施行直前!個人情報保護法改正を踏まえたプライバシーポリシーの変更対応を解説

法務

2022年4月1日より、令和2年(2020年)に改正された個人情報保護法が施行されます。
個人情報を取り扱う多くの事業者はプライバシーポリシー(個人情報保護方針)を制定し、公表していると思いますが、具体的にどの条項をどのように変更したらよいかというご質問をよくお受けしております。
以下では主に必要となる具体的な変更対応について、条項例も併せてご紹介したいと思います。

• 1.個人情報取扱事業者の公表事項の追加
• 2.安全管理措置の追加
• 3.利用目的の明示の具体化
• 4.個人関連情報規制と本人の同意取得
• 5.保有個人データの取り扱いに関する請求対応
• 6.外国提供時の情報提供義務
• 7.その他の変更点
• 8.終わりに

1.個人情報取扱事業者の公表事項の追加

2.安全管理措置の追加

【安全管理のために講じた措置として本人の知り得る状態に置く内容の事例】(令和3年8月改正「個人情報の保護に関する法律についてのガイドライン(通則編)」110頁参照。なお以下の項目については全て以下のとおりにしなければならないわけではなく、企業の実態に応じて修正する必要があります。)
(基本方針の策定)
事例)個人データの適正な取扱いの確保のため、「関係法令・ガイドライン等の遵守」、「質問及び苦情処理の窓口」等についての基本方針を策定しています。
(個人データの取扱いに係る規律の整備)
事例)取得、利用、保存、提供、削除・廃棄等の段階ごとに、取扱方法、責任者・担当者及びその任務等について個人データの取扱規程を策定しています。
(組織的安全管理措置)
事例1)個人データの取扱いに関する責任者を設置するとともに、個人データを取り扱う従業者及び当該従業者が取り扱う個人データの範囲を明確化し、法や取扱規程に違反している事実又は兆候を把握した場合の責任者への報告連絡体制を整備しています。
事例2)個人データの取扱状況について、定期的に自己点検を実施するとともに、他部署や外部の者による監査を実施しています。
(人的安全管理措置)
事例1)個人データの取扱いに関する留意事項について、従業者に定期的な研修を実施
事例2)個人データについての秘密保持に関する事項を就業規則に記載しています。
(物理的安全管理措置)
事例1)個人データを取り扱う区域において、従業者の入退室管理及び持ち込む機器等の制限を行うとともに、権限を有しない者による個人データの閲覧を防止する措置を実施 事例2)個人データを取り扱う機器、電子媒体及び書類等の盗難又は紛失等を防止するための措置を講じるとともに、事業所内の移動を含め、当該機器、電子媒体等を持ち運ぶ場合、容易に個人データが判明しないよう措置を実施しています。
(技術的安全管理措置)
事例1)アクセス制御を実施して、担当者及び取り扱う個人情報データベース等の範囲を限定しています。
事例2)個人データを取り扱う情報システムを外部からの不正アクセス又は不正ソフトウェアから保護する仕組みを導入しています。
(外的環境の把握)
事例)個人データを保管しているA 国における個人情報の保護に関する制度を把握した上で安全管理措置を実施しています。(「6.外国提供時の情報提供義務」で解説いたします。)

3.利用目的の明示の具体化

【具体的に利用目的を特定している事例】
事例)事業者が商品の販売に伴い、個人から氏名・住所・メールアドレス等を取得するに当たり、「○○事業における商品の発送、関連するアフターサービス、新商品・サービスに関する情報のお知らせのために利用いたします。」等の利用目的を明示している場合

【具体的に利用目的を特定していない事例】
事例1)「事業活動に用いるため」
事例2)「マーケティング活動に用いるため」

【本人から得た情報から、行動・関心等の情報を分析する場合に具体的に利用目的を特定している事例】
事例1)「取得した閲覧履歴や購買履歴等の情報を分析して、趣味・嗜好に応じた新商品・サービスに関する広告のために利用いたします。」
事例2)「取得した行動履歴等の情報を分析し、信用スコアを算出した上で、当該スコアを第三者へ提供いたします。」
※単に「事業活動」、「利用者のサービスの向上」等のように抽象的、一般的な内容を利用目的とすることは、できる限り具体的に特定したことにはならないとされています。

