はじめに
令和2年(2020年)の個人情報保護法改正法(令和2年改正法)は、令和4年(2022年)4月1日に施行されます。改正法の施行に向けて各社対応を進めているところと思われますが、本コラムでは、プライバシーポリシーに関して、対応すべき2つの点をご紹介いたします。
1 共同利用の際の個人データの管理責任者の住所、法人代表者の氏名
令和2年改正法により、個人データの共同利用をする際の事前通知項目に、その個人データの管理責任者の住所及び管理責任者が法人であればその代表者の氏名が含まれました。
よって、これまでプライバシーポリシーに共同利用先の法人の名称のみを記載していた場合には、これに加えて管理責任者の住所と、それが法人であればその代表者名を記載することが必要です。
こちらは、「通知」又は「容易に知り得る状態に置いている」必要があるため、必ずプライバシーポリシー等に記載しておく必要があります。
法第27条5項
次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用については、第三者に該当しないものとする。
(3)特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的並びに当該個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。
変更があった場合の対応
また、令和2年改正法により、共同利用の際の事前通知項目に変更があった場合には、次のとおり通知又は容易に知り得る状態に置かなければならない(≒プライバシーポリシーを変更しなければならない)ことになりました。
〇管理責任者の氏名、名称、住所、法人代表者名の変更があったとき⇒変更後遅滞なく
〇利用目的、管理責任者を変更するとき⇒あらかじめ
法第27条6項
個人情報取扱事業者は、前項第三号に規定する個人データの管理について責任を有する者の氏名、名称若しくは住所又は法人にあっては、その代表者の氏名に変更があったときは遅滞なく、同号に規定する利用する者の利用目的又は当該責任を有する者を変更しようとするときはあらかじめ、その旨について、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。
2 個人情報取扱事業者の住所、代表者の氏名
これらに加えて、令和2年改正法により、個人情報取扱事業者の氏名又は名称に加えて、住所及び法人についてはその代表者の氏名も本人の知り得る状態におかなければならなくなりました。
よって、これまでプライバシーポリシーに法人の名称のみを記載していた場合には、これに加えて、住所、代表者名を記載することが適切です。
ただし、「本人の知り得る状態」には「本人の求めに応じて遅滞なく回答する場合を含む。」とされていますので、何らかの事情でこれらをプライバシーポリシーに記載できない場合には、遅滞なく回答する体制を整えておくことでも足ります。
法第32条1項
1 個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない。
(1)当該個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
3 安全管理措置
また、プライバシーポリシーとしての追記は必須ではありませんが、保有個人データの安全管理のために講じた措置(改正後施行令第10条1号)も、公表するか、又は求めに応じて遅滞なく回答することで本人の知り得る状態に置かなければなりません(法32条1項4号)。ただし、安全管理措置に支障を及ぼすおそれがあるものは、その必要はありません。
おわりに
以上のとおり、軽微ではありますが、対応すべき制度変更となりますので、注意が必要です。
スポットでのご相談やご依頼もお受けしておりますので、ご気軽にお問合せください。