072-248-4848【2024年】改正個人情報保護法|削除請求が増える理由と対応策を紹介
企業向け個人情報保護個人情報保護法は定期的に見直し・改正されます。2022年4月に施行された改正個人情報保護法によって削除請求が増えるといわれており、企業はいま一度扱っている個人情報を整理し、対応体制を整備することが重要です。
この記事では、改正個人情報保護法によって削除請求が増える理由や対応策について解説します。
なお、本記事は2024年7月時点での情報です。最新の情報について知りたい方は、個人情報保護委員会や政府広報オンラインの公式サイトもご確認ください。
参考:個人情報保護委員会ホームページ(個人情報保護委員会)
参考:個人情報保護カテゴリー(政府広報オンライン)
目次
【再確認 】個人情報保護法とは
個人情報保護法(正式名称は「個人情報の保護に関する法律」といいます。)とは、個人情報の権利や利益を守るための法律のことです。個人情報保護法は、2003年5月に制定され、2005年4月に全面施行されました。
インターネットやデジタル技術の進化、経済・社会情勢の変化などに対応するため、個人情報は定期的に見直し・改正されています。
個人情報保護法について知見のある方も、いま一度おさらいしておきましょう。
個人情報に該当するもの
個人情報保護法における「個人情報」とは、名前や生年月日、住所などの個人を特定できる情報のことです。単体の情報では個人を識別できなくても、複数の情報を組み合わせることで個人を特定できる場合は個人情報に該当します。
例えば、「小林太郎」という名前の人は全国に多く存在し、個人を特定するのは難しいかもしれません。しかし、「北海道の札幌市に住む小林太郎27歳」などと複数の情報を組み合わせれば、個人を特定できるでしょう。
名前や住所以外にも、メールアドレスやSNSのアカウント名、Webサイトのドメイン名などから個人を特定できる場合は、それ自体が単体でも個人情報に該当します。
また、運転免許証番号やマイナンバーなど、番号や記号などで個人を識別できる情報を「個人識別符号」といい、これも個人情報に該当します。以下は、個人識別符号が含まれる情報の例です。
- 個人に割り振られる公的な番号:運転免許証番号、マイナンバー、パスポート番号など
- 個人の身体データ:DNA、指紋、手指の静脈など
上記の個人情報とは別に、「要配慮個人情報」もあります。要配慮個人情報とは、人種や信条、病歴など、取り扱いに配慮が必要とされる個人情報のことです。要配慮個人情報を取得する場合には、原則として本人の同意が必要とされています。
「個人情報データベース等」「個人データ」「保有個人データ」との違い
個人情報と混同されやすい言葉に「個人情報データベース等」「個人データ」「保有個人データ」があります。
個人情報データベース等とは、個人情報を含む情報の集合物のことです。特定の個人情報をコンピュータで検索できるように構成したものを指します。また紙ベースであっても、五十音順で整理された名簿や顧客カードのように、目次や索引をつけて一定の規則で整理された個人情報の書類も、個人情報データベース等に該当します。
個人データとは、「個人情報データベース等」を構成する個人情報のことです。例えば、顧客カードに記載された電話番号や住所などが個人データに該当します。
保有個人データとは、個人情報取扱事業者が開示・削除等の権限を有する個人データのことです。他企業から委託を受けて個人データを保存していても、委託元の許可なしに削除や提供できない場合は保有個人データに該当しません。
事業者が守るべきルール
事業者が個人情報や個人データを取り扱う際に、守るべき基本的なルールが4つ存在します。
- 取得・利用
- 保管・管理
- 第三者提供
- 開示請求等への対応
上記4つのルールについて、簡単に解説します。
【取得・利用】
個人情報を扱う際は、利用目的を特定し、その目的を通知・公表する必要があります。利用目的を超える範囲で使用する場合は、事前に本人の同意が必要です。
【保管・管理】
情報漏洩が生じないよう安全管理すること、従業者・委託先にも安全管理を徹底することが必要です。例えば、「セキュリティソフトの導入」「パソコンで管理している個人情報のファイルにパスワードを設定する」などが挙げられます。
【第三者提供】
第三者に個人情報を提供する際は、事前に本人の許可を得る必要があります。また、第三者に個人情報を提供した場合や提供を受けた場合は、その記録を保存しましょう。
【開示請求等への対応】
本人から保有個人データの情報開示や利用停止などの請求があった際は、速やかに対応する必要があります。個人情報の取扱いで苦情を受けた場合も迅速に対処しましょう。
個人データが漏洩するとどうなる?
