目次

  1. 改正個人情報保護法の施行日はいつ?
    1. 改正個人情報保護法の公布日・施行日
    2. 改正の背景・理由
  2. 改正個人情報保護法6つのポイント
  3. ポイント1 本人の請求権の拡充等
    1. 利用停止・消去等の請求権の拡充
    2. 保有個人データの開示方法のデジタル化
    3. 第三者提供記録の開示
    4. 短期保存データの保有個人データ化
    5. オプトアウト規制の強化
  4. ポイント2 事業者の義務・公表等事項の追加
    1. 漏えい等発生時の報告等義務
    2. 不適正利用の禁止
    3. 公表等事項の追加
  5. ポイント3 新たな情報類型の創設
    1. 仮名加工情報制度の創設
    2. 個人関連情報制度の創設
  6. ポイント4 部門別の認定個人情報保護団体の制度化
  7. ポイント5 ペナルティの強化
  8. ポイント6 外国事業者関係
    1. 外国事業者に対する権限強化
    2. 外国事業者に対する第三者提供時の情報提供等
  9. 改正法の対応はお早めに

 2020年6月に成立・公布され、2022年4月1日に全面施行を迎える改正個人情報保護法は、個人の権利意識の向上と技術革新の調和の観点等から、個人の権利の在り方や事業者の守るべき責務の在り方を大きく見直しました。

 個人情報保護法は、デジタル改革関連法案の一つとして、2021年5月にも改正法が成立・公布されています。これは官民を通じた個人情報保護法制を見直す改正で同様に重要なのですが、この記事は、民間企業にとって、より影響の大きい2020年改正法を対象とするものです。

 以下、2020年に成立・公布された2020年改正法を「改正個人情報保護法」または「改正法」と定義して説明します。

 まずは改正に至る経緯を見ていきましょう。

 改正個人情報保護法は、2020年3月10日に閣議決定され、同日国会に提出された後、衆参院で可決。同年6月12日に公布されました。

 その全面施行の日は2022年4月1日と定められています。

2017年5月 現行個人情報保護法(2015年公布)の全面施行
 その際に3年以内に「見直し」をする旨の規定が設けられる。
2020年3月10日 改正個人情報保護法が閣議決定
2020年6月12日 改正個人情報保護法公布
2022年4月1日 改正個人情報保護法全面施行(一部先行施行あり)

 なお改正の経緯ですが、今回の改正に先立ち、ビッグデータを念頭に置いた個人情報の保護と利活用のバランスを図る改正が2015年に行われ、2017年5月に施行されています(以下「現行法」といいます)。

 その際、施行後3年ごとに見直しを行う旨の規定が設けられたという経緯から(現行法附則12条)、施行から3年後に当たる2020年に改正個人情報保護法が成立・公布されるに至ったというわけです。

 改正個人情報保護法が制定された背景には、大きく分けて以下の視点があります。

  • 情報を提供する個人の権利意識の高まりに即した個人の権利利益の保護
  • 現行法制定時に特に重視された保護と利用のバランスの推進
  • 個人情報のグローバルな利用の増加を踏まえた国際的な制度調和・連携
  • 個人情報を取扱う外国事業者に対するリスクに対応する制度への見直し

 個人情報保護委員会は、いわゆる3年ごと見直しに向けて、個人情報保護をめぐる国内外の政策、技術、産業等の状況について意見の分析やヒアリングを実施し、今回の改正では、これらの視点が反映されたものになっています。 

 改正個人情報保護法のポイントは大きく以下の6つに分けることができます。

  1. 本人の請求権の拡充等
  2. 事業者の義務・公表等事項の追加
  3. 新たな情報類型の創設(仮名加工情報・個人関連情報)
  4. 部門別の認定個人情報保護団体の制度化
  5. ペナルティの強化
  6. 外国事業者関係(域外適用・第三者提供時の情報提供等)

 以下、ポイントごとに見ていきましょう。

 なお、以下では、個人情報保護委員会による改正後の「個人情報の保護に関する法律についてのガイドライン(通則編)(案)」を「通則GL案」とします。

要配慮個人情報のみ、オプトアウトによる第三者提供の対象外​
No. 現行法 改正法
1-1 本人による利用停止や消去等の請求権を、法律違反の場面に限定 現行法の内容に加えて、
①利用する必要がなくなった場合
②重大な漏えい等が発生した場合
③本人の権利又は正当な利益が害されるおそれがある場合に拡充
1-2 保有個人データの開示は原則書面交付 保有個人データの開示方法について、電磁的記録の提供を含め、本人が指示できる
1-3 第三者提供記録は、本人による開示請求の対象外 第三者提供記録は、本人による開示請求の対象に含まれる
1-4 短期保存データは保有個人データに含まない 短期保存データも個人情報に含まれる
1-5 要配慮個人情報のみ、オプトアウトによる第三者提供の対象外 現行法の内容に加えて、
①不正取得された個人データ、
②オプトアウト規定により提供された個人データ
をオプトアウトによる第三者提供の対象外とする

