2022年4月施行!
個人情報保護法の改正ポイントと
企業に求められる対応とは
2020年6月の国会で可決・成立した「改正個人情報保護法」が、2022年4月1日より全面施行されました。今回の法改正は、高度情報通信社会の進展によって国民が様々な利便性を享受できるようになった一方で、プライバシー侵害などのリスクも高まっていることに対応するためのもの。そのため、改正の主目的も「AI・ビッグデータ時代への対応」、「外国事業者によるリスク変化への対応」など、情報技術の革新が進む中で個人の権利・利益を保護する内容になっています。この記事では、計6項目の改正ポイントのうち、企業が早急に対応すべき事柄や、そのための対策についてご紹介します。
なぜ見直されるに至ったのか
個人情報保護法改正の背景
「個人情報保護法」は、個人情報の外部流出と悪用を防ぐため、2005年4月から施行された法律です。施行から10年が経過した2015年、法律制定時には想定されていなかったレベルで個人情報利活用の範囲が広がったこと、クラウドサービスの拡大などで、日本とは法体制が異なる海外の企業に情報管理を委託する民間事業者が急増したことなどにより、最初の見直しが行われました。
その際、政府の外郭組織である個人情報保護委員会が政府による改正法附則を審議して定めたのが、「3年ごとに個人情報保護法を見直す」という規定。今年施行された改正個人情報保護法は、この「3年ごと見直し規定」に基づいて成立した初の改正法ということになります。
個人情報保護法改正の目的と6つの改正ポイント
前述の通り今回の個人情報保護法改正は、デジタルデータ化された個人情報が様々な場面で利活用され、その情報がグローバルに展開されている昨今の社会情勢を鑑み、国際的な制度の調和・連携に配慮しながら個人の権利と利益を保護することを主目的にしています。特に、以下の6項目が、改正の「ポイント」です。
-
個人の権利利益保護の強化
-
事業者への責務追加
-
特定分野を対象とする団体の認定団体制度創設
-
データ利活用の促進
-
法令違反に対するペナルティの強化
-
外国事業者に対する報告徴収・立入検査などの罰則追加
2015年の改正で、それまで除外されていた「保有する個人情報が5000人以下の小規模事業者」も法律適用の対象となったのに加え、今回の改正で、短期間でも個人情報を事業活動に利用している事業者(個人事業者も含む)は営利・非営利を問わず、全て適用対象となりました。したがって、いずれの項目についても概要を把握し、必要と思われる対策を急ぐことが重要だと言えます。
どこが変わったのか
個人情報保護法の改正前と後
今回の改正では、「個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資する」という側面と、「個人情報の有用性に配慮しつつ、個人の権利利益を保護する」義務とを両立させるため、様々な項目について見直しが図られています。上記6項目のポイントの中でも、特に注意すべき変更点を見てみましょう。
(ポイント1)本人の権利保護の強化
個人の権利利益の保護を強化するため、「保有個人データの開示方法を本人が指示できる」、「第三者提供記録を本人が開示請求できる」など、個人による請求権の範囲が拡充されました。「短期保存データ」も、開示・利用停止などの対象となります。
従来法では、6ヵ月以内に消去する個人データは「保有個人データ」と見なされなかったため、情報更新を行わない限り、開示や利用停止等の請求対象ではありませんでした。しかし改正後は、データの保存期間による限定が排除され、6ヵ月以内に消去する短期保存データも「保有個人データ」に含められることになるのです。
なお、これまで本人が保有個人データの利用停止や消去を請求できるのは、「目的外利用された場合」と「不正な手段で取得された場合」に限られていましたが、改正法ではこれに加え、「不適正な利用がなされた場合」、「保有個人データを利用する必要がなくなった場合」、「保有個人データの漏えい等が生じた場合」、さらに「保有個人データの取扱いにより本人の権利・正当な利益が害されるおそれがある場合」も、利用停止や第三者提供の停止が請求できることになりました。
