Written by ねこずきのねこ。
広報・販売企画・販売パートナー様支援を経て、現在プロダクトPRに携わる。
目 次
個人情報保護法の目的と必要性
2022年4月施行の改正個人情報保護法とは
改正個人情報保護法の交付・施行について
2022年の改正個人情報保護法で何が変わる?
動画で解説!LANSCOPEで対策する改正個人情報保護法
知らなかったでは済まされない! ?
改正個人情報保護法に備える
2022年4月に施行された「改正個人情報保護法」の対策ポイントをご紹介すると共にLANSCOPEでどのように対策できるのかをご紹介
インターネットが普及し急速な情報化により、ネットショップやオンラインバンクなど気軽に個人情報を利用するようになりました。企業にとっても同様で、顧客情報や問い合わせなど多くの個人情報を得る機会があります。この個人情報を保護していくために総務省が制定し、2005年4月に全面施行された法令が「個人情報保護法」です。この個人情報保護法が、2022年4月に「改正個人情報保護法」として大きく改版されました。
本日は、この改正個人情報保護法について、対策すべき6つのポイントについて分かりやすく解説します。日本国内の事業者は、規模に関係なく対応範囲や罰則が強化されており、知らなかったでは済まされない状態となっています。対策の参考にしていただければ幸いです。
個人情報保護法の目的と必要性
改正個人情報保護法は、個人情報保護法が元になっています。そもそも個人情報保護法とは、2003年に総務省が制定した「個人情報保護に関する法律(平成15年法律第57号)」です。個人の権利利益を保護することを目的とし、個人情報の取扱いに関する基本的事項が示されています。この法律は、民間企業に加え官公庁にも適用されており、個人情報を保有する組織において広く適応される法律です。
個人情報保護法の背景・必要性
個人情報保護を実施すべき背景には「技術革新に伴う個人情報利用の拡張」と「個人情報の識別拡大」に加え、「企業活動のグローバル化に伴う利活用」が考えられます。一方で個人情報を狙った様々な脅威が登場しています。例えば昨今、猛威を振るっているサイバー攻撃による不正アクセスや、誰にでも起こり得る誤送信・紛失などのうっかりミスなどが挙げられます。
2022年1月に東京商工リサーチが上場企業および子会社の個人情報漏洩・紛失事故を独自に調査・集計を行ったところ、2021年の個人情報漏洩・紛失事故は過去最多だったと発表しています。また情報漏洩原因は半数が「ウイルス感染・不正アクセス」が占めており、上場企業の個人情報の漏洩・紛失だけで「ほぼ日本の人口に匹敵する」と示しています。サイバー攻撃は巧妙化し続けており、防ぐことが困難な上、一度に大量の個人情報を搾取することが可能なため特に気をつけておきたい脅威です。
また、悪意のない情報漏洩にも対策が必要です。原因の2位3位で4割以上を占める「誤表示・誤送信」「紛失・盗難」は誰にでも起こり得ます。日々のセキュリティ意識と発生確率を減らすための対策が求められます。
※参照:東京商工リサーチ
2022年4月施行の改正個人情報保護法とは
2003年4月に個人情報を保護するための法律として「個人情報保護法」が制定されて以来、社会情勢の変化に伴い見直しが行われています。今回の改正は3年ごとの個人情報保護法の見直しを受け、反映したものです。令和元年1月の「3年ごと見直しに係る検討の着眼点」に即し、5つの基準の元、時勢に合わせた視点で改正されています。
<見直しの基準となる5つの視点>
1.個人の権利利益保護
2.外国事業者によるリスク変化への対応
3.保護と利用のバランス
4.AI・ビックデータ時代への対応
5.国際的潮流との調和
参照元:PPC個人情報保護委員会「個人情報保護法 いわゆる3年ごと見直し 制度改正大綱」
改正個人情報保護法の公布・施行について
改正個人情報保護法の公布日は、2020年6月12日で、施行日は2022年4月1日です。また個人情報保護法の施行時は、民間事業者向けと行政機関向けで別のガイドラインが制定されていましたが、今回の改正法に合わせて官民のガイドラインが統一されました。現在は内閣総理大臣の所轄に属する行政委員会である個人情報保護法委員会が統括しています。
<個人情報保護法の変遷>
2003年:個人情報保護法 施行 (公布2003年)
2017年:個人情報保護法 改版 (公布:2015年)
2022年:改正個人情報保護法 施行(公布:2020年)
個人情報保護制度の官民一元化
個人情報保護法委員会とは、個人情報の保護に関する法律に基づき2016年(平成28年)1月1日に設置されました。個人情報の有用性に配慮しつつ、個人情報の適正な取扱いの確保を図ることを任務とする内閣府の外局です。万が一個人情報が漏洩してしまった場合、個人情報保護委員会に報告する義務があります。
関連ページ
2022年の改正個人情報保護法で何が変わる?
