2022年4月に施行された改正個人情報保護法ですが、企業や組織にとっても個人情報の取扱い方の変更が必要になっています。
今回のコラムでは、企業や組織が公表しているプライバシーポリシーの見直しポイント6つを2回にわたって紹介します。
まず初めに、プライバシポリシーとは何でしょうか?
プライバシーポリシーとは、個人情報についてその情報取得や利用、管理などに関する取り扱いの方針を明文化したものです。
個人情報保護法においては、作成や公表の義務はありませんが、企業・組織のコンプライアンスやガバナンスの向上のために作成されています。
インターネット上には様々なサンプルがありますが、今まではあいまいだった部分が改正個人情報保護法によりや具体的な対策を求められるようになりました。
自社のプライバシーポリシーの見直しの一助にしていただけると幸いです。
1.利用目的の明確化
個人情報の利用目的を「できる限り特定しなければならない」とありますが、具体的には下記のような定義となります。
『本人において、自らの個人情報がどのように事業に利用され、どのような目的で利用されるのかについて一般的かつ合理的に予測・想定できる程度に特定すること』
具体的で本人にとって分かりやすいものであることが明示されなければなりません。
《具体的に利用目的を特定している書き方》
・当社の○○事業における商品の発送、関連するメンテナンスサービス、新商品や新サービスに関する情報のお知らせのために利用いたします。
《具体的ではない書き方》
・当社の事業活動のために利用します。
・今後のマーケティング活動や分析のために利用します。
2.保有個人データの公表事項の追加
事業者の氏名又は名称のみの公表となっていましたが、改正個人情報保護法では下記の内容が必要になりました。
・個人情報取扱事業者の氏名又は名称
・個人情報取扱事業者の住所 (追加)
・個人情報取扱事業者である法人の代表の氏名 (追加)
・保有個人データの安全管理のために講じられた措置 (追加)
「保有個人データの安全管理のために講じられた措置」については、安全管理措置を講じる義務は以前からありました。
しかし、今回の改正法では『安全措置の具体的な内容について本人が知り得る状況にしておく必要がある』ため、その内容をプライバシーポリシーに明示(公表)しなければなりません。
本人が知りえる状況とは、「ホームページへ掲載や紙面配布をによって本人が知ろうとすれば知ることができる状態におくこと」です。
3.保有個人データの取り扱いに関する請求対応の義務化
開示請求関する対応については原則として書面の交付での方法のみでしたが、改正法では電磁的記録の提供を含め本人が指示した方法により開示しなければならないことになりました。
顧客データの厳密な管理も現行以上に行う必要があります。
また、個人データを利用する必要がなくなった場合に、本人が事業者に対し開示・訂正等・利用停止を請求することができるようにもなりました。
《書き方》
当社はご本人様から個人情報の照会・訂正・利用停止・消去等のご要望をいただいた場合には、所定の手続でご本人様であることを確認のうえ、速やかにに対応いたします。
次回は以下3つのポイントについて紹介します。
4.共同利用がある場合の通知事項の追加
5.仮名加工情報に関する公表事項の追加
6.個人関連情報規制を受けるケースでの同意取得
結論:個人情報の取り扱いは組織全体の認識一致が重要!
プラスエス(+S)はお客様にさまざまな”S”を提供します。
Satisfaction、Solution、System、Support、Security、Smile & Sun