(ポイント2)事業者への責務追加
従来法では、個人情報が漏えいした際の報告等は「努力義務」であり、強制力を持つ法的義務ではありませんでした。しかし改正法では、個人情報の漏えいによって個人の権利利益が侵害される場合には、「本人への通知」だけではなく「個人情報保護委員会への報告」も義務付けられました。
これは、事業者側の内部事情(社員による不正行為など)に起因する漏えいばかりでなく、予想し得ない不正アクセス被害等によって顧客情報などが漏えいした場合も同様です。同時に、企業による個人情報の活用が違法行為や不当行為の助長・誘発につながらないよう、「不適正な方法による個人情報利用の禁止」が明文化された点も、事業者への責務追加の1つと言えます。
本人や個人情報保護委員会への通知・報告だけではなく、事実関係の調査および原因の究明、再発防止策の検討および実施などについても「必要な措置を講ずることが望ましい」として、事業者が負うべき責務が、これまで以上に明文化されています。
(ポイント3)特定分野を対象とする団体の認定団体制度創設
個人情報保護に関する基本方針の策定や監督及び指導、法令違反があった場合の勧告・命令などは、基本的に個人情報保護委員会が行いますが、それ以外にも個人情報保護委員会が認定する民間の「認定団体」を活用した情報保護が行われてきました。
今回の改正では、この認定団体制度がさらに拡張され、企業の特定分野・部門を対象とする団体も「認定団体」として登録できるようになりました。
(ポイント4)データ利活用の促進
個人情報を企業活動に利用する際、「特定の個人を識別できないように個人情報を加工し、かつ復元できないようにした情報」(いわゆる「匿名加工情報」)に加工しなければならないルールが定められていました。
今回の改正では、他の情報と照合しない限り特定の個人を識別できないようにする「仮名加工情報」制度が新設されました。仮名加工情報は、匿名加工情報と比較して加工が簡便で詳細な分析も可能なので、情報の利活用によるイノベーション促進が期待されています。
(ポイント5)法令違反に対するペナルティの強化
今回の改正のうち、改正法が公布された2020年の12月から先行して施行されているのが、この「ペナルティ強化」です。「個人情報保護委員会からの命令に違反した場合」や「虚偽報告が発覚した場合」、「個人情報データベースなどの不正提供を行った場合」の罰則規定が、以下のように強化されています。
懲役刑 | 罰金刑 | ||||
---|---|---|---|---|---|
改正前 | 改正後 | 改正前 | 改正後 | ||
個人情報保護委員会からの命令違反 | 行為者 | 6か月以下 | 1年以下 | 30万円以下 | 100万円以下 |
法人等 | - | - | 30万円以下 | 1億円以下 | |
個人情報データーベース等の不正提供等 | 行為者 | 1年以下 | 1年以下 | 50万円以下 | 50万円以下 |
法人等 | - | - | 50万円以下 | 1億円以下 | |
個人情報保護委員会への虚偽報告 | 行為者 | - | - | 30万円以下 | 50万円以下 |
法人等 | - | - | 30万円以下 | 50万円以下 |
従来は「50万円以下」が上限だった罰金が、改正後、最大で「1億円以下」にまで引き上げられました。前述したように、事業規模に関係なく個人情報の利活用を行っている全ての事業者が対象となるので、対応が遅れると重大な経営損失を生みかねないのです。
(ポイント6)外国事業者に対する報告徴収・立入検査などの罰則追加
日本国内に支店等を持つ海外企業が日本人顧客の個人情報も海外で管理したり、海外のインターネット通販事業者が、日本の消費者の個人情報を取得したりするケースが急増しています。
これまでは、海外企業が報告徴収・命令や立入検査などの対象となることはありませんでしたが、今回の法改正により、海外企業であっても日本在住の人(国籍に関わらず)の個人情報を取り扱っていれば、報告徴収や立入検査などの対象とし、罰則も適用されることになりました。
