経団連は6月14日、令和2年改正個人情報保護法ガイドライン案に関する懇談会をオンラインで開催し、個人情報保護委員会事務局の池田満企画官から、同ガイドライン案について説明を聴いた。概要は次のとおり。

■ 令和2年改正個人情報保護法への対応

令和2年改正個人情報保護法は、民間事業者に直接的な影響がある改正内容を含んでいる。全面施行日である来年4月1日までに、民間事業者はガイドラインの確認等によって改正内容を把握し、対応してほしい。

主要改正点の一つは、個人データの漏えい等があった場合の報告である。現行法では、漏えい等があった場合、個人情報保護委員会に報告し、本人にも通知するよう努めることとされている。法改正後は、漏えい等が発生し、個人の権利利益を害するおそれが大きい場合^（※）には、個人情報保護委員会への報告と本人への通知が義務化される。また、漏えい等の報告は速報と確報の二段階で行わなければならない。速報は個別の事案によるものの、当該事態を知った時点から概ね3～5日以内に、その時点で把握している内容を報告する必要がある。確報においては、報告事項すべてを30日以内（不正の目的による場合は60日以内）に報告しなければならない。

■ データの越境移転にかかわる対応

もう一つの大きな改正点は、データの越境移転に関してである。現行法では外国にある第三者に個人データを提供するうえで、（1）本人の同意があること（2）基準に適合する体制を整備した事業者であること（3）わが国と同等の保護水準国（現時点ではEUと英国）であること――のいずれかの要件を満たす必要がある。法改正後は、本人の同意に基づいて移転を行う際、移転先の所在国の名称、当該外国における個人情報の保護に関する制度、移転先が講ずる個人情報の保護のための措置等の情報を本人に提供する必要がある。

改正への対応にあたり、民間事業者にはデータの棚卸し作業の実施を推奨する。まず、どこの国の事業者に個人データが移転されているのかをその法的根拠とともに確認したうえで、当該国の制度や事業者のデータ取り扱い状況を把握すべきである。また、本人への提供が求められる情報を確認したうえ、移転先が基準に適合する体制を整備した事業者であることを根拠に移転している場合には、海外事業者との契約の見直しも視野に入れてほしい。

【産業技術本部】