11月29日に、個人情報保護委員会から「個人情報保護法 いわゆる3年ごと見直し 制度改正大綱(骨子)」が公表された。
その中で注目すべきところはすくなくないが、「Ⅱ.事業者の守るべき責務の在り方」として、下記が入ったことは事業者への影響が大きいだろう。
1.漏えい等報告及び本人通知の義務化
個人の権利利益の保護及び公平性の観点から、漏えい等の事態を個人情報保護委員会が早期に把握するとともに、本人において必要な措置を講じることができるよう、一定数以上の個人データ漏えい等、一定の類型に該当する場合、速やかに個人情報保護委員会への報告と本人への通知を行うことを個人情報取扱事業者に義務付ける。
この通知義務について、「アメリカにおける個人情報漏洩通知法制に関する考察」『情報ネットワークロー・レビュー』11巻(2012年)72-87頁で検討を加えているが、HIPPA法等の特定領域における連邦法と共に、2002年に制定されカリフォルニア州における州法での義務化の影響が大きかった。
その後、GDPRでも通知の義務化が行われているが、この種の義務化について、次の4類型がありうる。
監督機関への報告・通知の義務化
本人への通知の義務化
監督機関への報告と本人への通知のどちらの事業者の任意選択的義務化
監督機関への報告と本人への通知の両方の義務化
また本人への通知については、その方法が問題となる。
たとえば電子メールによる通知を許容するか、住所が把握できている場合には郵送による通知を求めるか、電子メールや郵送では通知が届かなかった場合にどうするか(問い合わせ窓口の設置を義務化するか)というような問題がある。
これらは、おそらく法本体ではなく委員会規則などで定められることになると思われるが、事業者にとってはこちらも要注目であろう。
その中で注目すべきところはすくなくないが、「Ⅱ.事業者の守るべき責務の在り方」として、下記が入ったことは事業者への影響が大きいだろう。
1.漏えい等報告及び本人通知の義務化
個人の権利利益の保護及び公平性の観点から、漏えい等の事態を個人情報保護委員会が早期に把握するとともに、本人において必要な措置を講じることができるよう、一定数以上の個人データ漏えい等、一定の類型に該当する場合、速やかに個人情報保護委員会への報告と本人への通知を行うことを個人情報取扱事業者に義務付ける。
この通知義務について、「アメリカにおける個人情報漏洩通知法制に関する考察」『情報ネットワークロー・レビュー』11巻(2012年)72-87頁で検討を加えているが、HIPPA法等の特定領域における連邦法と共に、2002年に制定されカリフォルニア州における州法での義務化の影響が大きかった。
その後、GDPRでも通知の義務化が行われているが、この種の義務化について、次の4類型がありうる。
監督機関への報告・通知の義務化
本人への通知の義務化
監督機関への報告と本人への通知のどちらの事業者の任意選択的義務化
監督機関への報告と本人への通知の両方の義務化
また本人への通知については、その方法が問題となる。
たとえば電子メールによる通知を許容するか、住所が把握できている場合には郵送による通知を求めるか、電子メールや郵送では通知が届かなかった場合にどうするか(問い合わせ窓口の設置を義務化するか)というような問題がある。
これらは、おそらく法本体ではなく委員会規則などで定められることになると思われるが、事業者にとってはこちらも要注目であろう。
