今回は、事業者の守るべき責務の在り方、および事業者による自主的な取組を促す仕組みの在り方について解説します。

１．事業者の守るべき責務の在り方

（1）漏えい等の発生時に個人情報保護委員会への報告及び本人への通知が義務化された。（法第22条の2関係）

改正前

個人データの漏えい等又はそのおそれのある場合、個人情報取扱事業者による個人情報保護委員会への報告は「努力」義務レベルでした。また、本人への通知も実施が「望ましい」レベルであり、いずれも義務ではありませんでした。

改正後

個人情報取扱事業者は、個人データの漏えい等又はそのおそれのある場合で、以下いずれかのような個人の権利利益を害するおそれが大きい場合は、個人情報保護委員会への報告及び本人への通知が「義務」となりました。

解説

個人情報保護委員会への報告には、速報と確報の2種類があります。ガイドラインによると、速報は、漏えい等が発生したのを知った時点から概ね3～5日以内、確報は30日以内に報告しなくてはなりません。
なお、確報では以下の事項を報告する必要があります。

個人データの取扱いを委託している場合、原則として委託元と委託先の双方が報告する義務を負いますが、委託元が委託先に先に通知した場合、委託先は報告義務を免除されます。

＜補足＞

以下の事項については、改正前と変わりません。

（2）違法又は不当な行為を助長する等の不適正な方法により個人情報を利用してはならない旨が規定された。（法第16条の 2関係）

改正前

なし（個人情報の不適正な利用を明確に禁止する規定はありませんでした）

改正後

違法又は不当な行為を助長する等の不適正な方法により個人情報を利用してはならない旨が明確に規定されました。また、その具体的な事例が記載されました。

解説

不適正な利用の具体的な例とは、例えば以下のような事項です。

（3）保有個人データに関する公表事項が追加された。（法第27条関係）

改正前

保有個人データに関する事項について、以下を本人の知り得る状態に置かなければならないことが定められていました。

改正後

改正前に加え、以下の事項が追加されました。

解説

安全管理措置の記載粒度は、取り組み概要が理解できるレベルで良いと考えられます。（あまり詳細に記述して公表すると、漏えい等につながる恐れもあります）
個人情報保護法ガイドラインでは、安全管理措置の内容として以下の記載例が示されています。（一部抜粋）

２．事業者による自主的な取組を促す仕組みの在り方

（1）企業の特定分野（部門）を対象とする認定個人情報保護団体を認定できるようにした。（法第47条関係）

改正前

個人情報保護委員会は、認定個人情報保護団体制度は、企業全体を対象とした団体を認定していました。

改正後

個人情報保護委員会は、現行制度に加え、企業の特定分野（部門）を対象とする団体を認定できるようになりました。

解説

認定個人情報保護団体制度とは、個人情報取扱事業者についての苦情、情報処理等の業務を行う団体です。個人情報取扱事業者は、認定個人情報保護団体に加入することによって、本人からの苦情の申し出先を認定個人情報保護団体にして、仲立ちをしてもらえます。また、個人情報保護に関連するさまざまな情報の提供を受けることができます。
しかし、認定個人情報保護団体は業種別の団体が多く、企業全体を対象としているため、幅広い事業を展開している事業者には加入しづらい面がありました。そこで今回の改正により、個人情報取扱事業者の事業の種類や業務の種類を対象にできるようになりました。
これにより、例えば同じ社内でもA事業を行うA部門とB事業を行うＢ部門が、それぞれの事業に近い別々の認定個人情報保護団体に加入できるようになりました。

次回は、データ利活用に関する施策の在り方について解説します。

参考資料