 ポイント1は「本人の請求権の拡充等」です。

 これは昨今の個人情報に対する意識の高まりを踏まえ、個人の権利利益の保護に必要十分な措置を整備するために設けられた改正内容です。

 ポイント1についての変更点は上図のとおりですが、順を追って見ていきましょう。

No 現行法 改正法
1-1 本人による利用停止や消去等の請求権を、法律違反の場面に限定 現行の場合に加えて、
①利用する必要がなくなった場合
②重大な漏えい等が発生した場合
③本人の権利又は正当な利益が害されるおそれがある場合
に拡充

 現行法下では、利用停止・消去・第三者提供の停止といった請求権を個人が行使できるのは、一定の法律違反がある場合に限られていました。

 しかし、本人が望まない形で個人情報が利用されているにもかかわらず利用停止等の請求ができないことについて、個人情報保護委員会に多くの不満が寄せられていました。

 そこで、本改正では、法律違反の場合に限定せず、個人の権利又は正当な利益が害されるおそれがある場合にも請求権を行使できるように拡充しました。

経営者として押さえておくべきポイント

 法律違反をしていない場合であっても、個人データの利用停止・消去・第三者提供の停止をしなければならない場面があることを押さえておきましょう。

No 現行法 改正法
1-2 保有個人データの開示は原則書面交付 保有個人データの開示方法について、電磁的記録の提供を含め、本人が指示できる

 現行法下では、保有個人データ(事業者が内容の訂正等を行う権限を有する個人データ)の開示方法は、書面の交付による方法が原則とされています。

 さらには、請求者が書面以外の方法による開示を希望しても書面の交付を行うことができました。

 しかし、情報が膨大な場合や音声や動画データを含んでいる場合には書面開示では不具合があることなどに照らし、請求者である個人が、電磁的記録(デジタルデータ)での提供を含め、開示方法を指定することができるよう改正されました。

経営者として押さえておくべきポイント

 今後は、保有個人データの開示に際し、請求者の指定する開示方法で開示する必要があることを押さえておきましょう。

No 現行法 改正法
1-3 第三者提供記録は、本人による開示請求の対象外 第三者提供記録は、本人による開示請求の対象に含まれる

 改正法では、本人が事業者間での個人データの流通を把握し、事業者に対する権利行使を容易にするため、第三者提供記録それ自体の開示請求を認めました。

 これにより、本人は個人データの入手元等を把握したり、自らの個人データが誰に提供されたか等を把握できるようになります。

経営者として押さえておくべきポイント

 第三者提供記録が本人による開示請求の対象となるため、今一度個人データの提供・受領に際しての確認記録義務を実施できているか、見直しを行いましょう。

No 現行法 改正法
1-4 短期保存データは保有個人データに含まない 短期保存データも保有個人データに含まれる

 改正法では、現行法において保有個人データに含まれなかった短期保存データ(6か月以内に削除される個人データ)も個人データに含まれることとなりました。

 これは短期保存データあっても、情報化社会においては瞬時に拡散し、個人の権利利益を侵害する危険性が存在するためです。

経営者として押さえておくべきポイント

 現行法下では、開示等の対応コスト削減の観点で、保有個人データをあえて6か月以内に削除する運用が行っていた企業も少なくありませんでした。今後は短期保存データであっても保有個人データとして開示等の対応を行う必要があることを押さえておきましょう。

No 現行法 改正法
1-5 要配慮個人情報のみ、オプトアウトによる第三者提供の対象外 現行法の内容に加えて、
①不正取得された個人データ、
②オプトアウト規定により提供された個人データ
をオプトアウトによる第三者提供の対象外とする

 個人データを第三者提供するためには本人の同意が必要とされています。

 例外的に、本人の求めに応じて第三者への提供を停止することとしている場合であって、個人情報保護法が定める事項を個人情報保護委員会に届けることで、本人の同意なく第三者提供ができます(オプトアウト)。

