2022年4月に施行された改正個人情報保護法ですが、企業や組織にとっても個人情報の取扱い方の変更が必要になっています。
今回のコラムでは、6つの見直しポイントの後半を紹介します。
前半のコラムはこちら
まず初めに、プライバシポリシーとは何でしょうか?
プライバシーポリシーとは、個人情報についてその情報取得や利用、管理などに関する取り扱いの方針を明文化したものです。
個人情報保護法においては、作成や公表の義務はありませんが、企業・組織のコンプライアンスやガバナンスの向上のために作成されています。
インターネット上には様々なサンプルがありますが、今まではあいまいだった部分が改正個人情報保護法によりや具体的な対策を求められるようになりました。
自社のプライバシーポリシーの見直しの一助にしていただけると幸いです。
4.共同利用がある場合の通知事項の追加
第三者への提供については、オプトアウトによる第三者提供をする個人情報取扱事業者の個人情報保護委員会への届出義務等ありますが、共同利用や委託業務では本人の同意を得ずに第三者提供ができます。
ただし、共同利用の際には本人が一定の情報を知り得る状態にしておく必要があります。
一定の情報とは下記の内容となりますので、プライバシーポリシーに明示する必要があります。
・共同利用をする旨
・共同して利用される個人データの項目
・共同して利用する者の範囲
・利用する者の利用目的
・当該個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
5.仮名加工情報に関する公表事項の追加
今回の改正法で「仮名加工情報」の概念が新設されました。
仮名加工情報とは、『他の情報と照合しない限り、特定の個人を識別することができないように個人情報を加工した個人に関する情報』のことです。
仮名加工情報の変更は自由に行うことができ、本人同意も不要です。また、委託や共同利用が可能ですが、第三者提供は禁止されています。
他の情報との照合により個人情報に復活させることは禁止されています。
プライバシーポリシーへの対応では、利用目的の公表義務はありますが、個人情報漏えい時の報告と開示、利用停止等の対象にはなっていません。
6.個人関連情報規制を受けるケースでの同意取得
今回の改正法で「個人関連情報」の概念が新設されました。
個人関連情報とは、Cookie等の『識別子に紐付けられた閲覧履歴やアプリ上での行動履歴、趣味嗜好などのデータ』のことです。
Cookieなどの情報は、他の情報と照合することにより容易に特定の個人を識別することができる場合があるからです。
しかし、個人データを第三者へ提供する度に通知を行うのは困難なため「本人が予測できる範囲において包括的に同意を取得することも可能である」とガイドライン内で明示されています。
自社のシステム内(ホームページの問合せなども含む)でCookieを利用して個人情報に紐づくアクセス履歴を取得している場合には該当のページやプライバシーポリシーでの公表が必要になります。
《書き方》
・取得した閲覧履歴や購買履歴等の情報を分析して、趣味・嗜好に応じた新商品・サービスに関する広告のために利用いたします。
・取得した行動履歴等の情報を分析し、信用スコアを算出した上で、当該スコアを第三者へ提供いたします。
いかがだったでしょうか。
プライバシーポリシーの策定、改定は大切なことですが、さらに大切なのは従業員や職員のみなさんにルールを守っていただくことです。
取扱いのルールとともに、情報漏えい事故が発生した場合の対応も重要です。
結論:個人情報の取り扱いは組織全体の認識一致が重要!
プラスエス(+S)はお客様にさまざまな”S”を提供します。
Satisfaction、Solution、System、Support、Security、Smile & Sun