改正個人情報保護法の施行が目前！ウェブサイトで必要な対応とは

電磁的記録の開示請求への対応

企業が保有する個人データはデジタルで管理されていることが多いため、個人から開示請求を受けた際の情報開示方法として、電磁的記録の提供が認められます（現行法では書面交付が前提とされています）。

開示方法についても、本人が請求した方法で遅滞なく必要なデータを開示することが求められるようになります。つまり、個人が「Eメールで」と指定した場合、企業はEメールで個人データを開示する必要があります。

第三者提供記録の開示請求への対応

現行法では開示請求の対象とされていなかった個人データの第三者提供記録について、改正法では新たに本人の開示請求権が認められます。

つまり、個人について第三者から得た情報に対して、その個人から請求があった場合は、それを開示しなければなりません。

利用停止・消去などの請求への対応

現行法では、事業者が個人データの利用停止などの義務を負うのは、不正取得など一部の法律違反にもとづく場合に限られていました。一方、改正法では、新たに

① 不適正利用行為に及んだ場合
② 利用する必要がなくなった場合
③ 重大な情報漏えいがあった場合
④ 本人の権利や正当な利益が害されるおそれがある場合

に、利用停止・消去・第三者提供停止の請求権が認められます。

情報漏えい発生時の報告と通知

現行法では、個人情報漏えい時に個人情報保護委員会への報告や顧客への通知を怠っても法律違反になりませんでした（努力義務とされていました）。一方、改正法では、重大な情報漏えいが発生した場合は、個人情報保護委員会と本人への通知が義務化されます。

---

以上、4つのポイントについて、個人情報保護方針（プライバシーポリシー）に企業としての対応方針を明記する必要があります。

なお、「2. 第三者提供記録の開示請求への対応」に関連して、リマーケティング広告などを運用している場合、サードパーティCookieの取り扱いが問題になる可能性があります。

サードパーティCookieというかたちで、他社（第三者）から提供された個人データにもとづいて広告を配信していることになるので、その個人から開示請求があった場合、それを開示しなければならないからです。

たとえば、「インターネットでいろんなウェブサイトを見ているとき、御社の広告がよく出てくるけど、私のデータをどの会社から得ているのか、具体的にどのようなデータを得ているのか」という問い合わせがあれば、適切に対応しなければならないのです。

このような実務的な問題については、まだまだ情報が少ないのが現状です。改正法の施行後も、しばらくは個人情報保護方針をたびたび見直す必要がありそうですので、ぜひ動向をウォッチしておきましょう。