本日2022年4月1日、改正個人情報保護法が全面施行されました。
日本では個人情報保護法は3年ごとに見直し、検討を行い必要に応じて改正されることになっています。
今回の見直しの背景として、
・自身の個人情報に対する意識の高まり
・技術革新を踏まえた保護と利活用のバランスの要請
・越境データの流通増大に伴う新たなリスクへの対応の必要性
があるようです。
改正は大きく分けて6つのポイントがあります。
①本人の請求権の拡大
②事業者の責務の追加
③事業者の自主的な取り組みの推進
④データ利活用の推進
⑤ペナルティの強化
⑥域外適用等の拡充
となります。
〇保有個人データに関する開示方法の見直し
本人は個人情報取扱事業者に対し、保有個人データの開示方法を指定することができることとなりました。
これまで開示方法は書面のみでしたが、データでも開示請求することが可能となります。
〇不適正な利用の禁止
取扱事業者が違法または不当な行為を助長し、または誘発するおそれがある方法により個人情報を利用してはならない。
逆にいままでなかったのが不思議ですが、これを違反すると事業者に対し保有個人データの利用停止を請求することができます。
〇第三者提供に係る確認・記録関連の改正
事業者が個人データを第三者に提供する場合、記録を取っておく必要がありますが、
本人は事業者に対しこの記録を開示請求することができるようになりました。
〇仮名加工情報の新設
他の情報と照合しない限り、特定の個人を識別することができないように加工したものが仮名加工情報として新設されました。
仮名加工情報は第三者提供ができませんので、自社内での分析やマーケティングなどの利活用が予想されます。
〇個人関連情報の新設
いわゆるCookieのように一見個人情報に該当しないものでも、第三者が他の情報と照合することにより個人データとして取得することが想定されるときは、原則として本人の同意が必要となります。
今回の改正で、事業者は仮名加工情報などで個人データを利活用できる幅が広がりましたが、不正利用や個人情報保護委員会による命令に違反した場合の罰金刑などのペナルティは引き上げられています。
これまでも自身の個人情報を提供する際には同意を求められていました。
しかしご存知の通り、同意文書は文字が小さく長く最初から最後まできちんと読んで理解するのはとても大変です。
事業者にとって利用の幅が広がるという事は、同意文書も必然的にもっと細かく詳細になるのかもしれません。本当はもっと端的に明記して欲しいですが…。
面倒だからとなんでもかんでも同意のサインをしないよう、普段から心がけたいと思います。