「まず、やれるところから」が改正法対応のコツ
~Specialist Interview~
個人情報保護法が改正されたことは知っているが、「自社の場合はどのような対応・対策が必要なのか」「情報セキュリティを強化するには、何から始めれば良いのか」など、具体的な対応内容について迷っている経営者やシステム管理者は少なくないようです。そこで、企業や団体における情報セキュリティのスペシャリストである、キヤノンITソリューションズ株式会社 サイバーセキュリティ技術開発本部の西浦 真一氏、岡庭 素之氏に、企業に求められる改正法対策について尋ねました。
【西浦 真一 (にしうら しんいち)】
キヤノンITソリューションズ株式会社
サイバーセキュリティ技術開発本部
サイバーセキュリティラボ
セキュリティエバンジェリスト
2006年よりネットワークを中心としたセキュリティリスクへの対策の提案や海外セキュリティ製品のローカライズに従事、2017年よりセキュリティエバンジェリストとしてサイバーセキュリティ及びセキュリティインシデントに関する啓蒙活動に従事。CISSP、情報処理安全確保支援士
【社外活動】
JNSA(NPO日本ネットワークセキュリティ協会)セキュリティ理解度チェックWGリーダー、インシデント被害調査WGサブリーダー等
【岡庭 素之 (おかにわ もとゆき)】
キヤノンITソリューションズ株式会社
サイバーセキュリティ技術開発本部
サイバーセキュリティラボ
シニア セキュリティエバンジェリスト
自社開発製品「GUARDIAN」シリーズをはじめセキュリティ商品事業に従事、2015年よりキヤノンマーケティングジャパン株式会社に出向、CSIRT(Canon MJ-CSIRT)立上げメンバーとして専任で従事。2020年よりサイバーセキュリティラボにて、シニアエバンジェリストとしてサイバーセキュリティ及びセキュリティインシデントに関する啓蒙活動に従事(Canon MJ-CSIRT兼務)。
【社外活動】
JNSA(NPO日本ネットワークセキュリティ協会)幹事
NCA(日本シーサート協議会)インシデント事例分析WGチームNリーダー等
優先的に対応すべきポイントをピックアップする
改正個人情報保護法の施行に対し、「何をすべきか、どうすれば良いのか」といった不安感を抱えている事業者が意外に多いようです。そうした事業者は、まず何から始めるべきなのでしょう。
西浦 改正法に関する法令文や、関連省庁が出している文書を読み解いて、自社の状況に当てはめながら対策を考える作業はかなり大変です。個人情報保護委員会が中小企業向けに、「改正個人情報保護法対応チェックポイント」というわかりやすいガイドラインを公開しており、すぐに取り組むべき重点ポイントがわかりやすくまとめられています。
今回の法改正で大きく変わった点の1つが「本人への通知の義務化」であり、個人情報の漏えいなどが発生した場合には、その旨を本人に告知しなければなりません。万が一、そうした事態が発生した場合、漏えいした情報や状況を正確に把握し、その内容を顧客など本人に通知できる体制が社内にあるのかどうか。まず、そうした点から考えることをお勧めします。
岡庭 個人情報保護委員会のサイトには、優先すべき取り組み3項目を「まずはここからご対応ください」として紹介しており、1番目が本人告知の義務化、2番目に「外国にある第三者への個人データ提供時の、情報の取扱い」について書かれています。
近年は各種クラウドサービスを利用する事業者が増えていますが、管理を委託するデータの中に個人情報が含まれている場合、クラウドサービス事業者が個人情報を取り扱うか否かを確認する必要があります。個人情報を取り扱わない旨を契約条項で定めており、適切なアクセス制御が行われている国内企業であれば、個人情報の「第三者提供」には当たらないので、本人の同意を得る必要はありません。
これに対し、個人情報の取り扱いについて明記されていないと、場合によっては個人情報の本人に同意を得なければなりません。契約条項や利用規約・約款などを精査した上で、当該事業者に直接確認するのが良いでしょう。
