気づけば桜も散ってしまい、暖かい日々が続いていますね。不思議と今年はさほど花粉を感じることなく過ごせています。
2022年4月に個人情報保護法が一部改正されたのはご存知でしょうか?弊社はプライバシーマークを取得しているので、私のお勉強のためにもご紹介したいと思います。

〜個人情報の利用と情報提供についての強化〜

1. 利用目的の特定
現行法では「個人情報を取り扱うにあたっては、その利用の目的…を「できる限り」特定しなければならない」とあります。この「できる限り」って言葉、すごく曖昧ですよね。今回の改正ではより厳しく「人が…合理的に予測・想定できないような場合は、…できる限り利用目的を特定したことにはならない」と示されました。
・・・うーん、日本語がさらに難解になりました!(滝汗)
つまり、多くの企業のプライバシーポリシーには「お客さまのプライバシー情報を〜〜のために利用します」とは記載があっても、お客さまの個人情報のうちどれを利用しているかは特定されていないので、明確にしてくださいということなのでしょう。

2. 保有個人データ
保有個人データの公表事項に「事業者の氏名又は名称」から「事業者の氏名又は名称、住所、代表者の氏名」の記載が必須になりました。
■保有個人データとは?
個人情報取扱事業者が以下の対応を実施できる権限を持った個人データを指します。
開示、内容の訂正、追加・削除、利用の停止、消去、第三者への提供の停止
この内容に関しては、解釈そのまま「事業者の氏名又は名称、住所、代表者の氏名」を記載しなきゃだめよということです。

3. 外的環境の把握
海外に商品を保管している場合や、委託している場合は国名を特定し、その国の個人情報保護制度を把握しなければなりません。それをした上で安全管理措置を実施している旨を記載し、本人が知りうる状態にしておかなければならないとのことです。
色々周りくどい言い方になってしまっていますが、雰囲気は感じ取っていただけたと思います。(おそらく)

4. 不適正利用の禁止
改正では、違法または不当な行為を助長し、または誘発するおそれがある方法での利用を禁止する、とあります。
改正前は、利用目的を特定すれば企業や個人情報取扱事業の個人情報の取扱い方法自体への規制がなかったので、今回の改正で個人情報の利用そのものにまるっと規制がかかるようになりました。
ところで・・・「助長し、または誘発するおそれ」とはどんな場合でしょうか?
ガイドラインには以下のように書かれています。
・法令違反
・社会通念上適正とは認められない行為
違法行為だと分かってながら利用する、また、自己提供の際も同様に違法に利用されることが推測できるのにも関わらず提供先に対して個人情報を提供することも「助長または誘発のおそれ」の例になります。
・・・どうも簡潔にしようにも難しいですね。私なりに噛み砕いてみましたが、いかがでしたか?

少々堅苦しい話になってしまいましたが、まだ続きはあるのでPartⅡ、PartⅢくらいまで書きたいと考えています。
次回もお楽しみに(^^)/ #プライバシーマーク #個人情報保護法改正 #2022年4月