【個人情報】個人情報保護法改正(2022年4月施行)における「プライバシーポリシー」改訂ポイント

2022年4月に施行される個人情報保護法の改正に伴い、プライバシーポリシーにおいて保険代理店が見直すべきポイントをお知らせします。

◆プライバシーポリシーとは？
「プライバシーポリシー（個人情報保護方針）」とは、個人情報についてその情報収集や活用、管理、保護などに関する取り扱い方針を明文化したものです。
個人情報保護法において、保険代理店の業務に必要な個人情報の取得について、透明性を高めるため自主的に作成し公表する必要があります。

今回の改正法では、これまで曖昧だった部分の明確化とより具体的な事例が求められており、多くの保険代理店がプライバシーポリシーを改訂する必要があります。
この機会に、自社のプライバシーポリシー（個人情報保護方針）を見直してください。

「プライバシーポリシー（個人情報保護方針）」に記載するべき主な内容は、以下の通りです。

（１）個人情報取り扱いに関する基本方針
（２）言葉の定義
（３）事業者の名称、住所、法人代表者氏名
（４）個人情報の取得方法
（５）個人情報の利用目的
（６）個人データの安全管理措置の内容
（７）個人データの共同利用について
（８）個人データの第三者提供および取得について
（９）保有個人データ等の開示、訂正、利用停止・消去等について
（１０）個人情報等漏えい時等の対応について
（１１）お問い合わせ窓口(個人情報の取扱いに関する相談や苦情の連絡先)
（１２）SSLセキュリティについて
（１３）Cookie（クッキー）について

▶︎以下の項目内容がプライバシーポリシーに記載がない場合は、追記するようにしてください。
（１）個人情報取り扱いに関する基本方針
個人情報の重要性を会社として認識し、法令を遵守することなど、個人情報の取扱いをするうえでの自社の基本方針を記載します。

（２）言葉の定義
プライバシーポリシーで使用する重要な言葉の定義を以下に記載します。
例えば、
・「個人情報」とは、「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日、その他の記述等により特定の個人を識別できるもの、および個人識別符号が含まれる情報をいいます。
・「個人データ」とは、個人情報のうち、検索可能な方法で管理しているもの（例えば、エクセルで一覧にしていたり、50音順の名簿で管理しているもの）をいいます。（個人情報保護法第2条6項）
個人データは、個人情報の中でも保護の必要性が高いものとして、法律上本人の同意なく第三者に提供することが原則として禁止されるなど個人情報より、より安全な取扱管理の規制が適用されます。
・「保有個人データ」とは、個人データのうち個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止の全てに応じることのできる権限を有するもの(政令で定める一定要件を満たすものを除きます。)をいいます。(個人情報保護法 第16条第4項、通則ガイドライン2-7)
保有個人データについては、個人情報取扱事業者の遵守すべき事項が個人データの場合よりも更に追加されています。(個人情報保護法第32条〜第37条)
※改正法では、今まで保有個人データに含まれなかった短期保存データ（6か月以内に削除される個人データ）も保有個人データに含まれることとなりました

（３）事業者の名称、住所、法人代表者氏名
令和2年個人情報保護法改正（令和4年4月施行）により、個人情報取扱事業者が、本人の知りうる状態におかなければならない事項として、個人情報取扱事業者が法人の場合は、法人名、住所、代表者氏名の項目が追加されました。（個人情報保護法第27条1項1号）

（４）個人情報の取得方法
個人情報保護法上、保険代理店は、「偽りその他不正の手段により個人情報を取得してはならない。」とされています。（個人情報保護法第17条1項）
個人情報の取得については、法令を遵守して適法に取得する旨の記載が必要です。

（５）個人情報の利用目的
保険代理店が個人情報を取得するときは、個人情報の利用目的を公表するか、または、本人に伝えることが義務付けられています。（個人情報保護法第18条）
そのため、プライバシーポリシーには、必ず個人情報の利用目的について記載が必要です。
プライバシーポリシーに記載のある利用目的以外の利用は、原則できないことになります。
例えば、
「書類の送付やアフターフォローのため」という利用目的で顧客から個人情報を取得した場合に自社の保険商品についてダイレクトメール等を送付するためにその個人情報を利用することはできません。そのため利用目的は社内業務における個人情報の利用目的を想定して記載することが必要です。

（６）個人データの安全管理措置の内容
保険代理店には、その取り扱う個人データに漏えいや紛失など問題が生じないように安全に管理するための措置をとることが義務付けられています。（個人情報保護法第20条）
個人情報保護法改正（令和4年4月施行）により「保有個人データの安全管理のために講じた措置」の内容が「本人の知りうる状態におかなければならない事項」に追加されましたので、プライバシーポリシーに安全管理措置の内容を追記する必要があります。（個人情報保護法施行令第8条1項）
例えば、
個人データの安全管理措置に関する社内規程の策定、保有個人データの安全管理のための従業員向け研修の実施や定期的な管理状況の点検、不正アクセスから保護する仕組みの導入などといった、各保険代理店の取り組みの内容を記載することになります。
この点については、個人情報保護委員会の「個人情報の保護に関する法律についてのガイドライン（通則編）」を参考に、各保険代理店の実情を踏まえて記載を検討することが必要です。
※個人情報保護委員会の「個人情報の保護に関する法律についてのガイドライン（通則編）」を参照ください。

