氏名、生年月日、免許証番号等、個人情報の取り扱いを定めた個人情報保護法があります。データ利用の急拡大を見据え、その改正法が6月5日に成立、12日に公布されました。改正の議論のさなかに、就職情報サイト「リクナビ」を運営するリクルートキャリがが就職活動をする学生の「内定辞退率」を販売した問題が発生し規制色が強まったと言われています。
個人データの利用停止を本人が企業に請求できる「使わせない権利(利用停止権)」を盛り込み、ウェブの閲覧履歴を記録した「クッキー」は個人と照合して利用する第三者に渡す場合に本人の同意を義務づけました。今まで同意を義務づけしてこなかった方が問題ですね。企業への罰金の上限も1億円に引き上げたとありますが、その効果はどうでしょうか?
データの適正な利活用を後押しする内容も加えました。個人を識別できないようにした「仮名加工情報」であれば条件付きで利用停止請求などの対象から外すとされました。個人情報保護委員会は、情報漏洩が発生した場合の本人への通知義務も含め、具体的な運用方法について年内に制令や規則をまとめる予定とのことです。
まとめると以下の通りです。
・個人が望まないデータの利用停止を企業に求める権利の拡大
・違法や不当な行為を誘発する恐れのあるデータ利用を禁止
・「個人の権利に害を与える恐れが大きい」漏洩の報告を義務化
・法人への罰則を上限1億円に引き上げ
この規制の実施は2022年春を予定しています。
ちなみに、 米国(カリフォルニア州)では社会保障番号や免許証、クレジットカードの情報等、欧州では72時間に報告義務があり権利侵害が大きい場合は通知することとなっています。
サイバー攻撃などのよる不正アクセスが原因の個人情報漏洩被害が発生するリスクは日増しに増大しています。
企業側へは法規制以前に十分な対応を求めていきたいところです。