個人情報保護法改正が改正され、プライバシーポリシー等で追加公表すべき事項が追加されます。
(1)安全管理措置の内容
法改正により、6か月を超えて保有する個人データ(保有個人データ)に関し、「保有個人データの安全管理のために講じた措置の内容」を公表すべきことになります(個人情報保護法施行令10条1号)。
ただし、公表することにより、保有個人データの安全管理に支障を及ぼすおそれがあるもの(例えば、企業で講じている情報セキュリティ対策の詳細等。)は除きます。
プライバシーポリシーに記載する際の内容(表現)ですが、例えば、次のような内容を記載するだけでは不十分で、具体的な安全管理措置の内容を公表すべき、とされています。
(不十分な記載例)
・ 当社では、保有個人データに関し、『個人情報の保護に関する法律についてのガイドライン(通則編)』に沿って安全管理措置を実施しています。
プライバシーポリシーにどのように記載するかは、事業の規模、性質、個人情報の取扱状況によって異なりますが、「個人情報の保護に関する法律についてのガイドライン(通則編)」の「(別添)講ずべき安全管理措置の内容」などで詳しく解説されていますので、参考としてください(下記URLをご参照ください。)。
https://www.ppc.go.jp/files/pdf/211116_guidelines01.pdf(2)外国の第三者に個人データを提供している場合の本人への情報提供
企業が、外国の第三者に個人データを提供することができるのは、①本人の同意を得た場合、②EU及び英国の第三者に提供する場合、③個人情報保護委員会規則で定める基準に適合する体制を整備している第三者に提供する場合、④法令等に基づく場合、のいずれかの場合に限られます(個人情報保護法28条)。
この内、①本人の同意を得た場合、として外国に個人データを提供する際、改正法の施行後は、本人に対し、あらかじめ、(ア)提供先である外国の国名、(イ)当該外国の個人情報保護制度に関する情報、(ウ)第三者(提供先)が講ずる個人情報の保護のための措置に関する情報、を提供しなければなりません(個人情報保護法施行規則17条)。
本人に(ア)の情報が提供できない場合、上記の(ア)と(イ)の情報の提供に代えて、(ア)外国名が特定できない旨とその理由、(イ)他に参考となる情報、を提供する必要があります。
プライバシーポリシーを改訂してホームページに掲載し、本人に閲覧させること等により、上記の(ア)(イ)の情報を本人に提供することができます。
他にも、改正法施行後、本人から請求があったときは、外国の第三者による体制の整備の方法、外国の第三者が実施する措置の概要といった一定の情報を、遅滞なく本人に提供しなければならないとされています(同規則18条)。このため、本人から請求があったときの対応についても、準備が必要となります。
なお、外国にあるクラウド事業者については、契約上、個人データを取り扱わない旨が定められており、適切なアクセス制御を行っている場合等は、個人データの提供を受けて取り扱っているとはいえず本規制は及ばない場合があります。
体制の整備や措置の内容等、外国の第三者への個人データの提供については、「個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)」で詳しく解説されていますので、参考としてください(下記URLをご参照ください。)。
https://www.ppc.go.jp/files/pdf/211029_guidelines02.pdf(3)オプトアウトによる第三者提供
オプトアウトによる第三者提供(一定の事項を本人にあらかじめ通知又は公表し、個人情報保護委員会に届けた場合に、あらかじめ本人の同意を得ることなく、個人データを第三者に提供できる仕組み。)により個人情報を第三者に提供している場合、これまでの通知・公表事項に、次の事項が追加されます(個人情報保護法27条2項、個人情報保護法施行規則11条4項)。
① 第三者への提供を行う個人情報取扱事業者の氏名・名称・住所・代表者名
② 第三者に提供される個人データの取得方法
③ 規則で定める事項(個人データの更新の方法、第三者への提供を開始する予定日)
オプトアウトによる第三者提供をしている場合には、プライバシーポリシーを改訂し、上記の事項を追加するなどの対応が必要です。
以 上