今回の改正範囲は多岐に渡りますが、ざっくりと言えば、個人情報の取り扱いが厳格化され、漏えい時には通知が「完全義務化」され、「厳罰」が科されます。企業が押さえておくべき対応で大きく6つに分かれます。
1.個人の権利の在り方
2.事業者の義務の在り方
3.事業者による自主的な取組を促す仕組みの在り方
4.データ利活用の施策
5.ペナルティの強化
6.法の域外適用・越境移転
1.個人の権利の在り方
主に取得した個人情報の取り扱いルールについて示されています。
これまで利用停止や情報の消去などの請求は、違反が証明できる際に限られていましたが、権利や利益が害される場合にも、個人情報の停止や情報削除の請求権を行使できるようになりました。また個人情報の開示に関しても、開示方法を指定できるようになると共に、第三者への提供に関するルートも把握できるようになります。事業者は、オプトアウト(同意なく第三者提供ができる)の対象が変更されていますので、注意が必要です。詳しくはオプトアウトによる第三者提供(法第 23 条第 2 項~第 4 項関係)を参照ください。
個人情報保護委員会「オプトアウトによる第三者提供の届出」
https://www.ppc.go.jp/personalinfo/legal/optout/
2.事業者の義務の在り方
主に個人情報を取り扱う事業者の責務について示されています。
これまで漏えい事故が発生した場合、報告に関しては努力義務でしたが、改正後は「義務化」されます。改正後は、「質的に侵害の恐れが大きい類型」「量的に侵害の恐れが大きい類型」について、漏えい事故時の報告が義務化されます。さらに報告は「速報」と「確報」に分けて報告しなければなりません。速報はインシデントが発覚してから3~5日以内に、確報は60日以内とされており、この報告等の義務違反があった場合、行政処分の対象となってしまいます。企業の対応スピードと質が求められるため、インシデント発生時の体制整備を行いましょう。
<報告義務の例>
また、上記は漏えい時の義務ですが、平素から事業者として情報の取り扱いで気をつけておきたいポイントが2点あります。まずは「不適切利用の禁止」です。不正を助長するような利用を禁止する内容で、過去にあった“破産者マップ事件”などに見られる不適切な利用を受けて制定されました。2つ目は、本人から得た情報から、プロファイルやスコアリングなどを経て関心事などの情報を分析する場合、その利用目的を本人にある程度イメージできるようにしておくことが求められています。企業によってはプライバシーポリシーの見直しが求められます。
3.事業者による自主的な取組を促す仕組みの在り方
「認定個人情報保護団体」の認定対象の拡充が行われました。
個人情報保護に関する取り組みは、民間の業界団体などがガイドラインを策定するなど、自主的に取り組まれてきました。これまでは事業分野単位の民間団体が対象でしたが、改正後は部門単位で組織される民間団体も認定を受けることが可能となります。認定個人情報保護団体に認定されると、定期的な情報提供や、万が一漏えいを起こしてしまった場合も、認定個人情報保護団体が事故報告や仲介業務などの支援してくれるため、インシデント発生時の事故対応や是正活動に専念できるというメリットがあります。
認定個人情報保護団体とは
https://www.ppc.go.jp/personalinfo/nintei/
4.データ利活用の施策
データの利活用を目的に、「仮名加工情報」制度の新設と事業者義務が緩和されました。
これまでは、個人を特定できないよう個人情報を加工した場合も、ルールや制約に縛られ利活用の鈍化につながっていました。そこで「仮名加工情報」制度を新設し、対象のデータに関して事業者の義務が緩和されました。仮名加工情報は同意不要で利用目的を変更できます。
| 個人情報 | 匿名加工情報 | 仮名加工情報 | 統計情報 | |
|---|---|---|---|---|
| 可能な事項 | ― | 同意不要で第三者提供/利用目的を変更 | 同意不要で利用目的を変更 | 同意不要で第三者提供/利用目的を変更 |
| 第三者提供 | 同意必須 | 同意不要 | ― | 同意不要 |
| 再識別 | ― | 禁止 | 禁止 | ― |
| 漏えい等の報告 | 必要 | 不要 | 不要 | 不要 |
| 開示・利用停止等の請求対応 | 必要 | 不要 | 不要 | 不要 |
仮名加工情報に関する規定(P14)
