2022/04/10
2022年施行 個人情報保護法の改正
改正を踏まえた注意点
●法改正の背景
個人情報保護法とは、個人情報の不正利用や不適切な取り扱いを防ぐため、個人情報を取り扱う事業者を対象に、遵守すべき義務などを定めた法律です。
2003年に成立、2005年に全面施行されて以降、情報通信技術の発展により、個人情報の利用範囲は大幅に拡大しました。2015年の法改正では、国際的動向や情報通信技術の進展、個人情報を活用した新たな産業の創出などを勘案し、3年ごとの見直しが盛り込まれました。今回の改正は、この3年ごとの見直し規定に基づいています。
●人事・労務面に及ぼす影響1
2022年4月の施行以降、人事・労務面で対応が必要となる改正点は2つです。1つ目は、個人の民間企業に対する、保有個人データの開示、訂正・利用停止などを請求する権利が拡大される点です。請求対象については、従来対象外であった「6か月以内に消去する短期間保存データ」が追加されました。
また限定的であったデータの利用停止・消去を請求できる事由に関しては、違法行為や漏えいなどが生じた場合や、本人の権利や正当な利益が害されるおそれがある場合にも請求ができることになります。請求に対する開示方法は、従来の書面交付かた電磁的記録(デジタル)を含め、個人が請求した開示方法が原則とされます。
●人事・労務面に及ぼす影響2
2つ目は、事業者が守るべき責務が追加された点です。法改正前は、民間企業が個人情報の漏えい、滅失もしくは毀損(以下、「漏えい等」)が発生した場合、個人情報保護法上は報告などの義務はあり得ませんでした。しかし、今回の法改正後は、被害の拡大や再発を防ぐため、漏えい等により個人の権利・利益を害するおそれが大きい場合、個人情報保護委員会への報告と漏えい等の対象となった本人への通知が義務化されます。
また、公表事項等の追加については、事業者の住所や代表者の氏名、個人情報の安全管理措置の内容、利用目的の特定などが挙げられています。更に、利用目的を特定すれば個人情報の取り扱い方法自体に規制が無かった現行法に対して、「違法または不当な行為を助長するなど不適切な方法により個人情報を利用してはならない」旨が明文化されています。
●民間事業者に求められる対応
個人情報を取り扱う事業者は、漏えい等の事案に対する報告体制を構築し、本人への通知内容や方法についても検討することが重要です。また個人情報の取り扱い業務について不適切な方法による利用がないか、社内規定の記載内容についても確認し、必要に応じて、加筆、修正を行う必要があります。今回の改正内容は多岐にわたるため、まずは個人情報の利用状況を棚卸しして、自社にとって影響の大きな改正事項を見極めることが重要です。
例えば、履歴書の取り扱いについて確認してみましょう。履歴書は、住所、氏名、生年月日、学歴などの個人情報が含まれており、個人情報保護法の対象です。採用活動の際には履歴書の利用目的や不採用の場合の取り扱いを明記し遵守することが大切です。また履歴書の保存期間は、退職者は3年です。不採用者の場合、履歴書の保存義務はありませんが、利用目的が終わり次第、コピーやデータを含め確実に処分する必要があります。身近なところで個人情報の漏えい等や不正利用を起こさないためにも、個人情報を含むデータ類は安全な場所に保管し、取り扱いに関するルールやフローを作成して、社に出共有することが重要です。
今回の法改正下では罰則が強化され、命令違反は個人情報保護委員会により公表されます。管理監督者を含む従業員に対する教育や監督を、今一度徹底することが重要となるでしょう。