強化

• 委員会による命令違反・委員会に対する虚偽報告等の法定刑が引き上げられます。 例えば、命令違反は現在、6月以下の懲役又は30万円以下の罰金ですが、これが1年以下の懲役又は100万円以下の罰金になります。
• データベース等不正提供罪、委員会による命令違反の罰金についても、法人に対しては罰金の最高額（1億円以下）に引き上げられることとなります。

⑥外国の事業者に対する、報告徴収・立入検査などの罰則が追加

• 日本国内にある者に係る個人情報などを取り扱う外国の事業者も、罰則　によって担保された報告徴収・命令および立入検査などの対象となります。
• 旧法の下では、報告徴収や立入検査、命令に関する規定が外国の事業者に　対しては適用されていませんでしたので、個人情報保護委員会の行使できる権限は指導や助言、勧告のような強制力を伴わないものに限られていましたが、今回の改正により、外国の事業者の不適切な取扱いに対して、より実効的な措置を実施されることとなります。

これを受けて運用の見直しが必要となってきます。
企業のチェック項目は下記です。自社の現状確認をしっかり行うことが大切です。  

チェック①

個人情報の漏えいや不正利用時等に、自社で現在どのような対応を行っているのかを整理し、現行の社内規程やプライバシーポリシー等の記載内容を確認  

チェック②

ホームページやシステムの内容、DM、メール配信停止等の対応の確認  

チェック③

書面の記載内容、DM、メール配信停止等の対応の確認  

チェック④

従業者・対応者からの質問・実務対応上困難を感じている点などの確認  

チェック⑤

各方面契約状況（漏えい等対応）   改正個人情報保護法への適切かつ確実な対応に向け、現状把握→改正個人情報保護法と比較し対応策の導入の３つのストーリーで進めていく形となります。 大まかには下記のような形になると思います。  

■スケジュール

公表されたからすぐに対応ではありません。2022 年 3 月 31日までの運用記録は現行基準・現行法の実績が確認されますのでご注意ください。 プライバシーマーク制度においては、2022 年 4 月 1 日以降に申請予定の付与事業者、プライバシーマークの有効期限が 2022 年 12 月 1 日以降の事業者様は新ルールが適用されます。 2022 年に改正される個人情報保護法は、これまでの運用を見直す良い機会だと捉えていきましょう。そして審査という視点だけではなく、企業がこれからの時代、どのように個人情報・個人データを捉え対応していかなければならないのかを考える期間にすると良いと思います。