1.  ２０２２年（令和４年）４月１日、またもや個人情報保護法が改正されます。
個人情報の重要性が高まっている中、あらゆる会社に関係する個人情報保護法の改正ですので、しっかりと対応することが重要です。

2.  ２０２２年（令和４年）の個人情報保護法改正の内容は、概ね以下の通りです。

①  　個人の権利や利益を害するおそれが大きい漏えいが生じた場合等に、個人情報保護委員会への報告をすること及び本人へ通知することが義務化されました。
近時、不正アクセス等による情報漏洩の事案が増加していますが、例えば、①従業員の健康診断の結果を含む個⼈データが漏えいした場合、②送⾦や決済機能のあるウェブサービスのログインIDとパスワードの組み合わせを含む個⼈データが漏えいした場合、③不正アクセスにより個⼈データが漏えいした場合、④１０００件を超える漏えいの場合には、報告や通知が必要になります。報告義務や通知義務が免除される場合もありますが、①当該事態を知った時点から概ね３～５⽇以内に速報し、②報告対象の事態を知ってから３０⽇以内（不正の⽬的によるおそれがある漏えい等の場合は６０⽇以内）には確報しなければいけませんので、漏えい事案が生じた場合には、速やかに対応を協議する必要があります。

②  　外国にある第三者へ個人データを提供する時には、情報提供の充実を図る必要があります。例えば、本人から同意を取得する時に移転先の所在国の名称を提供すること等が義務付けられます。

③  　安全管理のために講じた措置の公表が義務化されます。
そのため、プライバシーポリシーを改訂するか、又は、本人からの求めに応じて遅滞なく回答できるようにしておく必要があります。
安全管理措置に関する規程を社内で整備していない場合には、早急に整備する必要があります。

④  　以前は、６ヶ月以内に消去するデータは「保有個人データ」に該当しませんでしたが、今後は「保有個人データ」に該当することになりましたので、開示請求を受けた場合には、原則として開示しなくてはならなくなります。
また、個人データを第三者に提供したり、受領した際の記録も開示請求の対象となります。
さらに、開示方法については、原則として本人が指示できるようになりましたので、書面による交付だけではなく、電磁的記録による交付にも対応しなければならなくなります。
それ以外にも、事業者がデータを利用する必要がなくなった場合や漏えい等が生じた場合にも、保有個人データの利用停止・消去・第三者提供の停止を行わなければならなくなりました。

⑤  　違法な行為を営むことが疑われる事業者に個人情報を提供するなどの不適正な方法により個人情報を利用することが禁じられることが明確化されました。

⑥ 　 提供元では個人データに該当しないものの、提供先において個人データとなることが想定される個人関連情報の第三者提供について、本人の同意が得られていること等の確認が義務付けられます。
個人関連情報には、Cookie等の端末識別子を通じて収集されたサイト閲覧履歴、商品購買履歴・サービス利用履歴、位置情報等が該当します。

⑦  「仮名加工情報」制度が創設され、利用を内部分析に限定するなどを条件に事業者の義務が緩和されました。
仮名加工情報は、漏えい時の報告義務も課されませんし、開示等の請求対象にもなりませんので、データの利活用などがより柔軟にできるようになったとされています。

⑧  　違反をした場合の罰則も引き上げられました。
例えば、個人情報保護委員会の措置命令に違反した場合には、１年以下の懲役又は１００万円以下の罰金に処することになりました。

以上の通り、２０２２年（令和４年）の個人情報保護法改正により、大きく変わることになります。

　他にも、例えば、利用目的についても具体化することが必要なので、一般的・抽象的なプライバシーポリシーになっている場合には、改訂が必要です。

　ガイドラインでは、「事業活動に用いるため」、「マーケティング活動に用いるため」というようなよく見かける記載内容では不足しており、「○○事業における商品の発送、関連するアフターサービス、新商品・サービスに関する情報のお知らせのために利用いたします。」等と記載することが求められています。

　当事務所では、個人情報などの情報管理・情報漏えいに関わる様々な事案に関わっていますので、まだ改正に対応されていない場合には、ご相談頂くのが良いと思います。

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　以上