 現行法では、要配慮個人情報を除く個人データについては、オプトアウトにより第三者提供できることとされています。

 改正法では、名簿屋間において、名簿の交換が行われている実態等に照らし、さらに、①不正取得された個人データ、②オプトアウト規定により提供された個人データもオプトアウト規定により第三者提供できる個人データの対象外としました。

 なお、オプトアウト規制の強化に関する改正は、全面施行に先立つ令和3年(2020年)10月1日が施行期日と指定されています。

経営者として押さえておくべきポイント

 従前よりオプトアウトの届出を行っている事業者においては、オプトアウトによる第三者提供を行うことができていた個人データが、改正法の元ではオプトアウトによる第三者提供の対象「外」となることを押さえておきましょう。
 また、オプトアウト規制の強化に関する改正については、全面施行に先立つ令和3年10月1日が施行期日とされていることに留意しましょう。

No 現行法 改正法
2-1 漏えい等が発生した際、
①個人情報保護委員会への報告は努力義務
②本人通知は法律上の義務ではない
漏えい等が発生した際、
①個人の権利利益の侵害のおそれが大きい事態については、個人情報保護委員会への報告を義務化
②本人への通知も義務化
2-2 不適正な利用を規律する規定はなし 違法又は不当な行為を助長する等の不適正な方法により個人情報を利用してはならない旨義務化
2-3 代表者の氏名等は公表等事項ではなかった 改正法により以下のとおり公表等事項が追加
・事業者の住所及び代表者の氏名
・利用目的の特定の充実
・安全管理措置の内容
・外国における個人情報の取扱いの委託先

 ポイント2は「事業者の義務の追加」です。漏えい等が発生した際の報告の内容が厳格化されるとともに、新たに不適正な方法により個人情報を利用することが明示的に禁止されました。

No 現行法 改正法
2-1 漏えい等が発生した際、
①個人情報保護委員会への報告は努力義務
②本人通知は法律上の義務ではない
漏えい等が発生した際、
①個人の権利利益の侵害のおそれが大きい事態については、個人情報保護委員会への報告を義務化
②本人への通知も義務化

 改正法下では、従前、努力義務とされていた漏えい等発生時の報告を、一定の場合に義務化するとともに、本人に対して通知を行うことを新たに義務付けました。

 もっとも、一律に報告等義務を課すことは事業者の負担となるため、個人の権利利益の侵害のおそれが大きい類型に限定されています。

 具体的には、①質的に侵害のおそれが大きい類型(要配慮個人情報や財産的被害が発生しうるおそれがある個人データが漏えいするケース)と、②量的に侵害のおそれが大きい類型(漏えい等した個人データに係る本人の数が1000人を超えるようなケース)が報告等義務の対象となります。

 また、報告の方法も速報と確報に分けて報告することが求められており、事案に応じて速やかな対応が必要となりそうです。

経営者として押さえておくべきポイント

 漏えい等が発生した場合に、個人情報保護委員会への報告や本人に対する通知が一定の場合に義務化されました。万一の際には適切に対応できるよう、速やかに顧問弁護士などに相談することが望ましいでしょう。

No 現行法 改正法
2-2 不適正な利用を規律する規定はなし 違法又は不当な行為を助長する等の不適正な方法により個人情報を利用してはならない旨義務化

 現行法下では、個人情報の取得時に適正な取得が義務付けられているだけであり、利用時には利用目的の範囲内での利用という制限しかありませんでした。

 改正法では、これに加え、違法又は不当な行為を助長する等の不適正な方法により個人情報を利用してはならないことが義務化されました。

 これは、いわゆる破産者マップ事件などにおける不適正な利用を受けて規定されたもので、通則GL案30頁以下にもこれを含む具体例が紹介されています。

経営者として押さえておくべきポイント

 個人情報の違法又は不当を助長する等の不適正な方法による利用が明示的に禁止されました。通常の個人情報の取扱いを行う限りは問題ありませんが、ピンときた事業者の方はお早めに弁護士などの専門家にご相談することをおすすめします。

No 現行法 改正法
2-3 事業者の住所や代表者の氏名等は公表等事項ではなかった 改正法により以下のとおり公表等事項が追加
・事業者の住所及び代表者の氏名
・安全管理措置の内容
・利用目的の特定の充実

 本人が、開示請求等を行使して保有個人データに適切に関与することを可能とする前提として、事業者の氏名等の一定の事項が公表等の対象となっています(公表「等」とは、公表はせずに求めに応じて遅滞なく回答することを含みます)。

