1.事業者の守るべき責務の在り方
(1)漏えい等の発生時に個人情報保護委員会への報告及び本人への通知が義務化(法第22条の2関係)
<改正前>
個人データの漏えい等又はそのおそれのある場合、個人情報取扱事業者による個人情報保護委員会への報告は「努力」義務レベルであった。実は、本人への通知も実施が「望ましい」レベルであり、いずれも義務ではなかった。
<改正後>
個人情報取扱事業者は、個人データの漏えい等又はそのおそれのある場合で、以下いずれかの個人の権利利益を害するおそれが大きい場合は、個人情報保護委員会への報告及び本人への通知が「義務」となった。
・要配慮個人情報が含まれる場合
・不正利用されることで財産的被害が生じるおそれがある場合
・不正な目的で漏洩などが発生した場合
・本人の数が1,000人を超えている可能性がある場合
※個人情報保護委員会への報告には、速報と確報の2種類
ガイドラインによると、速報は、漏洩等が発生したのを知った時点から概ね3~5日以内、確報は30日以内に報告しなくてはならず、確報では以下の事項を報告する必要がある。
(1)概要
(2)漏洩などは発生し、又は発生したおそれがある個人データの項目
(3)漏洩などが発生し、又は発生したおそれがある個人データに係る本人の数
(4)原因
(5)二次被害又はそのおそれの有無及びその内容
(6)本人への対応の実施状況
(7)公表の実施状況
(8)再発防止のための措置
(9)その他参考となる事項
個人データの取扱いを委託している場合、原則として委託元と委託先の双方が報告する義務を負うが、委託元が委託先に先に通知した場合、委託先は報告義務を免除される。
※ただし以下の事項については、改正前と変更なし。
・個人データを第三者に閲覧されないうちに全てを回収した場合は、漏洩に該当しない。
・個人データについて、高度な暗号化やその他の個人の権利利益を保護するために必要な措置が講じられている場合については、報告を要しない。
・漏洩等について、本人への通知が困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは本人への通知は不要となる。
(2)違法又は不当な行為を助長する等の不適正な方法により個人情報を利用してはならない旨が規定された。(法第16条の 2関係)
<改正前>
なし(個人情報の不適正な利用を明確に禁止する規定はありませんでした)
<改正後>
違法又は不当な行為を助長する等の不適正な方法により個人情報を利用してはならない旨が明確に規定された。また、その具体的な事例が記載された。
※不適正な利用の具体的な例とは、例えば以下のような事項
・違法行為が疑われる事業者(例:貸金業登録を行っていない貸金業者等)からの突然の接触による本人の平穏な生活を送る権利の侵害等、当該事業者の違法な行為を助長するおそれが想定されるにもかかわらず、当該事業者に当該本人の個人情報を提供すること。
・裁判所による公告等により散在的に公開されている個人情報が公開されることによって、差別等の発生が予見できるのにインターネット公開すること。
(これは、官報に掲載された自己破産者の氏名等を地図で示した「破産者マップ(行政指導により現在は閉鎖)」がWebサイト上に公開されていた事件に基づいていると考えられる。
・採用選考において、本人の属性に基づいて差別的取り扱いを行うことが予見できるのに個人情報を利用すること
※これは、就活サイトが就活生の内定辞退率を予測したうえで就活生の同意を得ることなく内定辞退率データを第三者に販売していた事件に基づいていると考えられる。