令和2年個人情報保護法改正の監査業務への影響について
少し前の話ですが令和2年6月5日の第201回通常国会において、個人情報の保護に関する法律等の一部を改正する法律案が可決され、12日に公布されています。また、改正法の施行は、一部の規定を除き、公布後2年以内で政令で定める日とされており、規則やガイドラインが出されます。
個人情報保護委員会のHPには以下のロードマップが作成されており、今後周知・広報が行われるようで、会計監査における影響についてコメントします。
出所:個人情報保護委員会資料 令和2年 改正個人情報保護法について 資料
さて、今回の改正では、個人の権利の強化により個人情報取扱事業者が受領者側でのみ個人データとなる情報を提供する場合において、提供者側で確認・記録義務が求められることや「仮名加工情報」概念が新設されることで、”委託”の監査業務を行うにあたっても、影響があるようです。
平成17年4月1日に個人情報保護法が施工された当初は公認会計士協会から個人情報保護法下の監査業務の実施についてと言うリサーチ・センター審理情報No.22では、
監査業務においては被監査会社が監査人に対して当該被監査会社の「顧客等の個人データを提供すること」は個人情報保護法においては第23条第4項第1号の「委託」に該当することとされていることから、当該個人データの提供を受ける者である当該監査人は同条の第三者には該当せず、あらかじめ顧客等の同意を得る必要はないと考えられる。 |
と記載されているので、個人情報がわからないように加工した情報であれば、会社側は本人同意の有無や、記録はとられていない場合もあったと思われます。
この点、提供元において個人データには該当しないが、提供先(受領者)において個人データとなることが想定される情報を提供する場合、提供者において、受領者が情報を取得することにつき本人の同意が得られていることの等の確認が義務化されました。また、その記録を作成することも義務付けられています(改正法26条の2)ので、他のマスタを統合すると個人が特定できるようなデータになるかもしれないという事に提供先は留意する必要があるので、場合によってはかなり煩雑になることを想像しました。
出所:個人情報保護委員会 第158回個人情報保護委員会(令和2年11月20日)資料
なお、事業者の守るべき責務の在り方がより厳格化されたことで、個人情報保護委員会規則で定める要件を満たす一定の漏えい、滅失、毀損等の事案について、個人情報保護委員会への報告及び本人への通知を義務化(改正法22条の2)され、個人情報取扱事業者は、社内規定の見直しや関係者への周知が今後求められそうです。