６月１２日に個人情報の保護に関する法律の一部を改正する法律が公布されました。施行日は、公布日から２年を超えない範囲で政令で定める日とされています。

改正内容は多岐にわたりますが、今回はそのうち、「事業者の守るべき責務のあり方」に関する改正点をご案内します。

①漏えい等が発生し、個人の権利利益を害するおそれがある場合に、委員会への報告及び本人への通知を義務化する。

現行法では、漏えい等の事案が発生した場合の対応について、法律には規定がなく、「個人データの漏えい等事案対応告示」において対応が示されていました。その中に、「望ましい」措置として、影響を受ける可能性のある本人への連絡等があげられ、また、事実関係及び再発防止策等について、個人情報保護委員会等に対し、報告をするよう努めることとされていました。

今回の法改正では、このような努力規定ではなく、委員会への報告及び本人への通知が義務化されています。

ただし、すべての漏えい等が対象になるのではなく、「個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるもの」が対象となります。具体的には、個人情報保護委員会規則を待つことになりますが、一定数以上の個人データの漏えい、要配慮個人情報の漏えいなど一定の類型に該当する場合に限定されることになると思われます。

②違法又は不当な行為を助長する等の不適正な方法により個人情報を利用してはならない旨を明確化する。

現行法では、「偽りその他不正の手段により個人情報を取得してはならない」と、個人情報を適正に取得しなければならないと定めていますが、適正に利用すべしという規定はありませんでした。しかし、膨大なデータを分析することが可能になっている昨今においては、利用についても規制を行わなければ、個人情報の不適正な利用がなされる可能性があります。このメルマガでもご紹介した、破産者マップ事件などもその例であると考えられます。

そこで、「個人情報取扱事業者は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない」という規定が新たにおかれました。具体的にどのような方法が、「違法又は不当な行為を助長し、又は誘発するおそれがある方法」となるのかは、おそらくガイドライン等が公表されるものと思われます。自社の個人情報の利用が、これらのガイドライン等に抵触していないか、今後フォローする必要がありそうです。