webサイト制作、便利アプリ、Apple製品について考えるブログ

改正個人情報保護法の変更ポイント(2022年4月)【webサイト担当者は要注意】

2022年04月08日 2022年04月08日

たぐ(https://twitter.com/tagtaz74)と申します。東京のWeb制作会社でプロデューサーをしています。

2022年4月に個人情報保護法が改正されました。

web制作に関与する人にとって、最近は個人情報の取り扱いも大変厳しくなってきており、気にすべきテーマというところで、この個人情報保護法改正のポイントについて整理をしておこうと思います。

内容的には、以下「個人情報保護委員会」が発表している内容についてまとめたものです。

改正個人情報保護法 特集

1. 改正のポイント

1-1. 情報漏えい時の本人への通知が義務化された。

これまでは努力義務だったものが明確に義務化された、ということですね。

  • 以下のものが対象
    • 要配慮個人情報が含まれるもの
      • 「要配慮個人情報」特に配慮を要する個人情報(病歴、犯罪歴、社会的身分等)
    • 財産的被害が生じるおそれがあるもの
    • 不正の目的をもって行なわれた漏洩等が発生した場合
    • 1,000人を超える漏洩が発生した場合
  • 3〜5日以内に通知する必要がある。
    • 個別通知ではなく、webサイトなどで公開する、という対応も可能

1-2. 日本から外国の第三者への情報提供が厳しくなった。

海外に対してどのように個人情報を提供したのか本人に明示しないといけなくなりました。

  • 本人の同意が必要なのはこれまで通り。
  • 日本から外国の第三者への情報提供する場合本人に以下情報提供が必要
    • 情報移転先の国名称
    • その国での個人情報保護に関する制度
    • 移転先が行う個人情報保護のための措置

1-3. 個人情報の開示請求時に、その提供方法を選択可能になった。

管理している個人情報の開示の請求の仕方にデジタルデータが加わりました。

※これまでは「書面」という旧時代的対応だったようですね。

  • これまでは書面による交付が原則だった。
  • 今後は、電磁記録等を請求者が指示できる。方法例のとしては以下のようなもの。
    • CD-ROM
    • 電子メールでの送信
    • webサイトでのダウンロード

1-4. 個人情報の利用停止・消去に関する条件が拡充された。

個人情報の消去請求ができる条件が拡大されました。

  • これまでの条件
    • 目的外利用
    • 不正取得
    • 第三者提供義務違反
  • 今後追加になるもの
    • 利用する必要がなくなった場合
    • 重大な漏洩が発生した場合
    • 本人の権利または正当な利益が害されるおそれがある場合
  • 具体例
    • ダイレクトメールを停止したあと本人が情報の消去を請求した場合
    • クレジットカード番号を含む個人データが漏洩した場合
    • 退職した従業員の情報を自社ホームページに掲載しつづけ、本人の不利益に繋がる場合

1-5. 安全管理のために講じた措置の公表義務

個人情報を安全に管理するためにどのような措置を講じているかを公表する義務が加えられました。

  • 措置として公表するものの例
    • 個人情報取り扱いに関する基本方針
    • 個人情報を管理している国における個人情報保護に関する制度を把握した上での安全措置実施
  • 義務が課せられることにより、見直しが必要になるかもしれないものの例
    • 個人データが記録された機器等の廃棄方法
    • 個人データ管理区域の入退室管理方法
    • アクセス制御の範囲、アクセス者の認証方法、不正アクセス防止措置の内容

2. 新設されたもの

2-1. 不適正利用の禁止を明確化

  • 違法または不法な行為を助長する等の不正な方法によって個人情報を利用してはならない。

2-2. 個人関連情報の第三者提供時の本人同意提示義務

  • 個人関連情報とは?
    • 生存する個人に関する情報で、個人情報、仮名加工情報、匿名加工情報のいずれにも該当しないもの(要は個人識別まではできないが、個人の行動に関連するもの)
    • 複数情報を組み合わせることで個人が特定できる場合は、原則として取得に関し本人の同意が必要
  • 個人関連情報の例
    • Cookie等を利用して収集された個人のWebサイトの閲覧履歴
    • 商品購買履歴
    • サービス利用履歴
    • 個人の位置情報

2-3. 仮名加工情報の利用で一部義務免除

  • 仮名加工情報とは?
    • 他の情報と照合しない限り、特定の個人を識別できないように個人情報を加工して得られる個人に関する情報
    • こうした加工を行なうことで、利用目的変更の制限や漏えい等の報告や本人への通知、開示・利用停止の請求対応からは免除される。
    • 仮名加工情報を第三者提供はできない。
    • 仮名加工情報の例
      • 名前を仮のIDで表示
      • クレジットカード番号など、不正利用の可能性がある情報を非表示にする
  • 仮名加工情報を利用することで免除される義務
    • 利用目的の変更の制限
    • 漏洩等の報告・本人への通知
    • 開示・利用停止等の請求対応

より個人情報の管理や漏洩時の対応を厳格化するもの。

今回の2022年の4月に行われた個人情報保護法の改正のポイントは、より「個人情報の管理や漏洩時の対応を厳格化するもの」と言えそうです。

個人情報をシステムとして管理することが考えられるwebサイト制作会社やシステム開発会社などは、より厳密に管理ルールを守ることを求められるととともに、もしもの時に、個人情報提供者に対して誠意ある対応が求められるもの、というような理解ができそうです。

Facebook Twitter
関連記事
CMS実装時の機能定義。やり方、押さえておくべきこと。
スムーズなプロジェクト進行の条件。お伺いするのではなく、お伺いされる側になれ。
「AIがwebサイト制作業務の効率化が出来るのはどんなところか」Chat GPTに聞いてみた。
Google Programmable Search(プログラム可能な検索エンジン) から広告を削除する方法
webサイトの画面設計で定義するもの5つ。【設計とデザインの違い】
コーポレートサイトの画面設計チェックリスト【特長ページ】【守るべきこと】
コーポレートサイトの画面設計チェックリスト【問い合わせフォーム】【守るべきこと】
コーポレートサイトの画面設計チェックリスト【トップページ、共通ナビ】
Notionのガントチャート。親子関係とグループを使ってすっきり。【タイムライン】【プロジェクト管理】
カーテンをロールスクリーンに変更するメリット・デメリット。【結果:良かった】