 ポイント1でお伝えしたとおり、改正法では本人の請求権の範囲が拡充されていますが、更にこの実効性を担保するために、従前公表等事項に含まれていなかった事業者の住所や、法人の場合における代表者の氏名が公表等事項に追加されました(共同利用の場合も同様)。

 同様に、事業者が保有個人データについて講じている安全管理措置の内容も、改正法の施行令において公表等事項に加えられました。

 その他、プロファイリングやスコアリングなど、本人から得た情報から、本人に関する行動・関心等の情報を分析する場合、どのような取扱いが行われているかを本人が予想・想定できる程度に利用目的を特定しなければならないことが、通則GL案で明記されました(同27頁)。

 また、公表方法については、これらの公表等事項を記載したプライバシーポリシーを自社HP上に公表する方法で行うことが一般的です。

 そのため、多くの企業では、今回の改正法での公表等事項の追加に伴い、プライバシーポリシーの見直しが必要となるでしょう。

経営者として押さえておくべきポイント

 自社のプライバシーポリシーに記載すべき事項に修正・追加が必要となる可能性が高く、改正法の全面施行日までに弁護士に相談し、プライバシーポリシーの見直しを行いましょう。

No 現行法 改正法
3-1 個人情報を単に仮名化(匿名加工基準を満たさない程度の匿名化)した情報は、引き続き「個人情報」であり、事業者は個人情報の取扱いに関する各種の義務を負う 個人情報を仮名加工した情報を「仮名加工情報」と新たに定義し、匿名加工基準を満たさない程度の加工がなされた情報であっても、個人情報と異なる取り扱いを行うこととした
3-2 提供元で個人データに該当しない情報であれば、提供先において個人データとなることが想定された場合でも規制の対象にはなかった 提供元で個人データに該当しないものの、提供先において個人データとなることが想定される情報(個人関連情報)の第三者提供について、本人同意が得られていること等の確認を義務付けることとした

 ポイント3は新たな情報類型の創設(仮名加工情報・個人関連情報)です。

 現行法(2015年改正法)では、新たにデータ利活用の観点から「匿名加工情報」制度が創設されています。

 一方、今回の改正法では、①匿名加工基準に至らない程度の「仮名加工」がなされた情報を「仮名加工情報」として規律するとともに、②特定の個人を識別できない形で取り扱われているインターネットの閲覧履歴、位置情報、Cookie等の情報を念頭に置いた「個人関連情報」制度が創設されました。

 背景を含めて重要なパートですので、詳しく説明します。

No 現行法 改正法
3-1 個人情報を単に仮名化(匿名加工基準を満たさない程度の匿名化)した情報は、引き続き「個人情報」であり、事業者は個人情報の取扱いに関する各種の義務を負う 個人情報を仮名加工した情報を「仮名加工情報」と新たに定義し、匿名加工基準を満たさない程度の加工がなされた情報であっても、個人情報と異なる取り扱いを行うこととした

現行法下での取扱い

 2015年改正法により創設された「匿名加工情報」の制度は、個人情報を特定の個人を識別できないように加工した情報について、一定のルールの下で本人の同意を得ることなく目的外利用及び第三者提供を可能とするものです(事務局レポート9頁)。

 他方で、「匿名加工情報」に該当するには個人情報保護法及び同施行規則が定める匿名加工基準を満たす必要があり、単に「氏名」を削除するなどの仮名化をしたにすぎない情報は、引き続き「個人情報」として取扱う必要がありました。

改正により何が変わったか

改正法に関連する政令・規則等の整備に向けた論点について (仮名加工情報)2頁

 

 仮名化された個人情報は、生の個人情報と比較して、氏名等が削除されていることに伴う一定の安全性が確保されています。

 しかしながら、データとしての有用性が加工前の個人情報と同等程度に保たれた情報であり、匿名加工情報と比較してもより詳細な分析を実施しうるものです。

 そこで、改正法においては、法が定めた「仮名加工」を行った情報を新たに「仮名加工情報」と定義し、当初の利用目的から変更した内部利用を認めるなどの一定のルールを設けました。

 また、仮名加工情報の利用目的の特定・公表を前提に、漏えい対応、開示や利用停止等の本人対応等の義務が緩和されています。

 仮名加工情報制度については、今後の実務上の運用によっては、データ利活用の観点から重要な制度になる可能性があります。

 詳しくは、筆者作成の記事「仮名加工情報はAI開発をどのように変えるのか~医療AI開発のケースを元に考えてみた~」をご覧ください。

経営者として押さえておくべきポイント

 これまでは、個人情報を匿名加工基準を満たさない程度に仮名化した情報は個人情報として取り扱う必要がありました。これに対し、改正法の「仮名加工情報」に該当する場合には、本人対応等の義務を緩和するとともに、これまで利用できなかった目的で利活用できることとなります。

