令和2年6月に公布された改正個人情報保護法は、令和4年4月に全面施行され、これにより、中小事業者を含む全ての事業者が適用対象となりました。個人情報保護法の規制を遵守できているか、今一度、社内の体制確認を行いましょう。　

1．個人情報の利用目的を具体的に定めて、本人に通知または公表すること

　事業者が保有する個人情報は、事業者が使用すると定めた目的以外には使用できません。その利用目的はできる限り具体的に特定し、プライバシーポリシーとして公表するなどの方法で本人に通知しなければなりません。

2．第三者に提供する時は本人の同意を得ること

　企業が保有する個人データ（事業者が管理する「個人情報データベース等」を構成する個人情報）を第三者に提供する時は、原則、あらかじめ本人の同意を得る必要があります。また、第三者提供記録や第三者提供を受けた記録は、一部の例外を除き3年間保管することが求められています。なお、企業が委託先や下請先に個人データを渡して業務を委託する場合にも本人の事前の同意が必要かを問われることが多いのですが、業務委託の場合は、第三者に当たらないため、本人の同意を得ずに利用可能です。ただし、委託の際には取引事業者にも適切な管理を求めることが必要（秘密保持契約書、個人情報の管理に関する合意書など）になります。

3．安全管理措置を整備すること

　個人情報保護法ガイドラインでは、安全管理措置として個人データを適正に取り扱うための基本方針を策定し、取扱規程を整備した上で、組織的・人的・物理的・技術的という4つの側面から安全管理措置を講じることを求めています。社内全体で、個人データが適切に取り扱われるよう定期的な社内教育の実施も必要となるでしょう。

4．個人データの漏えい事故などが発生した場合の対応を確認すること

　個人の権利利益を侵害する恐れが大きい、以下のような漏えい等の事故が発生した場合は、個人情報保護委員会への報告と本人への通知（以下、「報告等」）が法律上の義務になりました。
　① 要配慮個人情報が含まれる個人データや不正利用されることにより財産的被害が生じるおそれがある個人データの漏えいなど
　② 不正の目的をもって行われたおそれがある個人データの漏えいなど
　③ 個人データに係る本人の数が1000人を超える漏えいなど
　これらについては、現に発生していなくても、発生するおそれがあれば報告の対象になります。万が一の場合には、報告等が必要となることを認識し、速やかに事故の概要や発生原因を調査できるようシュミレーションを行うなどの体制整備も必要でしょう。

5．本人からの個人データの開示、訂正、利用停止の申出があれば速やかに応じること

　改正法により、書面の交付による開示のほか、デジタル開示の請求ができるようになりました。開示請求が到達した日から2週間を経過すると本人は訴訟提起が可能になりますので、速やかに応じられるよう保有している個人データを整理、把握し、開示請求に対応するための準備が必要です。6ヶ月以内に消去する「短期保存データ」も開示請求の対象となりましたので注意が必要です。

6．利用しなくなった個人情報は消去すること（努力義務）

　努力義務ではありますが、年度末等の決まったタイミングで不要なデータがないかを確認し、廃棄するなどのルールを設けるなど社内で手順を定めておくのがよいでしょう。

7．日本国外から個人情報を取得している場合（個人情報の域外適用・越境移転）

　日本の個人情報保護法対策に加えて、海外の法律に適合した個人情報保護対策が必要になります。日本国内の場合よりも厳格な運用を求められていることがありますので、注意が必要です。個人情報保護については、事業者に対して、年々厳格な対応が求められるようになっていますが、海外と比較すると日本の個人情報保護法はまだまだ罰則が軽く、抑止効果になっていないとして、改正法では個人情報保護委員会による命令に違反した場合等の罰金が50万円以下から1億円以下に引き上げられています。
　
　個人情報の重要性は今後ますます高まります。ご不明点等ございましたらお気軽にご相談ください。