令和2年に改正された個人情報保護法が本年4月1日から施行となります。なお、同法は令和3年にも改正されていますが、こちらは主として国の行政機関等の公的部門や学術研究分野における規律の見直しが中心であるため、民間の企業にとっては令和2年改正が重要になってきます。
これまで個人情報については、保護と利活用のバランスをどのようにとるのかという観点で議論が重ねられてきました。その意味で、令和2年改正では、新たに「仮名加工情報」(※個人を識別できる情報を他の記述に置き換えることによって識別できなくするように加工した情報)を創設するなど利活用を促進する規定を設けると同時に、個人情報を取り扱う事業者に対して漏洩等が発生した場合に個人情報保護委員会及び本人に報告を義務付けるなど保護にも配慮した改正とっています。
令和2年改正によって企業としては、漏洩等が発生した場合に委員会だけでなく本人にも通知をしなければならなくなりますので注意が必要です。報告・通知の対象となる情報については、①要配慮個人情報(人種、信条、社会的身分、病歴、犯罪経歴等)、②経済的損失を伴うおそれのあるデータ(クレジットカード番号等)、③不正の目的をもって行われた漏洩(ハッキング、不正な持ち出し等)、④1000人分を超える漏洩となっています。
最近でも病院や企業の保有するデータに対する海外からのサイバー攻撃が話題になっていましたので、私自身も意識を高めていきたいと思います。
弁護士 市村陽平