個人情報保護法改正とプライバシーマークの違い~外国にある第三者編~


こんにちは。プライバシーマーク運用支援コンサルタントの杉浦です。
いつも当社のブログをご覧いただき、ありがとうございます。

近年、気候がおかしなことになっているように感じますね。
これまでゲリラ豪雨と呼ばれていたものがさらに勢いを増し、街を呑み込むようなニュース映像を見るたびに心が痛みます。

ますます企業の生産活動のあり方であるとか、自分たちの世代の将来構想を真剣に考えるようになりました。

さて、本日は、「個人情報保護法改正とプライバシーマークの違い~外国にある第三者編~」というテーマで、個人情報保護法改正においてプライバシーマーク上何が変わったかを書かせていただきます。

「改正個人情報保護法、個人情報保護委員会」について

本題に入る前に「改正個人情報保護法、個人情報保護委員会」について先に書かせて頂きます。

改正個人情報保護法が2015年9月3日に可決・成立がされ、同年9月9日に公布されました。ただこの時、施行はまだされいない状況でした。
そして2016年12月、2017年5月30日に全面施行するということの発表がされました。

そもそもここでいう個人情報保護委員会とはいったい何のでしょうか?

個人情報保護委員会とは、個人情報(マイナンバー(個人番号)を含む。)の有用性に配慮しつつ、その適正な取扱いを確保するために設置された独立性の高い機関です。
具体的には、個人情報保護法及び番号法に基づき、次のような業務を行っています。

1、特定個人情報の監視・監督に関すること

行政機関や事業者等、特定個人情報の取扱者に対して、必要な指導・助言や報告徴収・立入検査を行い、法令違反があった場合には勧告・命令等を行うことがあります。
なお、個人情報保護法の改正法が施行されるまで、個人情報取扱事業者に対する監督の業務は従来どおり各省庁が担っています。

2、苦情あっせん等に関すること

特定個人情報の取扱い等に関する苦情の申出についての必要なあっせんを行うため、苦情あっせん相談窓口を設置して相談を受け付けています。
また、個人情報保護法の解釈や制度一般に関する疑問にお答えするため、問合せ窓口を設置して質問を受け付けています。

3、特定個人情報保護評価に関すること

特定個人情報保護評価は、マイナンバー(個人番号)を利用する行政機関等が、総合的なリスク対策を自ら評価し公表するものです。
委員会では、その評価を行う際の内容や手続を定めた指針の作成等を行っています。

4、個人情報の保護に関する基本方針の策定・推進

個人情報保護法に基づく「個人情報の保護に関する基本方針」の策定等を行い、官民の個人情報の保護に関する取組を推進しています。

5、国際協力

個人情報の保護に関する国際会議へ参加するほか、海外の関係機関と情報交換を行い、協力関係の構築に努めています。

6、広報・啓発

個人情報の保護及び適正かつ効果的な活用について、パンフレット、ウェブサイト、説明会等を活用した広報・啓発活動を行っています。

7、その他

上記の事務のほか、委員会の所掌事務の処理状況を示すための国会報告や必要な調査・研究等を行っています。

個人情報保護委員会とは、これらの業務を委員長1名、委員8名、合計9名の合議制で意思決定をする組織のことです。

新たに設けられた規定

プライバシーマークを運用していく中で法令順守が要求事項にあります。
2017年5月30日の全面施行までは、関連する省庁のガイドラインを各事業者は特定をしていました。

それが上記の改正により、個人情報の取扱いに関しての窓口を1本化するということが決まりました。
各省庁で発足しているガイドラインの特定をやめて、個人情報保護委員会が発足しているガイドラインを基準にしていこうということです。

その中の1つが今回のテーマである「~外国にある第三者編~」で「個人情報の保護に関する法律についてのガイドラインの外国にある第三者への提供編」が出てきます。

改正前は第三者に対する個人データの提供に関するルールを定めてはいたが、第三者が国内にあるのか、外国にあるのかの区別をしていなかったのです。

しかし、経済・社会活動のグローバル化及び情報通信技術の進展に伴い、個人情報を含むデータの国境を越えた流通が増加しており、外国への個人データの移転について一定の規律を設ける必要性が増大してきたこと、また個人情報の保護に関する国際的な枠組み等との整合を図ることを理由に、改正後の法第24条に新たに外国にある第三者に対する個人データの提供に関する規定が今回新たに設けられたのです。

個人情報保護法改正によってどこが関わってくるか?を

それではここでプライバシーマークを取得している企業様に個人情報保護法改正によってどこが関わってくるか?を簡単にお伝えします。

例えば親会社が外国の法人、外国に支社がある企業様の場合に個人情報のやり取りを交わすことがある際は、あらかじめ本人の同意を得ておきましょう、委託先とは個人情報の取扱いに関しての覚書を外国の企業とも結んでいくことが求められています。

もともとは日本国内でのやり取りを中心に考えており、特に外国に対しては触れておりませんでしたが、昨今のグローバル化により、日本の国内規格では視野が狭くなってきているため時代背景を反映しているということでしょう。

最後に

いかがでしたでしょうか。

今回のブログを見ていただいて、運用上で困っている所があるなとか、これから取得を検討しているが不安があるなと思っている企業様がおりましたら、例えば、ISO総合研究所のように、プライバシーマーク認証の維持活動をアウトソーシングサービスとして請けている会社もありますので、経営資源を適正に配分するための一つの選択肢としてアウトソースを検討してみてはいかがでしょうか。

また今回の個人情報保護法の改正に伴い、弊社でもセミナーを開くことが決まりました。

実際にプライバシーマーク審査員補の資格を持つ者が講師ですのでよろしければ、このブログをご覧いただいた際にご検討頂ければと思います。

\ お問い合わせフォームはこちら /

WEBお問い合わせ


【Pマーク総研】メールマガジン登録

Pマークに関する情報をお届けします!

メールアドレスをご入力後、
「次へ」ボタンをクリックして下さい。

メールアドレス