トレンド

施行直前!知らなかったでは済まされない! 2022年4月施行の改正個人情報保護法で押さえておきたいポイント6選

Written by ねこずきのねこ。

広報・販売企画・販売パートナー様支援を経て、現在プロダクトPRに携わる。

施行直前!知らなかったでは済まされない! 2022年4月施行の改正個人情報保護法で押さえておきたいポイント6選

知らなかったでは済まされない! ​
改正個人情報保護法に備える

2022年4月に施行される「改正個人情報保護法」の対策ポイントをご紹介すると共にLANSCOPEでどのように対策できるのかをご紹介

資料をダウンロードする

ここ数年、内部不正による情報漏えい事故が急増していることはご存知でしょうか。2020年に警視庁が不正競争防止法違反で検挙した事件は計22件(38人)で、過去最多を更新しています。さらに独立行政法人 情報処理推進機構IPAが2021年に発表した「企業の営業秘密の管理に関する調査」レポートでも、情報漏えいの原因は「退職者による持ち出し」が36.3%で過去最多となっており、今まさに内部不正による情報漏えい対策が急務となっています。

<営業秘密の漏えいルート>

今回は、様々な時勢を受けて2022年に施行される「改正個人情報保護法」についてご紹介したいと思います。日本国内の事業者は規模関係なく対応範囲や罰則が大幅に強化され、これまでは問題がなかった取り扱いも、罰則の対象になる可能性があります。本ページでは、改正個人情報保護法の概要をご紹介するとともに、LANSCOPEで実現する対応策もご紹介させていただきます。

2022年4月施行の「改正個人情報保護法」とは

2005年4月に個人情報を保護するための法律として「個人情報保護法」が施行されました。その後も社会情勢の変化に伴い見直しが行われています。今回の改正は、令和元年1月の「3年ごと見直しに係る検討の着眼点」に即し、3年ごとに個人情報保護法の見直しを受け、反映したものです。5つの見直し基準の元、時勢に合わせた視点で改正されています。

<見直しの基準となる5つの視点>

個人情報の取り扱いが厳格化!改正法の6つのポイント

今回の改正範囲は多岐に渡りますが、ざっくりと言えば、個人情報の取り扱いが厳格化され、漏えい時には通知が「完全義務化」され、「厳罰」が科されます。今回の改正点をまとめると、大きく6つに分かれます。

1.個人の権利の在り方
2.事業者の義務の在り方
3.事業者による自主的な取組を促す仕組みの在り方
4.データ利活用の施策
5.ペナルティの強化
6.法の域外適用・越境移転

1.個人の権利の在り方

主に取得した個人情報の取り扱いルールについて示されています。

これまで利用停止や情報の消去などの請求は、違反が証明できる際に限られていましたが、権利や利益が害される場合にも、個人情報の停止や情報削除の請求権を行使できるようになりました。また個人情報の開示に関しても、開示方法を指定できるようになると共に、第三者への提供に関するルートも把握できるようになります。事業者は、オプトアウト(同意なく第三者提供ができる)の対象が変更されていますので、注意が必要です。詳しくはオプトアウトによる第三者提供(法第 23 条第 2 項~第 4 項関係)を参照ください。

個人情報保護委員会「オプトアウトによる第三者提供の届出」
https://www.ppc.go.jp/personalinfo/legal/optout/

2.事業者の義務の在り方

主に個人情報を取り扱う事業者の責務について示されています。

これまで漏えい事故が発生した場合、報告に関しては努力義務でしたが、改正後は「義務化」されます。改正後は、「質的に侵害の恐れが大きい類型」「量的に侵害の恐れが大きい類型」について、漏えい事故時の報告が義務化されます。さらに報告は「速報」と「確報」に分けて報告しなければならず、企業の対応スピードと質が求められます。

