(第2回)
今回は、令和4年(2022年)改正のポイントに沿い、実務担当者が行うべき具体的な内容を挙げていきます。
漏洩等報告、本人通知の手順の整備
従来、個人情報の漏洩が発生した場合、個人情報保護委員会への報告及び本人への通知は、努力義務でした。
令和4年(2022年)改正に伴い、個人の権利利益を害するおそれが大きい事態については、個人情報保護委員会への報告及び本人への通知が義務化されました。
個人の権利利益を害するおそれが大きい事態とは、要配慮個人情報の漏洩等、財産的被害のおそれがある漏洩等、不正の目的によるおそれがある漏洩等、1,000件を超える漏洩等です。
このため、漏洩が発生したときの漏洩等報告、本人通知の担当者の決定、漏洩事故発生時のマニュアル作成等が求められます。
個人データを外国の第三者へ提供しているか確認
従来、個人データを外国にある第三者へ提供する場合、本人の同意を得たら、基準に適合する体制を整備した事業者に提供が可能でした。
令和4年(2022年)改正に伴い、本人の同意を得るときに、本人に移転先の所在国の名称、当該外国における個人情報の保護に関する制度、移転先が講ずる個人情報の保護のための措置を通知することが義務化されました。
このため、現に個人データを外国にある第三者へ提供している事業者は、本人に通知を行わないといけません。
安全管理措置を公表する等、本人の知り得る状態に置く
元々は、事業者の名称、利用目的、開示請求等の手続き、苦情の申出先等を公表事項として規定していましたが、安全管理措置の公表等が追加されました。
そして、その公表内容は、本人の知り得る状態に置かないといけません。
本人の知り得る状態とは、本人からの求めに応じて遅滞なく回答することを含みます。
保有個人データを棚卸し、開示請求等に備える
従来、保有個人データの開示方法は、書面による交付が原則でしたが、令和4年(2022年)改正に伴い、電磁的記録の提供を含め、本人が指示できるようになりました。
このため、事業者は、保有個人データを棚卸し、開示請求等に速やかに対応できるように備えなくてはいけません。
個人情報を不適正に利用していないか確認
当然のことですが、法令遵守のため、個人情報を不適正に利用していないか厳重に確認を行います。
自社の従業員は勿論のこと、個人情報を提供している取引先等への確認も怠らないようにしてください。
個人関連情報の利用状況や提供先の確認
個人関連情報とは、生存する個人に関する情報で、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものです。
この個人関連情報の利用状況や提供先の確認を行い、適切な漏洩防止の対策を講じてください。