今改正により、事業者は、その取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を個人情報保護委員会に報告しなければならなくなりました。また、併せて、本人に対し、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を通知しなければならなくなりました。
事業者は、保有個人データに関し、安全管理のために講じた措置(本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置くことにより当該保有個人データの安全管理に支障を及ぼすおそれがあるものを除く。)について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならなくなりました。
事業者は、外国にある第三者に個人データを提供しようとする場合、①本人の同意による場合、②基準に適合する体制を整備した事業者である場合、③日本と同等の水準国である場合が認められているが、改正により、次の事項が追加されました。
①の場合、同意取得時に併せて以下の情報を提供すること
・移転先の所在地の名称
・当該外国における個人情報の保護に関する制度
・移転先が講ずる個人情報の保護のための措置
②の場合、以下の措置を行うこと
・移転先における適正な取扱い状況などを定期的に確認する
・移転先における適正な取扱いに問題が生じた場合の対応
・本人の求めに応じて、必要な措置等に関する情報の提供
これまでは開示等の請求等の対象外であった6か月以内に消去する保有個人データも開示、利用停止・消去等の対象となります。また、新たに、提供元と提供先それぞれに対して個人データの第三者提供記録の開示請求が可能となりました。
さらに、開示方法は、電磁的記録の提供(CD-ROM等の媒体 の郵送、電子メールによる送信、ウェブサイトでのダウンロード等)を 含め、本人が指示できるようになりました。
また、これまで利用停止・消去ができるのは目的外利用や不正取得の場合に限定され、 第三者提供の停止ができるのは第三者提供義務違反の場合に限定されておりましたが、それぞれ次の場合が、新たに追加されました。
①利用する必要がなくなった場合
②個人情報保護委員会への報告義務のある、重大な漏えい等が発生した場合
③本人の権利又は正当な利益が害されるおそれがある場合
生存する個人に関する情報で、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しない個人関連情報を、第三者に提供する場合、提供先において個人データとして取得することが想定されるときは、提供元に第三者提供に関して本人同意が得られていることの確認が義務付けられました。
なお、本人同意を得るのは、基本的には提供先となります(提供元の場合もあり)。
個人関連情報の事例
・Cookie等の端末識別子を通じて収集された、個人のウェブサイトの閲覧履歴
・個人の商品購買履歴やサービス利用履歴
・個人の位置情報
(個人を識別できる蓄積された位置情報等は個人関連情報ではなく、個人情報に該当)
他の情報と照合しない限り、特定の個人を識別できないように個人情報を加工して得られる個人に関する情報である仮名加工情報は、、以下の義務が適用除外となる。
①利用目的の変更の制限
②漏えい等の報告・本人への通知
③開示・利用停止等の請求対応
事業者は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない、と新たに規定されました。
「違法」とは、法(個人情報の保護に関する法律)その他の法令に違反する行為、「不当な行為」とは、直ちに違法とはいえないものの、法(個人情報の保護に関する法律)その他の法令の制度趣旨又は公序良俗に反する等、社会通念上適正とは認められない行為とされています。