個人データが漏洩してしまった場合は、速やかに個人情報保護委員会に報告し、本人へ通知しなくてはいけません。
以下は、個人データ漏洩の例です。
- 従業員の健康診断等の結果が漏えいした
- 患者の診療情報を記録したUSBが紛失した
- 不正アクセスによって個人データが漏洩した
- 従業員が顧客の個人データを持ち出して第三者に提供した
改正個人情報保護法によって削除請求が増える理由
ここでは、2022年4月に施行された改正個人情報保護法によって、削除請求が増える理由を2つ紹介します。
電子データでの情報開示に対応する義務が生じた
個人情報取扱事業者は本人から開示請求を受けた場合、原則として保有個人データを開示する義務があります。その開示は従来書面での交付とされていましたが、Webサイトや電子メールといった電子的な手段でも可能となりました。これにより、個人が企業へ情報開示しやすくなり、その流れで削除請求が増えるといわれています。
個人情報の削除や利用停止を請求できる範囲が広がった
旧法では、個人情報の削除や利用停止を請求できる範囲が一定の個人情報保護法違反の場合に限られていました。例えば、個人情報を目的外で利用した場合や不正取得した場合などです。
しかし、以下のケースでも個人情報の利用停止や削除、第三者提供の停止を請求できるようになりました。
- 個人データを利用する必要がなくなったとき
- 個人データが漏洩したとき
- 本人の権利や正当な利益が害される可能性があるとき
また、個人データの第三者提供記録の開示請求もできるようになり、提供元・提供先それぞれに開示請求も可能となりました。
また、6ヶ月以内に消去する保有個人データは開示請求の対象外とされていましたが、改正によって、保存期間に関係なく開示請求・削除請求が可能となりました。
改正個人情報保護法による削除請求に対して企業が取るべき対応
改正個人情報保護法によって削除請求が増加すれば、企業の負担も増していきます。適切な対処をしないと、業務が回らなくなるでしょう。ここでは、改正個人情報保護法に対して企業が取るべき対応を解説します。
個人情報の利用状況を確認する
開示請求や削除請求にスムーズに対応するために、社内で扱っている個人情報を整理する必要があります。どのような情報を扱い、利用目的は何なのか、どのように管理しているのかなど、状況を再点検しましょう。
特に複数の部門で個人情報を扱っている場合、本人から全情報の開示を求められた際に対応できるよう整備しておく必要があります。
情報開示や削除請求された際の対応マニュアルを整備する
個人情報保護法の改正によって、以前は求められなかった対応を要求される可能性があります。請求されてから対応するのではなく、対応マニュアルやフローを決めて社内に周知しておくと安心です。
また、すでに情報開示や削除請求された際の対応マニュアルがある場合、改正個人情報保護法に合わせて見直し、必要に応じて作り直しましょう。
システム面の見直し/ITツールの導入
削除請求が急増すると、人的リソースが不足してしまう可能性があります。少ない人員でも効率的に個人データの利用停止や削除を実施するため、システム面や技術面を見直すことが大事です。費用はかかりますが、ITツールの導入も検討してみてください。
個人情報保護法遵守のために「田渕総合法律事務所」にご相談ください
個人情報保護法は定期的に改正されており、その内容をきちんと確認せずに事業運営を進めてしまうと、「知らぬ間に個人情報保護法に違反していた」という状態に陥りかねません。改正個人情報保護法は企業に対する罰則も厳しくなっているため、社内の遵守状況を調査して体制を整備する必要があります。
改正個人情報保護法に対応できていない企業は、ぜひ「田渕総合法律事務所」にご相談ください。当事務所は個人情報・プライバシー、情報漏洩防止策などの専門的な知見を有しています。貴社が保有する個人情報の取扱いが、改正個人情報保護法に違反していないか調査し、必要な対策をご提案いたします。
まとめ
2022年4月施行の改正個人情報保護法によって、個人が企業に対して個人データの開示請求がしやすくなりました。また、個人情報の削除や利用停止を請求できる範囲も広がりました。このことから削除請求が増えるといわれており、企業は体制を整備する必要があります。
改正個人情報保護法による社内体制の見直し・整備でお困りの場合は、弁護士への相談もご検討ください。
この記事と関連するコラム
関連記事はありません