第1 保有個人データに関する事項の公表
事業者は、一定の場合、本人からの保有個人データ(※1)に関する開示請求や訂正・消去・利用停止請求、第三者提供の停止請求に応じる必要があります。本人がこのような請求を行うための実効性を確保するために、事業者は、保有個人データに関する以下の事項について本人の知りうる状態に置くべき義務が定められています。
以下のうち①及び④については令和2年改正により追加されていますので、改正法の施行までの間にプライバシーポリシーの改定が必要となります。
① 個人情報取扱事業者の氏名又は名称 令和2年改正により、氏名又は名称だけでなく、住所並びに法人にあっては、その代表者の氏名についても本人の知りうる状態に置く必要があります。 ② 全ての保有個人データの利用目的 ③ 保有個人データの利用目的の通知の求め又は開示請求、訂正等請求、利用停止等請求もしくは第三者提供停止請求の規定による請求に応じる手続 ④ 保有個人データの安全管理のために講じた措置 令和2年改正前では公表事項ではありませんでしたが、令和2年改正後では追加されました。 ⑤ 保有個人データの取扱いに関する苦情の申出先 ⑥ 個人情報取扱事業者が認定個人情報保護団体の対象事業者である場合には、当該認定個人情報保護団体の名称及び苦情の解決の申出先 |
(※1)保有個人データとは、「開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの又は一年以内の政令で定める期間以内に消去することとなるもの以外のもの」(法第2条第7項)をいいます。例えば、個人データの取扱いの委託を受けているに過ぎないようなケースについては、委託元から独立して開示等の権限を有することは通常ないものと考えられ、このような場合は保有個人データには当たらないこととなります。
令和2年改正前の個人情報保護法では、1年以内の政令で定める期間について6か月と定められており、6か月以内に消去される個人データ(いわゆる、短期保有個人データ)については保有個人データに該当しないとされていました。改正個人情報保護法では、「又は一年以内の政令で定める期間以内に消去することとなるもの以外のもの」との文言が削除されており、短期保有個人データについても保有個人データに該当することとなります。
第2 プライバシーポリシーの改定
一定規模以上の会社では、個人情報保護に関する基本方針や個人情報の利用目的、それから先ほど説明した個人情報保護法において本人の知りうる状態に置く必要があるとされている事項等について、ウェブサイト上に掲載して公表しています。「個人情報保護方針」であったり、「プライバシーポリシー」といった名称で公表している会社もあります。以下では、プライバシーポリシーという用語を使用しますが、名称によって法的効果が変わるわけではありません。
先ほど説明したように、令和2年改正個人情報保護法では、公表事項に①個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名が追加されることとなりましたので、形式的なところですが、この点を加筆するようにプライバシーポリシーを改定する必要があります。
次に、④保有個人データの安全管理のために講じた措置についても公表することが求められることになりましたので、この点についても改定が必要となります。もっとも、保有個人データの安全管理のために講じた措置について、一体どの程度まで公表する必要があるのかが問題となります。
この点、例えば、保有個人データの安全管理のために講じた措置として、データの保管場所や管理体制を余りに詳細に公表してしまうと、そのこと自体によって不正アクセスの危険が高まることにもつながりかねませんので、あまりに詳細に規定することは好ましくありません。
私見としては、以下の程度の記載で特に問題は生じないのではないかと思います。以下の程度の記載でも一応個人情報保護委員会のガイドライン通則編が求める安全管理措置の項目(組織的安全管理措置等)を網羅しています。
もっとも、実際の改定に当たっては他会社のものを参考にしながら改定しておくことをお勧めします。
(例) (安全管理措置) 第●条 当社は、個人情報の紛失・破壊・改ざん・漏えいの防止その他個人情報の安全管理のために、規程の整備・改定を行っていくとともに、組織的、人的、物理的、技術的な安全管理措置を適切に講じています。 |
第3 まとめ
改正個人情報保護法では法定公表事項に改正があり、例えば個人情報取扱事業者の氏名又は名称だけではなく、住所並びに法人である場合代表者の氏名についても公表することが求められます。したがいまして、形式的な面ですが、改正個人情報保護法の施行日までにプライバシーポリシーの改訂が必要です。
また、改正個人情報保護法では安全管理措置についても公表することが求められるようになりましたが、どの程度詳細に公表するべきであるかは難しい問題です。ガイドラインに記載例が載っていますので確認が必要です。改正個人情報保護法に対応している他社例を参照するのも一つの有用な手段だと思われます。