2022年4月に全面施行された改正個人情報保護法(令和2年改正)から3年が経過しました。しかし、「対応した記憶はあるが、その後見直していない」「そもそも改正内容を把握できていない」という事業者がまだ多く見受けられます。本稿では、Webサービスを運営する事業者が特に確認すべき事項をチェックリスト形式でまとめます。

チェックリスト:プライバシーポリシーの見直し

□ 1. 利用目的の特定・明示は十分か
「サービスの提供・改善」など曖昧な表記ではなく、個人情報をどのような目的でどのように利用するかを具体的に記載する必要があります。特に「マーケティング・広告配信への利用」「第三者への提供目的」は明確に記載してください。

□ 2. Cookie等の個人関連情報の取り扱いを明示しているか
改正法では「個人関連情報」(Cookie・IPアドレス・位置情報等、それ自体は個人を特定しないが他の情報と照合すると個人を特定できる情報)の第三者提供に関する規制が新設されました。Google Analytics・広告ツール等を利用している場合は、その旨とオプトアウト方法の案内が必要です。

□ 3. 漏洩等の報告・通知義務への対応体制があるか
改正法により、一定の個人情報漏洩等が発生した場合の個人情報保護委員会への報告・本人への通知が義務化されました。自社でこの事態が発生した場合に、速やかに対応できる体制(担当者・連絡フロー・委員会への報告書式)が整っているか確認してください。

□ 4. 外国にある第三者への提供に関する規定は適切か
海外のクラウドサービス(AWS・Google Cloud等)にデータを保存している場合、または海外グループ会社にデータを提供している場合、改正法の外国第三者提供規制への対応が必要です。提供先の国名・個人情報保護体制の概要の公表が義務付けられました。

□ 5. 保有個人データの開示等の請求に対応できるか
改正法により、本人による開示・訂正・削除・利用停止の請求権が拡大されました。開示の方法として「電磁的記録での提供」(PDF等での送付)が新たに認められ、本人から請求された場合にデータを電子的に提供できる体制が必要です。

□ 6. 「不適正利用の禁止」に該当する利用をしていないか
改正法で新設された不適正利用禁止規定(法16条の2)では、「違法または不当な行為を助長し、又は誘発するおそれがある方法での利用」が禁止されています。自社のデータ活用事例について弁護士に確認することをお勧めします。

□ 7. 仮名加工情報・匿名加工情報の取り扱いルールを把握しているか
改正法で新設された「仮名加工情報」(他の情報と照合しない限り特定個人を識別できないよう加工した情報)の活用ルールを確認してください。仮名加工情報は目的外利用・第三者提供が原則禁止ですが、内部分析への活用は本人同意なしで可能です。

□ 8. プライバシーポリシーの最終更新日は直近か
プライバシーポリシーは定期的な見直しが必要です。最終更新日が2022年以前のものは、改正法対応ができていない可能性が高いです。

対応を後回しにするリスク

個人情報保護委員会は近年、勧告・命令・公表といった行政処分を積極的に行っています。2023年以降、複数の事業者に対して是正命令が発出されており、違反が公表されることで事業者の信用が大きく損なわれるリスクがあります。

また、次の3年ごと見直しサイクル(令和6年改正)では、Cookie規制のさらなる強化や課徴金制度の導入が議論されています。今のうちに体制整備を進めることが重要です。

弁護士による個人情報法務サポート

当事務所では以下の個人情報保護法務サービスを提供しています。

  • プライバシーポリシーのドラフト作成・改訂レビュー
  • 個人情報取り扱いに関する社内規程の整備
  • 漏洩等発生時の緊急対応サポート(委員会報告・本人通知)
  • 海外データ移転に関する法的検討
  • 個人情報保護委員会への対応支援

「自社のプライバシーポリシーが適法かどうか確認したい」という相談から受け付けています。事業者様・ご紹介者の方は初回相談無料ですので、お気軽にご連絡ください。