4.個人関連情報規制と本人の同意取得

【個人関連情報規制に対応した規定例(令和3年8月改正「個人情報の保護に関する法律についてのガイドライン」(外国にある第三者への提供編)51頁以下参照。)】
・当社は、利用者から取得したウェブサイトの閲覧履歴や購買履歴等の情報を分析して、当社サービスの提供や広告の配信等を致します。
・当社以外の第三者から取得した利用者の趣味嗜好・閲覧履歴等の情報を、当社が既に有している利用者の個人情報と紐づけて利用する場合があります。この場合、利用者から予め同意を取得するとともに、当社が規定する利用目的の範囲内において利用いたします。
・当社のウェブサイトを利用する利用者の情報を、コンピュータやアプリケーションソフト上で記録管理する技術を「クッキー(Cookie)」といいます。当社のウェブサイトは、利用者が便利に利用いただけるように、クッキーを使用しています。

【Google Analyticsを利用している場合の規定例】
当社のサイトでは、利用者の当社サイトの訪問状況を把握するためにGoogle 社のサービスであるGoogle Analyticsを利用しています。
当社のサイトでGoogle Analyticsを利用すると、当社が発行するクッキーを利用して、Google 社が利用者の当社サイトの訪問履歴を収集、記録、分析します。
当社は、Google 社から分析結果を受け取り、利用者の当社サイトの訪問状況を把握しています。

5.保有個人データの取り扱いに関する請求対応

【個人情報の開示等の請求に対応した規定例】
当社は、個人情報の照会、訂正、利用停止、消去等のご要望があったときは、所定の手続で利用者本人であることを確認の上、速やかに対応します。本プライバシーポリシーに関して開示請求等をされる場合は、当社の管理責任者にご連絡ください。

6.外国提供時の情報提供義務

【外国における個人情報の取扱いの委託先についての規定例(個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)51頁以下参照。)】
当社は、利用者の個人情報(の一部)について、ABC会社(以下「外国委託先」といいます。)に委託しております。外国委託先に個人情報の取扱いを委託するにあたって、当社が講じている措置は、以下の通りです。

(1)体制整備の方法
当社と外国委託先との間で個人情報の取扱いに関する委託契約を締結し、個人情報の取扱いに関する規定を遵守させ、個人情報を提供しています。
(2)外国委託先が実施する相当措置の概要
契約において、特定した利用目的の範囲内で個人データを取り扱う旨、不適正利用の禁止、必要かつ適切な安全管理措置を講ずる旨、従業者に対する必要かつ適切な監督を行う旨、再委託の禁止、漏えい等が発生した場合には提供元が個人情報保護委員会への報告及び本人通知を行う旨、個人データの第三者提供の禁止等を定めています。
(3)確認の頻度及び方法
毎年、書面による報告を受ける形で確認しています。また、毎年、我が国の行政機関等が公表している情報を確認しています。
(4)外国の名称
XYZ国
(5)第三者による相当措置の実施に影響を及ぼすおそれのある外国の制度の有無及びその概要
事例1)事業者に対し政府の情報収集活動への広範な協力義務を課すことにより、事業者が保有する個人情報について政府による広範な情報収集が可能となる制度が存在します。
事例2)事業者が本人からの消去等の請求に対応できないおそれがある個人情報の国内保存義務に係る制度が存在します。
(6)第三者による相当措置の実施に関する支障の有無及びその概要
(提供先が契約において特定された利用目的の範囲を超えて個人データの取扱いを行っていたような事例があれば、その旨記載します。)
(7)前号の支障に関して当該個人情報取扱事業者が講ずる措置の概要
事例1)提供先が契約において特定された利用目的の範囲を超えて個人データの取扱いを行っていたため、速やかに当該取扱いを是正するように要請しました。
事例2)提供先が契約において特定された利用目的の範囲を超えて個人データの取扱いを行っていたため、速やかに当該取扱いを是正するように要請したものの、これが合理的期間内に是正されず、相当措置の継続的な実施の確保が困難であるため、〇年〇月〇日以降、個人データの提供を停止した上で、既に提供した個人データについて削除を求めています。

7.その他の変更点

8.終わりに