tajimashinobu 2022年(令和4年)4月1日に施行された改正個人情報保護法は、中小企業にとっても大きな影響があります。ほとんどの企業が
個人情報取扱事業者に該当し、改正個人情報保護法への対応が求められていますが、ホームページのプライバシーポリシー等の
公開情報は更新がされていない企業様が多く見受けられます。
経営資源である人・モノ・カネ・情報・時間の中でも、情報は普段意識することを忘れがちな部分ですが、改めて目を向けて
いただく機会になれば幸いです。
令和4年 個人情報保護法改正の主なポイント
個人の権利の強化:
開示請求の容易化: 保有個人データの利用停止・消去請求が容易になりました。
外国にある第三者への提供規制の強化: 外国事業者への個人データ提供時の本人同意取得が義務化されました。
事業者の義務の明確化:
漏えい等の報告義務の強化: 個人データの漏えい等が発生した場合、個人情報保護委員会への報告と本人への通知が義務化されました(一定の要件を満たす場合)。
不適正利用の禁止: 違法または不当な行為を助長するような個人情報の利用が禁止されました。
法執行の強化:
個人情報保護委員会の権限強化: 委員会による指導・勧告・命令などの権限が強化されました。
罰則の強化: 法令違反に対する罰則が大幅に引き上げられました。
中小企業が注意すべき点
- 漏えい等発生時の対応: 漏えい等が発生した場合、速やかに事実関係を調査し、個人情報保護委員会への報告と本人への通知を行う必要があります。
漏えい等報告が必要な場合
(1)要配慮個人情報が含まれる個人データの漏えい等(又はそのおそれ)
※要配慮個人情報⇒人種、信条、社会的身分、病歴、犯罪の経歴、犯罪 により害を被った事実、その他政令で定めるもの(身体障害、知的障害、精神障害等の障害があること、健康診断その他の検査の結果、保健指導、診療・調剤情報、本人を被疑者又は被告人として、逮捕、捜索等の刑事事件に関する手続が行われたこと、本人を非行少年又はその疑いがある者として、保護処分等の少年の保護事件に関する手続が行われたこと)
(2)不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等(又はそのおそれ)
(3)不正の目的をもって行われたおそれがある当該個人情報取扱事業者に対する行為による個人データ(当該個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、個人データとして取り扱われることが予定されているものを含む。)の漏えい等(又はそのおそれ)
(4)個人データに係る本人の数が1,000人を超える漏えい等(又はそのおそれ)
- 外国事業者へのデータ提供: クラウドサービスなどを利用して外国事業者へ個人データを提供する場合、本人同意の取得が必要となる場合があります。
- 従業員教育の徹底: 改正内容を従業員に周知し、個人情報保護に関する意識を高める必要があります。
- プライバシーポリシーの見直し: 改正内容に合わせて、プライバシーポリシーを見直す必要があります。
中小企業が取り組むべきこと
- 個人情報保護法の理解: まずは改正内容を正確に理解しましょう。
- 社内体制の整備: 個人情報保護に関する責任者や担当者を明確にしましょう。
- リスクアセスメントの実施: 自社における個人情報の取り扱い状況を把握し、リスクを評価しましょう。
- 安全管理措置の強化: 組織的、人的、物理的、技術的な安全管理措置を強化しましょう。
- 従業員教育の実施: 定期的に従業員教育を実施し、個人情報保護意識を高めましょう。
定期的に行われる個人情報保護の改正は、中小企業にとっても他人事ではありません。しっかりと対策を講じ、個人情報保護に関するリスクを低減しましょう。
デジタル化、DX化を進めるためにも適切な情報管理が求められます。
長野県の中小企業のデジタル化・DX化をお手伝いをしています。是非お問い合わせください。
