プライバシーポリシーの改定はお済ですか?
個人情報保護法改正によりプライバシーポリシーの改定が必要です
2022年4月から個人情報保護法が改正されました。この改正により、個人データの漏えいが発生した場合の報告と本人への通知が義務付けられるなど、個人情報取扱事業者の責任が強化されました。
今後の保険代理店の業務への影響として以下の2点が挙げられます。
①個人情報の不適切利用等が発生したときに損害賠償責任の範囲が以前より広がる可能性があります。
②プライバシーポリシー(個人情報保護方針)を法改正に則した内容に改定する必要性が生じます。
4月の法改正で何が変わるか、特に保険代理店の事業においてどのような影響が生じるかは下記のとおりです。
改正のポイント
今回の改正の内容は主に次の7つです。
- ①保有個人データの取扱方法の改正
- ②事業者の義務の追加
(漏洩時の報告義務等) - ③認定団体制度の整備
- ④仮名加工情報の新設
- ⑤罰則強化
- ⑥法の域外移転・越境移転
- ⑦行政への規制と
民間への規制の一本化
これらの内、私たち保険代理店にとって特に重要な
「①保有個人データの取扱方法の改正」
「②事業者の義務の追加(漏洩時の報告義務等)」
「⑤罰則強化」についてご説明いたします。
保有個人データの取扱方法の改正
保有個人データの定義
「保有個人データ」とは、保険代理店を含む個人情報取扱事業者が開示等の権限を有する個人データをいいます。
個人情報保護法では、本人(個人情報によって識別される特定の個人)が個人情報取扱事業者に対して保有個人データの開示を求めたとき、第三者の利益を害するなどの理由がなければ、事業者は開示請求等に応えなければならないとされています。
今回の法改正で保有個人データの定義が広がり、6か月以内に消去する短期保存データが保有個人データに含められることになりました。
⇒本人から請求があったときに事業者が開示に応じなければいけない項目が増えたことになります。
事業者が公表すべき事項
また、保有個人データに関して事業者が公表すべき事項が追加されました。
従来必要とされていた事業者の氏名等のみならず、住所や安全管理措置の内容等についても公表すべきとされました。
プライバシーポリシーの改定が必要となるのはこれが理由です。
その他にも、個人情報の開示を受ける場合に書面以外の方法を本人が指定できる、従来は法違反のときしか利用停止・削除請求できなかったのが、不適切利用の場合でもそれができるようになるなどの改正が行われました。
事業者の義務の追加(漏洩時の報告義務等)
個人情報の保護をより厚くするために、事業主の義務と罰則が強化されました。
まず、個人情報の漏洩が発生し、個人の権利利益を害するおそれがある場合に、委員会への報告と本人への通知が義務づけられました。
また、違法また不当な行為を助長する等の不適正な方法により個人情報を利用してはならない旨が明確にされました。
不適切利用とは、①差別を誘発する利用方法、②違法な行為を営むことが疑われるものへの提供、③不当要求対策のための反社会的勢力への名簿の開示などをいいます。
その他に、個人関連情報の第三者提供の制限などの制度が新設されています。
罰則強化
個人情報保護委員会からの命令への違反があったとき、行為者には1年以下の懲役または100万円以下の罰金が、法人等には1億円以下の罰金が科されます。
これまでの罰則は、個人に対しては6か月以下の懲役または30万円以下の罰金、法人等に対しては30万円以下の罰金とされていましたので、法人に対する罰則が著しく厳罰化されました。
また、個人情報データベース等の不正提供等に関する法人等に対する罰則も50万円以下の罰金から1億円以下の罰金とされ、こちらも厳罰化されました。
保険代理店がとるべき対応
損害賠償責任の範囲
個人情報の不適切利用や個人関連情報の提供は、個人情報保護法上、個人情報の利用方法としてこれまで明確には禁止されていませんでした。
罰則の対象とはされておらず、本人が訴えても事業者に損害賠償責任が認められない可能性もありました。
今回の改正により個人情報関連規制が新設され、個人情報の権利意識が高まることで、今後は行政による指導も積極化し、事業者の損害賠償責任が認められやすくなる可能性があります。
そのため、個人情報保護の安全管理措置を徹底するだけでなく、保険を活用するなど多額の損害賠償に備える必要があります。
プライバシーポリシーの改定
これまで個人情報取扱事業者は、保有個人データに関し、事業者名や保有個人データの利用目的等を公表しなければならないとされてきました。
今後は、事業者名だけでなく、住所や安全管理措置の内容も公表しなければなりません。
加えて、cookieの取得等について明記しておくことが望ましいでしょう。
プライバシーポリシーには個人情報の利用目的を具体的に特定する必要があり、「事業活動に用いるため」「マーケティング活動に用いるため」といったあいまいな表現は認められません。
また、保有している個人データの安全管理のためにどのような措置を講じているかプライバシーポリシーに記しておかなければなりません。
このところ大手企業が相次いでプライバシーポリシーの改定を発表していますが、保険代理店も例外ではありません。
まずは代申会社である保険会社とご相談をいただき雛形の提供を受けて下さい。その上で、私たち代理店にとって重要な法改正ですので会社の実情を踏まえて慎重に改定を行うことをお薦めします。
(大阪代協 事務局)