https://www.meti.go.jp/shingikai/sankoshin/shomu_ryutsu/bio/kojin_iden/life_science/pdf/001_03_02.pdf
また、個人関連情報制度の創設として、「個人関連情報」を、第三者が個人情報として取得する可能性がある場合、本人の同意が得られているかなどの確認義務を負う事になりました。「個人関連情報」とは、「生存する個人に関する情報であって、個人情報、仮名加工情報、匿名加工情報のいずれにも該当しないもの(個人情報保護法26条の2第1項)」と定義されており、例えばCookie情報などが挙げられます。それらが他の情報と照合されることにより、特定の個人を識別することができてしまう場合があります。デジタルマーケティング業務で度々扱われる情報なので注意が必要です。
5.ペナルティの強化
法定刑が個人・法人共に概ね引き上げとなり、特に法人の罰金刑の上限額が大きく引き上げられました。罰金額は上限が設けられており、資格格差などを勘案して決定されます。とはいえペナルティはあくまで結果論です。情報漏えいをしないような体制づくり・対策が何よりも重要です。
6.法の域外適用・越境移転
外国の事業者への域外適用について、範囲が変更されます。
日本国内の個人情報を取り扱う外国事業者も、罰則によって担保された報告徴収・命令および立ち入り検査の対象となりました。命令に従わない場合には公表を行うことができます。これにより、外国事業者による個人情報の不適切な取扱いを是正することが期待されます。また、移転先の外国事業者やその事業者がおかれた国の状況について、本人への情報提供を行うことが義務付けられました。そのためグローバル事業を行っている事業者が、個人データを利用する場合は、第三者提供時の情報提供義務が発生しますので、対策が必要です。
動画で解説!LANSCOPEで対策する改正個人情報保護法
ルールの見直しや改善活動の必要性をご理解いただけたかと思いますが、同時に重要なのが、個人情報を漏えいさせない「体制構築」です。今回の改正法施行では万が一、情報漏えいが発生してしまうと報告義務が発生、報告義務違反には最大1億円の罰則という最悪のシナリオが用意されています。
今回の改正法では、取得した個人データを安全に保護するよう示されています。ルールを改正するだけでなく取得した個人データをしっかり保護することが重要です
| 第二十条=安全管理措置 | 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。 |
|---|
この個人データを安全に管理するために改正個人情報保護法で定められているのが「安全管理措置」です。具体的な対策を4つのガイドラインで示しており、個人情報の安全管理に欠かせない内容が記載されています。
| (1)「組織的安全管理措置」 | 組織体制の整備/個人データの取扱いに係る規律に従った運用/個人データの取扱 状況を確認する手段の整備/漏えい等の事案に対応する体制の整備/取扱状況の 把握及び安全管理措置の見直し |
|---|---|
| (2)「人的安全管理措置」 | 従業者に、個人データの適正な取扱いを周知徹底するとともに 適切な教育を行わなければならない。 |
| (3)「物理的安全管理措置」 | 個人データを取り扱う区域の管理/機器及び電子媒体等の盗難等の防止/ 電子媒体等を持ち運ぶ場合の漏えい等の防止/個人データの削除及び機器、 電子媒体等の廃棄 |
| (4)「技術的安全管理措置」 | アクセス制御/アクセス者の識別と認証/外部からの不正アクセス等の防止/ 情報システムの使用に伴う漏えい等の防止 |
LANSCOPEでは、「組織的安全管理措置」のための現状把握、「人的安全管理措置」におけるセキュリティ啓蒙、「技術的安全管理措置」における制御などの対策が可能です。LANSCOPEで行う安全管理措置については動画をご覧ください。
2022年4月に施行された改正個人情報保護法ですが、対応範囲が多岐に渡るため焦らず着実に対応していくことが重要です。エムオーテックスでは、参考にしていただける動画や資料をご用意していますので、是非ご活用ください。
【いつでも動画視聴】弁護士が解説!
改正個人情報保護法対応<基本編>
2022年4月の改正個人情報保護法における改正ポイントをご紹介。取得した個人情報を守るための安全管理措置対応についても分かりやすくご紹介
知らなかったでは済まされない! ?
改正個人情報保護法に備える
2022年4月に施行された「改正個人情報保護法」の対策ポイントをご紹介すると共にLANSCOPEでどのように対策できるのかをご紹介
関連する記事