No 現行法 改正法
3-2 提供元で個人データに該当しない情報であれば、提供先において個人データとなることが想定された場合でも規制の対象にはなかった 提供元で個人データに該当しないものの、提供先において個人データとなることが想定される情報(個人関連情報)の第三者提供について、本人同意が得られていること等の確認を義務付け

現行法下での取扱い

 現行法では、個人データの第三者提供については本人の同意を要件としていたものの、提供元において個人データに該当しない情報(非個人情報)については、第三者提供に際して本人の同意は不要です。

 そのため、これまでは特定の個人を識別できない形で取り扱われているインターネットの閲覧履歴、位置情報、Cookie等の情報(以下「個人情報に該当しない閲覧履歴等」といいます)は本人の同意なく第三者提供を行うことができました。

 他方で、近年、デジタルマーケティング業界において、DMP(Data Management Platform)と呼ばれる閲覧履歴等の収集・蓄積・統合・分析を行うプラットフォームが普及しつつあります。

 この中で、個人情報に該当しない閲覧履歴等を、提供先において他の情報と照合することにより個人情報とされることをあらかじめ知りながら、他の事業者に提供するというスキームが現れました。

 しかしながら、提供先において、他の情報と照合することにより個人情報とされることをあらかじめ知りながら非個人情報として第三者に提供することは、個人データの第三者提供について本人の同意を求めたことを潜脱するスキームと評価できます。

 そのようななか、2019年に就職情報サイト「リクナビ」が、ユーザー事業者に対して、当該事業者において特定の個人を識別できると知りながら、「リクナビ」に登録している就活生の個人データをスコアリングして割り出した内定辞退率を、就活生本人の同意なく提供していた問題も発生しました(いわゆるリクナビ問題)。

改正により何が変わったか

改正法に関連する政令・規則等の整備に向けた論点について (個人関連情報)2頁

 こうした経緯を踏まえ、改正法では、提供元において個人データに該当しない情報(ここでは、個人情報に該当しない閲覧履歴等、改正法において「個人関連情報」として想定される情報を意味します)を第三者提供するにあたり、当該個人関連情報が提供先において個人データとなることが想定されるときには、本人同意が得られていること等の確認を義務付けることとしました。

 上図を元に説明すると、

  1. 提供を受けた個人関連情報を、個人データとして取扱うことが想定される提供先B社において、当該個人データにかかる本人の同意を取得し
  2. その後、提供元であるA社が、B社において本人の同意を取得したことを確認した上で
  3. A社がB社に対して当該個人関連情報を提供する

 という手順を踏む必要があるとされています(改正法に関連する政令・規則等の整備に向けた論点について (個人関連情報)4頁参照)。

経営者として押さえておくべきポイント

 現行法下では法規制の対象とされていなかった個人情報に該当しない閲覧履歴等の第三者提供について、改正法下では、提供元が提供先で本人から同意を取得していることの確認等の義務が課せられることとなりました。

 従前、こうした個人情報に該当しない閲覧履歴等を広く利活用していたデジタルマーケティング業界を中心に影響のある改正であり、影響を受けうる事業を展開している事業者においては全面施行に向けて見直しの準備を進めることが必要です。

改正法に関連するガイドライン等の整備に向けた論点について(認定個人情報保護団体)

 ポイント4は認定個人情報保護団体(以下『認定団体」といいます)の認定対象の拡充です。

 個人情報保護法制定前から、業界団体等がガイドラインを策定するなど、民間団体での個人情報保護に関する自主的な取り組みが行われてきました。

 認定団体制度は、こうした民間団体に対して認定を行うことで、民間団体による個人情報の保護の推進を図ろうとするものです。

 認定団体については、個人情報保護委員会のウェブサイトでそのリストが公開されています。

 リストに記載があるように現行法では「事業分野」単位での縦割りの民間団体にのみが認定制度の対象となっていました。

 これに対し、改正法では各事業者の「部門」単位で組織される民間団体も認定の対象となりました。

個人情報保護委員会ウェブサイト「令和2年 改正個人情報保護法について」

 ポイント5は「ペナルティの強化」です。

 改正法では、罰則の法定刑を、類似する他の経済事犯と同等のレベルまで引き上げるとともに、法人と個人の資力格差等を勘案し、法人に対しては個人よりも重い罰金額を法定刑として定めることとなりました。