海外企業が提供するクラウドサービスを利用する場合はどうでしょうか。
岡庭 その場合、原則的には「外国にある第三者への個人データの提供を認める旨の本人の同意」を得る必要があります。ただし、その事業者が日本と同等の個人情報保護制度を有している一部の国である場合や、海外企業の日本事業所や支店等が、個人情報を含むデータを自社の海外サーバーに保存する場合は、「同一法人格内での個人データの移動」にあたるため、本人への同意は必要ありません。個人情報データベースを、日本国内で事業に活用していると認められる海外企業の場合も同様です。
利用する海外企業が、(1)適切かつ合理的な方法で、個人情報保護法に沿った措置が実施されていること、(2)国際的な枠組みに基づく認定を受けていることなどで、個人データを取り扱わないルールを設けているか、確認する必要があります。
クラウドサービスの利用開始前に、念のためIPA(独立行政法人情報処理推進機構)が出している「中小企業の情報セキュリティ対策ガイドライン」などにも、目を通しておいた方が良いでしょうね。クラウドサービスを新たに利用する場合、業者選定のポイントがわかると思います。
個人情報を、自社のサーバーだけで管理するのか、他社のクラウドサービスを利用するのか、自社サーバーならば、どのような管理体制なのかなど、それぞれの企業で必要な対策が異なるということですね。
西浦 その通りです。本来、各社の状況に合わせた情報セキュリティポリシーやガイドラインを持つのが理想的ですが、実際にはなかなか難しいと思います。とは言え、“ノー・ガード”のままというわけにもいきませんから、まずは自社の情報管理の状況を正確に把握し、法改正に伴ってどんな対策が優先的に求められているのかを認識することから始めると良いのではないでしょうか。
IPAのガイドラインは、最低限実施すべき取り組みがまとめられており、5分程度でできる「情報セキュリティ自社診断」などのチェックリストも用意されています。メーカーなのか商社なのか、マーケティング専門なのか…など、業態によって保有する情報や管理の方法は様々ですから、画一的な対策で改正法に対応するのは困難です。IPAガイドラインなどを参考にしながら、自社の業種・業態に合わせたリスクアセスメント強化に取り組んではいかがでしょう。
岡庭 せっかく、IPAのようなきちんとした公共団体がわかりやすいガイドラインを出しているのですから、大いに利用して効率的・効果的な対策を講じるのも、賢い選択肢の1つだと言えるでしょう。
そのためにも、「我が社はどのような情報を持っていて、その中で特に守らなければならない大事な情報は何なのか、どういうふうに管理しているのか」という基本部分の洗い出しから始めていただきたいと思います。
「目的意識」を社内で共有することが大切
法改正に向けた各種取り組みに着手する際、留意点があれば教えてください。
岡庭 定期点検及び監査など内部規律の整備や、組織体制の整備を行うにあたり、「ISMS(情報セキュリティマネジメントシステム)」や「プライバシーマーク」制度の考え方を用いて取り組みを進めてはいかがでしょうか。その際、トップダウンの指示・命令だけで終わらせないことが、結果的に情報セキュリティ体制の維持につながると思います。
これは多くの企業について言えることですが、発言力のあるトップが命令口調で言うと、その時は全社員がわかったつもりになるものの、そのまま“尻切れトンボ”になるケースが多々あります。「やっとけよ!!」の命令だけで終わらせるのではなく、上司自らが情報セキュリティに対する姿勢を明確にし、全社員が目的意識を共有できるよう働きかけながら、取り組むようにして下さい。
西浦 何らかのセキュリティ事故が発生した場合、情報漏えいの原因が上層部であろうと一般社員であろうと、顧客等に与える不利益と自社が被る損害には何の違いもありません。だからこそ、トップだけではなく全社員が同じ意識を共有して継続的に取り組むこと、定期的に見直しを図って改善できる部分は改善することが重要です。
