トレンド

【2022年4月】改正個人情報保護法対応で忘れがち?!「すべてを失う前に」LANSCOPEクラウド版で個人情報保護

Written by ねこずきのねこ。

広報・販売企画・販売パートナー様支援を経て、現在プロダクトPRに携わる。

【2022年4月】改正個人情報保護法対応で忘れがち?!「すべてを失う前に」LANSCOPEクラウド版で個人情報保護

知らなかったでは済まされない!改正個人情報保護法に備える

2022年4月に施行された「改正個人情報保護法」を解説!LANSCOPEクラウド版でどのように対策できるのかをご紹介します

資料をダウンロードする

2022年4月、改正個人情報保護法が施行されました。今回の改正では個人情報のあり方が見直され、これまでは問題がなかった取り扱いも違反となる可能性があります。
今回の改正では、インシデント発生時の報告の義務化や違法行為を助長する恐れのある個人情報の利用禁止などが明文化されています。対象は組織・企業規模に関係なく、個人情報を取り扱う全ての組織です。また法令違反における罰金刑の引き上げなども改正に含まれています。

多くの企業が改めて個人情報の取り扱いを見直すことが求められる今回の改正。すでに個人情報取り扱いの『ルールを再策定』された企業様は多くいらっしゃると思いますが、意外と忘れがちなのが、取得した個人情報の保護です。

今回は、ルールだけでは守るのが難しい個人情報を、具体的にどのように保護していけばよいかLANSCOPEクラウド版の活用例をもとにご紹介します。

2022年4月施行の「改正個人情報保護法」とは

今回の改正では、昨今の情勢に合わせて個人情報の定義などが見直されています。加えて漏えい時には「報告が完全義務化」、対応違反者には「厳罰」(最大1億円)が科されるなど、より取り扱いに厳密さが求められます。

主な改正箇所
1.個人の権利の在り方
2.事業者の事務の在り方
3.事業者によるに自主的な取組を促す仕組み在り方
4.データ利活用の施作
5.ペナルティの強化
6.法の域外適用・越境移転
※詳細はこちらで解説していますのでご参照ください

例えば、Webセミナーなどの申し込みフォームの利用目的に「お客様のサービスの向上のため」と書かれているフォームをよく見かけますが、今回の改正では、取得した個人情報の利用目的をできる限り特定するように定められています。そのためこの場合、もっと具体的な目的を記載する必要があります。(第15条)

他にもWebマーケティングの目的でCookie情報を取得・活用する企業が増えていますが、Cookieに対して明確な規定が設けられることになります。CRMなどの営業管理ツールと紐づけ、個人が特定できる運用を第三者に提供する場面がある場合、個人情報保護法の規制対象となるため、Cookie情報取得ポップアップツールなどの対策が必要です。(第26条)

このように今回の改正に伴い、現在の管理ルールを再策定したり、Webサイトの表記を更新するなどの対応が求められています。

個人情報保護に求められる押さえるべき4つのポイント

今回の改正では個人情報の定義やルールがメインのため、ルール見直しと改善にフォーカスされがちですが、重要なのは、「取得した個人情報」の保護です。改正個人情報保護法では、個人情報を漏えいさせず、万が一の際もデータを守ることができる「体制構築」が求められています。その指標として4つの「安全管理措置」ガイドラインが設けられています。

<改正個人情報保護法に定められた安全管理措置>

(1)「組織的安全管理措置」 組織体制の整備/個人データの取扱いに係る規律に従った運用/個人データの取扱状況を確認する手段の整備/漏えい等の事案に対応する体制の整備/取扱状況の把握及び安全管理措置の見直し
(2)「人的安全管理措置」 従業者に、個人データの適正な取扱いを周知徹底するとともに適切な教育を行わなければならない。
(3)「物理的安全管理措置」 個人データを取り扱う区域の管理/機器及び電子媒体等の盗難等の防止/電子媒体等を持ち運ぶ場合の漏えい等の防止/個人データの削除及び機器、電子媒体等の廃棄
(4)「技術的安全管理措置」 アクセス制御/アクセス者の識別と認証/外部からの不正アクセス等の防止/情報システムの使用に伴う漏えい等の防止