<報告義務の例>


また、上記は漏えい時の義務ですが、平素から事業者として情報の取り扱いで気をつけておきたいポイントが2点あります。まずは「不適切利用の禁止」です。不正を助長するような利用を禁止する内容で、過去にあった“破産者マップ事件”などに見られる不適切な利用を受けて制定されました。2つ目は、本人から得た情報から、プロファイルやスコアリングなどを経て関心事などの情報を分析する場合、その利用目的を本人にある程度イメージできるようにしておくことが求められています。企業によってはプライバシーポリシーの見直しが求められます。

3.事業者による自主的な取組を促す仕組みの在り方

「認定個人情報保護団体」の認定対象の拡充が行われます。

個人情報保護に関する取り組みは、民間の業界団体などがガイドラインを策定するなど、自主的に取り組まれてきました。その民間団体に対して認定を行い、個人情報保護を推進していくことを目的としています。これまでは事業分野単位の民間団体が対象でしたが、改正後は部門単位で組織される民間団体も認定を受けることが可能となります。認定個人情報保護団体に認定されると、定期的な情報提供や、万が一漏えいを起こしてしまった場合も、認定個人情報保護団体が事故報告や仲介業務などの支援してくれるため、インシデント発生時の事故対応や是正活動に専念できるというメリットがあります。

認定個人情報保護団体とは
https://www.ppc.go.jp/personalinfo/nintei/

4.データ利活用の施策

データの利活用を目的に、「仮名加工情報」制度の新設と事業者義務が緩和されます。

これまでは、個人情報を加工する事で個人を特定できないように変換し、その利用に関連した様々な制約やルールが科されていましたが、利活用の鈍化につながっていました。そこで、「仮名加工情報」制度を新設し、対象のデータに関しては事業者の義務が緩和されます。

仮名加工情報に関する規定(P14)
https://www.meti.go.jp/shingikai/sankoshin/shomu_ryutsu/bio/kojin_iden/life_science/pdf/001_03_02.pdf

また、個人関連情報制度の創設として、「個人関連情報」を、第三者が個人情報として取得する可能性がある場合、本人の同意が得られているかなどの確認義務を負う事になりました。「個人関連情報」とは、「生存する個人に関する情報であって、個人情報、仮名加工情報、匿名加工情報のいずれにも該当しないもの(個人情報保護法26条の2第1項)」と定義されており、例えばCookie情報などが挙げられます。それらが他の情報と照合されることにより、特定の個人を識別することができてしまう場合があります。デジタルマーケティング業務で度々扱われる情報なので注意が必要です。

5.ペナルティの強化

法定刑が個人・法人共に概ね引き上げとなり、特に法人の罰金刑の上限額が大きく引き上げられました。罰金額は上限が設けられており、資格格差などを勘案して決定されます。とはいえペナルティはあくまで結果論です。情報漏えいをしないような体制づくり・対策が何よりも重要です。

6.法の域外適用・越境移転

外国の事業者への域外適用について、範囲が変更されます。

日本国内の個人情報を取り扱う外国事業者も、罰則によって担保された報告徴収・命令および立ち入り検査の対象となりました。命令に従わない場合には公表を行うことができます。これにより、外国事業者による個人情報の不適切な取扱いを是正することが期待されます。また、移転先の外国事業者やその事業者がおかれた国の状況について、本人への情報提供を行うことが義務付けられました。そのためグローバル事業を行っている事業者が、個人データを利用する場合は、第三者提供時の情報提供義務が発生しますので、対策が必要です。

LANSCOPEで対策する改正個人情報保護法

改正ポイントとして、ルールの見直しや改善活動の必要性をご理解いただけたかと思いますが、同時に重要なのが、個人情報を漏えいさせない「体制構築」です。その指標として、個人情報保護のために「安全管理措置」のガイドラインが設けられています。安全管理措置は4つの管理措置で構成されており、LANSCOPEはそれに基づいた、情報漏えいをさせない「体制構築」と「万が一の対応」が可能です。