そのためにも、先ほども言いましたように、個人情報を含む自社の情報資産は何なのか、どこにどういう形で保存しているのかを明確にするところから始めて頂きたいと思います。その際、「一般情報」、「個人情報」、「機密情報」などデータの重要度・機密度に合わせたラベリングを実施し、それに準じた対策を行うことが大切です。情報の重要度に応じて、アクセス権を持つ人を限定する必要もあるでしょうね。
岡庭 アクセス権を考える上で、「どのルートでデータにアクセスするのか」まで明らかにしておくことも大切です。コロナ禍の影響により、リモートワーク環境でデータにアクセスする機会が増えている昨今、「アクセスのルート」を考えておくことは非常に重要です。
フリーWi-Fiなどを使って会社の重要情報にアクセスする人はいないと思いますが、例えば在宅環境から会社のVPNにアクセスする際、どのルートで繋ぐのか…という点を確認し、それによってアクセス権の制限なども検討する必要があります。
アクセスルートによっては、セキュリティ対策を変更しなければならないこともあるわけですね。
西浦 下記の図は、JNSA(日本ネットワークセキュリティ協会)が公開している「国内における個人情報漏えい事件・事故の原因分析結果」ですが、個人情報漏えい事件の半数以上は紛失や置き忘れ、誤操作によるもの。日常的な業務の中で、“つい、うっかり”という情報漏えいが非常に多いのが実情です。
まずは「足もとをしっかり固める」という意識を持ち、繰り返しになりますが、自社の情報資産に注目して、アクセス管理の体制やルールなどを見直すところから着手することをお勧めします。
-
※
出典:NPO 日本ネットワークセキュリティ協会「2018年 情報セキュリティインシデントに関する調査報告書【速報版】」
同時に、サイバー攻撃による不正アクセス事案も増えていますから、システム上のセキュリティ強化対策を検討し、実行することが非常に重要です。
事業規模や社内体制によっては、セキュリティ強化対策を自社内だけで完結するのが難しい場合もあると思います。その場合、SOC(セキュリティ・オペレーション・センター)やNOC(ネットワーク・オペレーションセンター)を利用したり、自社のシステム構築を依頼したベンダーに相談したりと、外部の力を借りて取り組むのも良い方法だと思います。
まとめ
企業に求められる対応を実践する重要ポイントとは
【3つの重要ポイント】
-
✓情報漏えい時の義務追加に伴い、改めて個⼈情報保護の意識を⾼める
-
✓自社がどのような個人情報を持ち、どのように管理しているか現状を確認する
-
✓情報漏えいを防ぐため社内外の脅威に対応する情報セキュリティ対策を講じる
インタビューでも指摘があったように、「紛失・置き忘れ」「誤操作」による情報漏えいが、全体の半数以上を占めています。改正個人情報保護法の施行により企業が負うべき責務が追加された以上、こうした情報漏えい原因に対する意識を高め、対策を「後回し」にしないということ。これが、ポイントの1つ目であり、企業に求められる最も重要な対応と言えるでしょう。
ポイントの2つ目は、自社の情報管理状態を改めて確認し、業種・業態・事業規模などに応じた適切な情報管理体制を整えるということ。自社の情報管理体制がきちんと把握できていないと、適切な情報漏えい防止対策も立てられません。
ポイントの3つ目は、近年の「不正アクセス」増加に対応し、ネットの「出入り口」だけでなく自社内の「各端末」でも情報を守る体制を整備するということ。
各セキュリティ機器のログや、通信ログ、サーバーへのアクセスログなど各種ログを記録・保存できる体制を整えた上で、運用体制・運用責任者も明確にしておきましょう。
以上の3つのポイントが、個人情報保護法改正後の急務と言えそうです。
本コラムに関連のお問い合わせ
キヤノンマーケティングジャパン株式会社
Webサイトからのお問い合わせ
本コラムについてのご相談、お問い合わせを承ります。
受付時間:平日 9時00分~17時00分
※ 土日祝日・当社休業日は休ませていただきます。