LANSCOPEクラウド版で対策する個人情報保護対策

LANSCOPEクラウド版では、これら4つの安全管理措置に対応することが可能です。

・「組織的安全管理措置」のための現状把握
・「人的安全管理措置」におけるセキュリティ啓蒙
・「物理的安全管理措置」における持ち出し対策
・「技術的安全管理措置」における制御などの対策

(1)LANSCOPEクラウド版で行う「組織的安全管理措置」

ここでは安全管理措置を実施するための組織体制整備が求められています。LANSCOPEクラウド版では、デバイス上の操作ログを自動取得。セキュリティリスクに抵触する操作を行った場合、該当デバイス上にリアルタイムにポップアップで警告通知を行うことが可能です。

(2)LANSCOPEクラウド版で行う「人的安全管理措置」

ここでは、個人データの適正な取扱いを周知徹底・教育することが求められています。

LANSCOPEクラウド版では、違反操作に対してポップアップ通知を行うことができ、さらに企業のセキュリティ教育に役立つ「セキュリティブック」もご用意しています。セキュリティを誰でも分かりやすく解説した一冊となっており、Amazonランキング1位も獲得したことのあるガイドブックとなっています。またこのセキュリティブックを元にしたセキュリティ研修時に活用できる「講師用資料」や、「テスト」を無料でDLできますので、セキュリティ研修の負担を軽減することができます。

「セキュリティ 7つの習慣・20の事例」PDFデータは、無料でDLできます
http://www.motex.co.jp/vision/enlightenment_activity/education_book/

(3)LANSCOPEクラウド版で行う「物理的安全管理措置」

ここでは、媒体の盗難防止や容易に個人データが判明しないよう安全な方策を講じなければならないとされています。LANSCOPEクラウド版では、脆弱なパスワード利用を防ぐパスワードポリシーの設定が可能です。また盗難・紛失対策として、Windowsデバイスの暗号化機能「Bitlocker」の設定有無の把握から復元キーの一元管理、位置情報や移動履歴の取得、リモートロック・ワイプを実行できる機能を搭載しています。

(4)LANSCOPEクラウド版で行う「技術的安全管理措置」

ここでは、外部からの不正アクセスやリスクのある操作を制御し、情報漏えいを防ぐ体制構築を求められています。LANSCOPEクラウド版では、リスクの高い操作を制御したり、外部からの不正なアクセスに対し遮断※を行うことも可能です。また、リスクを下げる最も基本的な対策は、利用しているデバイスのOSを最新の状態に保つことです。LANSCOPE クラウド版は、一目で最新のOS・パッチが適用されていないデバイスを把握し、最新の状態にアップデートすることが可能です。 ※連携製品L2Blocker Cloudと連携が必要です

今回は一部機能をご紹介しましたが、LANSCOPEクラウド版では、改正個人情報保護法で求められている「安全管理措置」に対応しています。なお、安全管理措置の詳細な内容はホワイトペーパーにまとめていますので、ご参照ください。

今回の改正では、多くの企業が個人情報の取り扱いルールの再策定や、プライバシーポリシーの見直しを検討する必要があります。ルールの見直しはもちろん、今一度、取得した個人情報を守るための「安全管理措置」がしっかり整っているかどうか確認していただくことをおススメします。
LANSCOPEクラウド版は、サーバーの設置などが不要なため、すぐに運用を開始できます。デバイス管理の見直しも含め、ぜひこの機会にLANSCOPE クラウド版でのデバイス管理をご検討ください。

知らなかったでは済まされない!改正個人情報保護法に備える

2022年4月に施行された「改正個人情報保護法」を解説!LANSCOPEクラウド版でどのように対策できるのかをご紹介します

資料をダウンロードする