幻冬舎ウェブマのWebマーケティング情報ブログ

Webマーケティングの基礎や参考事例をわかりやすく解説・紹介しています。

2017年7月19日

【後編】中小企業こそチェックすべき 改正個人情報保護法のポイントまとめ

本記事では、前編に続き、改正個人情報保護法のポイントを紹介します。

改正個人情報保護法のポイント⑦個人情報委託先を監督する

個人情報の取り扱いを委託する場合は、自社の安全管理措置と同等の管理を、委託先も行っているのかどうか監督しなければなりません。委託契約を結ぶ際には、安全管理措置について確認できる条項を設ける必要があります。確認内容については主に以下の7項目が挙げられます。

1:業務委託の内容
2:利用目的の明記
3:安全措置管理
4:定期的な監査
5:再委託(孫請け)の可否
6:漏洩発生時の責任
7:契約終了時の個人情報の取り扱い

改正個人情報保護法のポイント⑧個人情報を第三者に提供することを制限する

第三者に個人情報を渡す場合には、あらかじめ本人の同意を得る必要があります。ただし、下記23条1項の場合は例外となります。

23条1項──────────────────────────
1】法令に基づく場合
2】人の生命、身体、または財産の保護のために必要であって、本人の同意を得ることが難しい場合(例:車のリコールや、給湯器の不良などを知らせるために、個人情報を販売店から得ること)
3】公衆衛生の向上、または児童の健全な育成推進のために、特に必要であって、本人の同意を得ることが難しい場合(例:児童虐待を防止するために児童や保護者の個人情報を得ること)
4】国の機関もしくは地方公共団体またはその委託を受けた者が法令の定める事務を遂行するに対して協力する場合(例:税務署から任意の顧客情報の提出を求められたとき)
──────────────────────────
また、以下のオプトアウトの方式を使えば、本人の同意を得ずに個人データを第三者に渡すことができます。この主な対象者はいわゆる名簿業者ですので、その他の方は読み飛ばしてもいいでしょう。
──────────────────────────
※第三者への提供のオプトアウトとは

1:個人情報の利用目的の内容に、第三者への提供を含める必要があります。
2:本人への通知
本人に分かりやすい場所に、適切な期間、下記の内容を表示しておくこと。
A:第三者への提供を利用目的に含める
B:第三者に提供する個人データの内容の表示
C:第三者への提供の方法の表示
D:本人の求めに応じて第三者への提供を停止できること
E:上記本人の求めを受け付ける方法の表示
3:上記A~Eの内容を個人情報保護委員会に届け出なければなりません。

具体的には下記URLのページをご覧ください。
https://www.ppc.go.jp/personal/legal/optout/

※ただし、今改正から指定された「要配慮個人情報」に関しては、オプトアウトの方式での提供はできません。この要配慮個人情報とは、「本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実そのほか他人に対する不当な差別、偏見その他の不利益が生じる」ような、特に配慮しなければいけない個人情報です。
──────────────────────────

改正個人情報保護法のポイント⑨外国の第三者へ個人情報を提供する際の制限

外国にある第三者へ個人情報を提供する場合には、この旨に関して、本人の同意を得なければなりません。海外のサーバーに個人情報を置く場合も該当します。
これは、保護水準の低い海外に個人情報が移転された場合、いったん情報が漏洩されてしまうと防ぎようがないという観点から作られたものです。ただし、例外として先述の23条1項に当てはまる場合は、この限りではありません。

改正個人情報保護法のポイント⑩個人情報を第三者に提供したり提供を受けたりする際の確認

第三者から個人情報の提供を受ける場合には、第三者がどのように個人情報を取得したのか、その経緯を把握する義務を負い、個人情報を提供、または取得する場合においては、第三者の氏名を記録しなければなりません。
この法の目的は違法行為が発覚際、どの段階で違反したのか追跡できるようにするためです。

改正個人情報保護法のポイント⑪本人の求めに応じ、取得した個人データを開示する

企業がどのような情報を取得しているのかを確認したいとき、本人から開示を申請することができます。さらにこの請求に企業が応じない場合は、訴訟を起こすことができます。
企業がこの請求を拒否しない場合でも、本人の求めから2週間が経過すれば裁判所に訴えることができます。この2週間とは、祝日を除いた日数で計算します。

改正個人情報保護法のポイント⑫求めに応じて、個人データの訂正、削除を行う

「削除」とは必要のない一部データのことで、全てのデータを消すことではありません。「利用目的に必要のない」情報の削除申請、正しくない情報の訂正申請ができます。この申請に対して企業が拒否したり、本人の求めから2週間が経過したりした場合は、訴訟することができます。

改正個人情報保護法のポイント⑬個人情報の利用停止請求に応じる

保有している個人データが利用目的制限に違反している場合や、適正な取得方法を経ていない場合は、本人の求めに応じて個人データの利用停止、もしくは消去をしなければなりません。
ここでの「消去」とは、完全に消去することのほかに、個人を特定できない加工情報にすることも消去に含まれます。
逆に言うと、適正に取得し、通知したとおりの目的で使用している分には、消去しなくてもいいということです。個人として個人情報を提供する際は、十分注意するべきともいえます。
また、個人情報を利用しなくなった際には消去する義務があります。こちらも注意してください。

最後に

今回の改正で対応が必要なのは、今まで対応してこなかった小規模事業者です。
他社のプライバシーポリシーをコピーして済ませてしまうと、今回の改正には対応できません。
法律と聞くと頭が痛くなりますが、基本的な考え方を押さえるだけであれば、それほど時間のかかるものではありません。逆に言えば、これだけを知っておけばいいものですので、一度見直してみてはいかがでしょうか。
当社でも今回の改正に合わせたプライバシーポリシーを作成いたしましたので、ぜひご参考ください。

ブログトップへ戻る