(1)「組織的安全管理措置」 組織体制の整備/個人データの取扱いに係る規律に従った運用/個人データの取扱
状況を確認する手段の整備/漏えい等の事案に対応する体制の整備/取扱状況の
把握及び安全管理措置の見直し
(2)「人的安全管理措置」 従業者に、個人データの適正な取扱いを周知徹底するとともに
適切な教育を行わなければならない。
(3)「物理的安全管理措置」 個人データを取り扱う区域の管理/機器及び電子媒体等の盗難等の防止/
電子媒体等を持ち運ぶ場合の漏えい等の防止/個人データの削除及び機器、
電子媒体等の廃棄
(4)「技術的安全管理措置」 アクセス制御/アクセス者の識別と認証/外部からの不正アクセス等の防止/
情報システムの使用に伴う漏えい等の防止

LANSCOPEでは、「組織的安全管理措置」のための現状把握、「人的安全管理措置」におけるセキュリティ啓蒙、「技術的安全管理措置」における制御などの対策が可能です。その中から一部をご紹介します。

【1】情報漏えいさせない体制作り
誰が・どのデータに対し・何を行ったか操作履歴を取得、問題操作をリアルタイムに察知・対策することで情報漏えいをさせないための体制づくりが可能です。リスクのある問題操作があれば、LANSCOPEが自動でお知らせしますので、日々の管理負担も軽減されます。(組織的安全管理措置/技術安全管理措置)


【2】効率的な脆弱性対策
個人情報漏えいは外部脅威による場合も考えられます。脆弱性の有無が一目で分かるダッシュボードをご用意。発見した脆弱性を対策する=セキュリティホールを無くすことで、外部脅威に対し対策を打つことが可能です。外部脅威対策として常にOSやアプリを最新の状態にしておくことが重要ですが、多忙な管理者にとってバージョン管理はかなり負担がかかります。しかしこのレポートであれば一目で対策の必要性が分かるので多忙な管理者にも役に立つレポートです。(技術的安全管理措置)


【3】社員セキュリティ啓蒙
内部規定等の周知・教育・訓練の実施に役立つのがエムオーテックス監修の「セキュリティブック」です。セキュリティを誰でも分かりやすく解説した一冊で、本書を元にした社内や学校などでセキュリティの研修で活用できる「講師用資料」や、「テスト」を無料でDLできます。是非ご活用ください。(人的安全管理措置」)

「セキュリティ 7つの習慣・20の事例」PDFデータは、無料でDLできます
 https://www.motex.co.jp/vision/enlightenment_activity/education_book/

またLANSCOPEの魅力は、これらの管理を負荷なく行えることにあります。セキュリティ対策として、万が一に備えて操作履歴(ログ)を取得・保存し、問題が発生した際や気になる操作を検索して探し出すという運用が一般的です。しかしその場合、気が付いた頃には手遅れ、大事件になってしまっている可能性があります。とはいえ、毎日ログを確認して問題を察知するのは忙しい情シスさんにとって大きな負担となってしまいます。LANSCOPEでは、そんな忙しい情シスさんを助ける製品設計を行っています。まず、現状把握から問題抽出までをLANSCOPEが自動で行います。情シスさんはお知らせがあった問題操作に関して、実際に対策を打つという流れです。

操作ログ取得や、禁止などの制御を行えるツールは世の中に沢山ありますが、日々の運用を楽に行うための製品づくりを行っているのがLANSCOPEの大きな魅力です。

他にもLANSCOPEで対応できる安全管理措置をホワイトペーパーにまとめていますので、そちらも是非ご参照ください。

2022年4月の改正個人情報保護法施行まで1年を切りました。今回の改正では個人情報法の取り扱いが厳しくなり、企業に課せられる責任や義務はもちろん、罰則も強化されます。多くの企業が個人情報法の取り扱いルールの再策定やプライバシーポリシーの見直しを検討する必要がありますので、今から着手していきましょう!

知らなかったでは済まされない! ​
改正個人情報保護法に備える

2022年4月に施行される「改正個人情報保護法」の対策ポイントをご紹介すると共にLANSCOPEでどのように対策できるのかをご紹介

資料をダウンロードする