「個人情報保護法 いわゆる3年ごと見直し 制度改正大綱」を一読しただけの初見感想です。詳しい解説・レポート等は1月の講演資料を作る際にブログに書いたりするかもしれないし、1月の講演後に、講演資料をWEBにUPします。今日は、簡単な内容と感想だけ(感想を書くのが好きな私)。
https://www.ppc.go.jp/news/public-comment/
総論
骨子よりも、結構穏やかな内容。骨子を見たときは、意外と改正に強く踏み込むなと思いましたが、大綱だと結構穏やかな内容だな、と。
民間企業への影響
影響が出るところは主に以下。
利用停止、消去、第三者提供請求の対応(Pマーク付与事業者には影響ないかも?)
- 民間事業者は、本人から私の個人情報(保有個人データ)を使わないでくれ、消してくれ、外部提供しないでくれと言われたときに、それに対応する義務があるが、この義務対象(対応しなければいけない場合)が広がるというもの。
- ここが一番影響が大きいと思ったものの、JISに沿うらしいようなので、結構穏当な改正内容かなと思った。
開示対象の拡大
- 民間事業者は、本人から私の個人情報(保有個人データ)を見せてくれと言われたときに、それに対応する義務があるが、この義務対象(対応しなければいけない場合)が広がるというもの。
- 多くの企業にとってはおそらくそこまで影響はないのではないか。だって6か月以内消去で開示しないって、まじめな企業ならほぼやらないのでは?
- ただ、バックアップデータ(桜を見る会ではないが…)、テンポラリーデータなどの類には莫大な影響があるかもしれない。個人情報保護委員会側とあと経済団体(ITベンダーが入った方が良い)で、このあたりの検証が急務だろう。
漏えい等報告及び本人通知の義務化
適正な利用義務
- 今の法では適法でも、脱法的な個人情報の利用、不適切な利用を違法化する法改正。目的外利用規制の潜脱、目的内利用規制・利用目的の特定・明示等の潜脱が違法化されるということ。
仮名化情報を活用できる
- 仮名化が認められるって、かなり企業にとって良い影響がありそう。個人情報の内部活用(≠外部提供)が進みそう。
- でもこれって潜脱・脱法・違法行為が多数発生しそうなので、個人情報保護委員会の監督が求められるところ。
公益目的での個人情報取扱拡大
- これも、企業にとって良い影響がありそうだが、どの程度拡大されるかが不透明。改正法が成立してもまだ不透明でしょうから、明らかになるのはかなり後かも。ガイドラインの更新タイミングはいつか。
Cookie規制
- 意外と穏当な内容だった。ので、個人情報保護法改正に加えて、公取がさらに規制を上乗せする可能性もまだあるのではないか。
- 広告業界などで時々みられる不適切なCookie取扱いは淘汰される可能性。広告会社じゃない、一般の事業会社・民間企業も、多くは広告を出しているので、影響が出る可能性。ただまあそこまで大きい影響ではないだろう。
「パーソナルデータ効果的活用支援窓口」開設
- 個人情報の活用相談に委員会が載ってくれるというもの。これは企業にとって良い影響があるのではないか。
罰金引き上げ
- 刑罰対象行為をした時の罰金が法人について上がるかもしれない。
感想
パブコメ意見出そうかな、どうしようかなという感じ。言いたい意見は、開示請求対象拡大でバックアップデータとかの検討をしてくれという意見と、あとは公取との重複規制をやめてくれっていう話と、Cookie規制の在り方についてレポート等を出してくれっていう話ぐらいかな。あとは漏えい報告については、Privacy Commissioner会議とかで、GDPRの漏えい報告の状況とか聞いて、おそらく日本企業がかなり群を抜いてまじめに報告しているだろうから、そのあたりをEUのデータ保護当局と調整して、日本法に沿って報告すればGDPRもOKとかしてくれればいいなと思う。そこまで調整できなくても、たぶんEUへの漏えい報告、日本企業かなりやっているだろうから、そのあたりをちゃんと基準化してほしい、漏えい報告する基準を示してほしい的な意見を言いたいかな、ぐらい。あと、仮名化の違法行為横行しないよう取り締まってほしいっていうことかな。
意外と、思ったよりも改正内容は少な目だったかな、と。
ただまあ、開示・利用停止対応と漏えい対応で、民間企業への影響はそこそこありそう。名簿業界と広告業界にはかなりの大影響がありそう。