【弁護士に聞く】改正個人情報保護法への観光業界としての備え
改正個人情報保護法が4月1日に施行されます。改正のポイントは、①保有個人データの利用停止・消去請求の権利の拡大、②漏洩時等の委員会報告と本人通知の義務化等事業者の責務の拡大、③外国の事業者への提供の規制強化、④罰則の重罰化、⑤個人関連情報の提供規制の新設、⑥仮名加工情報の新設等です。
このうち、観光関連業者が通常業務の上で知っておくべきことは①~④なので、以下ポイントごとに解説します。なお、今回の改正は、2015年の改正の際の「3年ごとの見直し規定」に基づく最初の改正です。恐らくは、個人情報の利活用の拡大は続くでしょうから、それを追いかける見直し改正も続くことになると思います。事業者は遅れることなく、改正内容を今後もフォローする必要があります。
ポイント① 保有個人データの利用停止・消去請求の権利の拡大
これまでは、事業者が適法に取得した保有個人データ(コンピュータによって容易に検索できるデータベース化された個人情報(個人データ)で、事業者が開示、訂正、削除等のできるものをいいます)は、目的外使用されたとき以外は、その利用停止や消去を請求できず、第三者提供の停止を請求できるのも、本人の同意なく第三者提供がされたときに限られていました。
改正法では、これらの事由に加えて、不適正な利用(違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用すること)がなされたときも利用停止等の請求ができることになりました。さらに、事業者が保有個人データを利用する必要がなくなったときや、保有個人データの漏洩等、その取扱いが本人の権利又は正当な利益が害されるおそれがあるときにも、利用停止等や第三者提供の停止の請求ができるようになります。現行法では6カ月以内に消去される個人情報は保有個人データから除外されていますが、改正法ではこれも保有個人データに含まれます。
また、改正法では個人情報の第三者提供の記録(事業者に作成義務があり、公益等が害されるものとして政令で定めるものは除きます)も本人は事業者に開示が求められることになりました。
ポイント② 漏洩時等の委員会報告と本人通知の義務化等事業者の責務の拡大
事業者に次の事由が発生し、又は発生したおそれがある事態が生じたときは、個人情報保護委員会への報告と本人への通知義務が課せられました。ただし、他の事業者から保有個人データの取扱いの委託を受けた場合は、委託元に通知すれば足りるとされましたので、いわゆる受託旅行業者は委託旅行業者に通知すれば良いことになります。
ア 要配慮個人情報が含まれる個人データ(高度な暗号化その他の個人の権利利益を保護するために必要な措置を講じたものを除く)の漏洩、滅失若しくは毀損(漏洩等)
イ 不正に利用されることにより財産的被害が生じるおそれがある個人データの漏洩等
ウ 不正の目的をもって行われたおそれがある個人データの漏洩等
エ 個人データに係る本人の数が千人を超える漏洩等
また、もともと許されることではありませんでしたが、前述した個人情報の不適切な利用の禁止が明文化されました。
さらに、事業者には保有個人データについての公表義務がありましたが、その範囲が拡大し改正法では以下の事項について本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む)に置かなければならないとされました。ホームページ等に掲載されているプライバシーポリシーを再確認して下さい。
ア 事業者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
イ 全ての保有個人デ-タの利用目的(公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合等を除く)
ウ 保有個人デ-タの利用目的の通知の求め、開示、訂正、追加又は削除、利用の停止又は消去、第三者提供の停止、第三者提供記録の開示の各請求に応じる手続
エ 事業者が保有個人データの安全管理のために講じた措置(公表することにより当該保有個人データの安全管理に支障を及ぼすおそれがあるものを除く)
オ 保有個人デ-タの取扱いに関する苦情の申し出先
次ページ >>> 旅行会社は海外の個人情報法制を調べる必要も