経営者として押さえておくべきポイント

 ペナルティが強化されるかどうかを問わず、個人情報保護法違反に該当する行為を行うべきではないことに変わりはありません。ただ、今回の改正で法定刑が概ね引き上げられ、とりわけ法人に対する罰金刑の上限額が大きく引き上げられていることに留意しましょう。

No 現行法 改正法
6-1 個人情報保護委員会の権限は、指導・勧告といった限定的な強制力のない権限のみ 現行の権限に加え、罰則に担保された報告徴収・命令及び命令に従わない場合の公表を行う権限が個人情報保護委員会に付与された
6-2 外国にある第三者に個人データを提供できる要件は以下の3つ
①本人の同意
②継続的な適正取扱いを担保する体制が整備されている事業者への提供
③日本と同等の水準国(EU・英国)
現行法の要件に加え、以下の各義務を追加
・①による場合には、移転先の外国における個人情報の保護に関する制度等の情報提供
・②による場合には、移転先事業者の取扱状況の定期的な確認を行うとともに、本人の求めに応じて情報提供

 最後のポイントは、外国事業者に対する権限強化と、本人に対する情報提供です。

 いずれも、現行法(2015年改正法)において創設された、域外適用規定と外国にある第三者への個人データの提供規定を拡充する形での改正が行われました。

No 現行法 改正法
6-1 個人情報保護委員会の権限は、指導・勧告といった限定的な強制力のない権限のみ 現行の権限に加え、罰則に担保された報告徴収・命令及び命令に従わない場合の公表を行う権限が個人情報保護委員会に付与された

 2015年改正により、個人情報がグローバルに取得・処理されている現状を踏まえ、外国にある第三者に対しても個人情報保護法の適用を行う、いわゆる域外適用規定が創設されました。

 もっとも、個人情報保護委員会が、域外適用の対象となる外国の事業者に対して行使できる権限は、指導及び助言並びに勧告のような強制力のを伴わない権限に留まりました。

 改正法では、個人情報保護委員会の外国事業者に対する権限を強化し、日本国内にある者の個人情報を取り扱う外国事業者を、罰則によって担保された報告徴収・命令の対象とした上で、命令に従わない場合には公表を行うことができることとしました。

経営者として押さえておくべきポイント

 主に外国事業者に向けられた改正であるため、通常は国内事業者において何らかの対応が求められるものではありません。ただし、グローバル化を踏まえた個人情報保護法改正の大きな方向性として知っておいて損はないでしょう。

No 現行法 改正法
6-2 外国にある第三者に個人データを提供できる要件は以下の3つ
①本人の同意
②継続的な適正取扱いを担保する体制が整備されている事業者への提供
③日本と同等の水準国(EU・英国)
現行法の要件に加え、以下の各義務を追加
・①による場合には、移転先の外国における個人情報の保護に関する制度等の情報提供
・②による場合には、移転先事業者の取扱状況の定期的な確認を行うとともに、本人の求めに応じて情報提供

 同様に、2015年改正では、グローバル化を踏まえ、従前明確に定めていなかった外国にある第三者に対する個人データの提供に関する規定が設けられました。

 そこでは、当該提供される個人データにかかる本人から「外国にある第三者への提供を認める旨」同意を取得することが求められていました。

 改正法ではこれを更に推し進め、提供先の国の法制度によっては個人データの越境移転にリスクが存在することを踏まえ、本人の権利利益保護の観点から、移転先の外国事業者やその事業者がおかれた外国の状況について本人への情報提供を行うことが義務付けられました。

 具体的には、外国事業者への提供方法によって次のとおり整理されています。

改正法に関連する政令・規則等の整備に向けた論点について(越境移転に係る情報提供の充実等)4頁

経営者として押さえておくべきポイント

 個人データをグローバルに展開している事業者においては、第三者提供時の情報提供義務は新たに追加される規制となります。全面施行に向けて見直しの準備を進めることが必要です。

 改正法の全面施行日まで残すところ1年を切りました。まずは自社のビジネスに照らして何を修正しなければならないを考えるところからスタートすることが大切です。

 中でも、プライバシーポリシーの見直しは、多くの企業で対応が必要な項目かと考えます。

 私の記事が、経営者の皆さまに、改正個人情報保護法対応を考え始めるきっかけとなりましたら幸いです。