罰金30万円！退職者の写真はすぐ削除しよう

いよいよこの4月1日から「改正個人情報保護法」が施行されました。

30万円以下だった罰金刑が1億円以下になるなど罰則規定の強化等、その他諸々と改正され、個人情報を扱う会社にとって収集・運用に関する法が厳格化されました。

以下に日本国内で個人情報を活用される場合の改正ポイントをお伝えしますので、参考にしていただきホームページのプライバシーポリシーを修正されることをおススメします。

【著者プロフィール】

株式会社アクセスアップ／富井清和

1998年東京都千代田区でITベンチャーを起業。金融機関・放送局・大手電機メーカーを含む約1,500社にも及ぶWebシステム開発に携わる。主にSEO対策を目的としたコンテンツ作りとページ構成を得意とする。

日頃の業務のかたわらで、船井総研との共同セミナー講師、東京税理士会や杉並区中小企業診断士会への技術研修。杉並区商工会議所や武蔵野青年会議所等でセミナー講師を務めホームページの集客方法について語っている。

そもそも「個人情報保護法」とは

個人情報保護法とは正式名称を「個人情報の保護に関する法律」と言い、個人情報の不正利用や不適切な取り扱いを防ぐため、個人情報を取り扱う事業者を対象に個人情報の取り扱い方についての義務を課す法律として定められたもの。

平成29年に全面施行され、中小企業をはじめとするすべての事業者が遵守すべき義務等を定める法律です。また、令和3年の改正法により、国・独立行政法人・地方公共団体も対象とする法律になりました。

情報漏えいが発生した場合は報告・通知が義務化

改正：「万が一個人情報が漏えいした場合は、速やかに個人情報保護委員会への報告とご本人への通知をいたします。」

今回の改正によって、個人データの漏えい等が発生し、個人の権利利益を害するおそれがあるときは、個人情報保護委員会への報告及び本人への通知が義務化となりました。

改正前は企業側の努力とされていたことが義務化へと変更されたのです。

報告が必要となる事態は次の4つ。

1. 要配慮個人情報の漏えい等
2. 財産的被害が生じるおそれがある漏えい等
3. 不正の目的によるおそれがある漏えい等
4. 1,000人を超える漏えい等

上記の3項目までは、件数に関わわりなく報告義務が発生します。

必要がなくなった個人情報はただちに削除

改正：「利用する必要がなくなった個人情報はただちに削除いたします。」

また、6ヶ月以内に消去する個人データやデータを提供・受領した際の記録も開示請求の対象となります。この他、本人による保有個人データの利用停止・消去等の個人の請求権が拡充されています。

会社側が個人情報を利用する必要がなくなった場合や、個人情報保護委員会へ報告義務のがある重大な漏りが発生した場合。また、本人の権利又は正当な利益が害されるおそれがある場合には、個人がデータの利用停止・消去が請求できるようになりました。

退職した社員さんの写真がホームページに載ったままの場合、ただちに削除されることをおススメします。

Cookie等を利用して収集された個人情報について

改正：「当ホームページは、Cookie等の端末識別子を通じてホームページの閲覧履歴を収集しています。」

改正法で新たに個人情報に加えられたのが「等の端末識別子を通じて収集された、ある個人のウェブサイトの閲覧履歴」です。

法律の定義では、「個人情報を第三者に提供する場合、提供先（B社）において個人データとして取得することが想定される時は、提供元（A社）に第三者の提供に関して本人同意が得られていることの確認を義務付け」とあります。

その延長としてGoogleアナリティクスやコンソールなどアクセスログ解析ツールを利用している場合は、ホームページ内でその旨をユーザーに伝え、同意を得なければならなくなりました。

>>「Cookie同意バナー」設置が義務付けに！？

さいごに

如何でしたか？

一部だけですが、この4月1日に施行された「改正個人情報保護法」に絡んでプライバシーポリシーの文言の見直しとCookie収集の同意についてお話ししました。

今回の法改正によって「プライバシーポリシー」ページの見直しが必要です。 まだ見直しがお済でない場合は、このブログを参考に対応してください。