2018年5月25日にEUで個人情報保護を強化した法律が施行されました。
数週間前から様々なサイトで個人情報の取り扱いに関する告知を目にした方も多いと思います。
利用者からするとサイトに告知が表示されてもあまり気に留めないかもしれませんが、個人情報を扱う企業にとっては大変なインパクト(罰則付き)があります。
対応に間に合わなかった米国企業がEU内からのサイト閲覧をできないように自主規制している例もあります。
「EU内で事業を行う大企業だけの問題だろう」と考えがちですが、日本でも一足早く1年前に個人情報保護法が改正され、個人情報の取り扱いは厳しくなっています。
| 旧法(2005年施行) | 改正法(2017年施行) | |
|---|---|---|
| 対象者の範囲 | 5000人を超える個人情報を利用する事業者 | 個人情報を利用する事業者 |
| 個人情報の定義 | 氏名・生年月日・住所など | 特定の個人を識別できるものを「個人識別符号」として定義 ・指紋、静脈、虹彩など ・マイナンバー、旅券番号、免許証番号など |
| 第三者への提供 | 第三者への提供 ・事前に本人の同意が必要 ・本人の求めに応じて第三者提供を停止することを条件に本人の事前の同意が不要(オプトアウト) | ・オプトアウトを希望する事業者は必要な措置を講じた上で個人情報保護委員会に届出 ・第三者提供時は記録を作成 ・外国への第三者提供の制限 |
個人情報保護の対策をすべき対象者の範囲が事実上、すべての事業者に広げられました。個人情報を扱わない事業は通常は考えられないからです。改正によって個人情報保護法の対象となった事業者は注意が必要です。
第三者提供についても、年金の個人情報を再委託先の外国企業に提供したとしてニュースになった事例も記憶に新しいところです。
このように個人情報保護の対象はより広く、手続きはより厳しくなっており、今後いっそう個人情報の取り扱いに注意を要することが求められています。
個人情報保護対策については、「個人情報保護委員会(https://www.ppc.go.jp/)」が様々なガイドライン(https://www.ppc.go.jp/personal/legal)や中小企業向けのサポートページ(https://www.ppc.go.jp/personal/chusho_support)を公開しています。