一般社団法人日本クラウドセキュリティアライアンス(CSAジャパン)は12月2日、「個人情報の保護に関する法律準拠の為の行動規範(CoC JP)」を公開した。
同資料(CoC_JP 1.2)は、個人情報保護法の個人情報取り扱い事業者に適用される各条項について、どのように理解し実践するかを解説した行動規範。CSP選定は個人情報保護法第25条の委託先選定や第23条の安全管理措置などの視点で語られる事が多いが、クラウド化による越境移転、第三者提供など様々な視点で考慮すべきことを解説している。
同資料では、個人情報保護法委員会が2024年6月27日に公表した、個人情報保護法の3年ごとの見直しに関する中間整理報告書で、個別検討事項として下記を挙げたことを紹介している。
・個人の権利利益の保護
生体データの取扱いや不適正な利用の禁止、適正な取得の規律を強化する必要を指摘
・第三者提供規制
オプトアウト制度の見直しが議論され、提供先の確認義務の強化や違法な名簿屋対策が必要とされ ている
・こどもの個人情報保護
こどもの脆弱性や敏感性およびこれらに基づく要保護性を考慮し、学校等での生徒の教育・学習に関 するデータの有用性も踏まえて、特別な保護が求められている
また、中間整理報告書で言及されている個人情報保護法第17条から第22条に関する部分について、下記の通り整理している。
・第17条(利用目的の特定)
生体データの取扱いにおいて、その要保護性を踏まえ、利用目的をより詳細に特定することが求め られている。
・第18条(利用目的による制限)
特定された利用目的の達成に必要な範囲を超えて個人情報を取り扱う場合、原則としてあらかじめ 本人同意を取得する必要があるが、例外規定も設けられている。
・第20条(要配慮個人情報の取扱い)
要配慮個人情報の取得については、本人同意が求められる場合が多く、これに関しても詳細な規律 が必要とされている。
・第21条(利用目的の通知等)
個人情報を取得する際には利用目的を通知する義務があり、こどもの個人情報の場合、法定代理人 に対しても情報提供を行うべきことが検討されている。
・第22条(適正な取得)
生体データの適正な取得についても、新たな規律が必要とされており、特に生体データの利用に おいて本人の関与を促進するため、事後的な利用停止を柔軟に認めることが提案されている。