（７）個人データの共同利用について
・グループ会社や提携先と個人データを共有して利用する場合は、個人データの共同利用について、以下の項目を本人に通知するか、プライバシーポリシーに記載して公表することが法律上義務付けられています。（個人情報保護法第23条5項3号）なお、個人データの共同利用がない場合は、記載の必要はありません。
• 個人データを共同利用すること
• 共同して利用される個人データの項目
• 共同して利用する事業者の範囲
• 責任者の氏名又は名称

（８）個人データの第三者提供および取得について
個人データを本人の同意なく第三者に提供および取得する場合は、以下の項目を本人に通知するか、プライバシーポリシーで公表することが法律上義務付けられています（個人情報保護法第23条2項）。ただし、平成27年9月の個人情報保護法の改正により、個人データを本人の同意なく第三者に提供する際には、個人情報保護委員会への届出が必要になっていますので注意してください。
• 個人データを第三者に提供すること
• 第三者に提供する個人データの項目
• 第三者への提供の方法
• 本人の求めがあれば第三者への提供を停止すること
• 第三者への提供の停止についての本人の求めを受け付ける方法

(注意):令和2年個人情報保護法改正（令和4年4月施行）により、自社が個人関連情報を第三者に提供する場合で、提供先が個人関連情報を個人データとして取得することが想定される場合には、提供先が個人データの本人の同意を得ているかをあらかじめ確認することが義務付けられています。（個人情報保護法第26条の2）個人関連情報についても必要に応じてプライバシーポリシーに追記することが必要です。

（９）保有個人データ等の開示、訂正、利用停止・消去等について
保険代理店が個人データを保有しているときは、本人から請求があったときに保有している個人データの内容を本人に開示したり、個人データに間違いが見つかったときに訂正に応じたりするための手続きを定めて、公表することが義務付けられています。（個人情報保護法第27条）
また、本人が個人データの利用停止または消去を求める手続き等についてもプライバシーポリシーで定めることが必要です（個人情報保護法第27条）。
さらに、令和2年個人情報保護法改正（令和4年4月施行）では、「個人データを自社が第三者に提供した際の記録」や「第三者から自社が提供を受けた際の記録」（第三者提供記録）についても開示手続きを定めることが義務付けられています。（個人情報保護法第28条5項）
そのため、個人データの開示・訂正の手続き、および利用停止・消去等についてもプライバシーポリシーに記載することが必要です。
また、開示請求手続きについては、令和2年個人情報保護法改正（令和4年4月施行）により「書面の交付による方法」、「電磁的記録の提供による方法」、「その他の事業者が独自に定める方法」等の中から、本人が選択した方法で開示することができるように義務付けられています。（個人情報保護法第28条1項、個人情報保護法規則第18条の6）
(注意):これまで「書面の交付による方法」のみ開示請求手続きを定めていた保険代理店は、他の方法による開示手続きも追加し、本人が選択した方法により開示請求できることをプライバシーポリシーに記載することが必要です。

（１０）個人情報等漏えい時等の対応について
当店は万が一発生し、個人情報保護法施行規則第7条の定める事態(例えば、要配慮個人情報が含まれる個人データの漏えいや個人データに係る本人の数が1,000人を超える漏えい等)に該当した場合は、個人情報保護法第26条1項に従って、個人情報保護委員会等に報告し、ご本人にも通知が必要です。ただし、本人への通知が困難かつ本人の権利利益の保護のために必要な代替措置をとっている場合には、ご本人への通知は必要ありません。また、同様の場合等で、所定の事態に該当した場合は、保険業法や金融分野ガイドラインに従って監督当局に報告が必要です。

（１１）お問い合わせ窓口(個人情報の取扱いに関する相談や苦情の連絡先)
保険代理店は、個人データの取扱いに関する苦情の申し出先を「本人の知り得る状態におく」ことが法律上求められています。（個人情報保護法第27条1項4号、個人情報保護法施行令第8条1号）
そのため、個人情報の取扱いに関する相談や苦情の申し出先として保険代理店の連絡先をプライバシーポリシーに記載することが必要です。

（１２）SSLセキュリティについて
ウェブサイト経由でお客様の個人情報を取得することがあり、SSLを導入している場合は、Webサイト利用者から取得する個人情報が暗号化されるので、プライバシーポリシーに記載することで信頼性が高まります。なお、ECサイト運営者などのウェブサイト経由で個人情報を取得する保険代理店が記載すべき項目で、ウェブサイト経由で個人情報を取得しない場合は、必要ありません。

（１３）Cookie（クッキー）について
「Cookie（クッキー）」とは、ウェブサイトを閲覧した際にウェブサイトから送信されたウェブブラウザに保存されるテキスト形式の情報のことです。
また、「ウェブビーコン」とは、ウェブページや電子メールに小さな画像を埋め込むことによって、お客さまがそのページやメールを閲覧した際に情報を送信する仕組みです。
ウェブサイトでCookie（クッキー）を利用する場合は、利用者個人の身元を特定するものではないことをプライバシーポリシーに記載することでWebサイト利用者の不安を取り除くことにつながります。また、Cookieを発行する場合は、ウエブサイトをhttps化し、Cookieのsecure設定をすることで、セキュリティのリスクを最小限に抑えるようにすることができます。特にログインや個人情報を入力するページがある場合は、必須です。

▶︎金融庁(公表資料)
・金融分野における個人情報保護について
・「金融機関における個人情報保護に関するＱ＆Ａ」等の改正について

以上