2022年 6月21日公開

企業のITセキュリティ講座

漏えい報告の義務化や厳罰化など、改正個人情報保護法のポイント

ライター・吉澤亨史

個人情報保護法が2022年4月より改正された。今回の改正は、法人に対する個人情報漏えい発生の際の報告が義務化されるなど、事業者にとって非常にインパクトが大きい内容だといえるだろう。ここでは、個人情報保護法の改正内容と、企業が取り組むべきポイントを解説する。

1. 個人情報保護法とは

「個人情報の保護に関する法律」(以下、個人情報保護法)の改正が、2022年4月1日より施行された。個人情報保護法は2003年5月に制定され、2017年5月の改正により3年ごとの見直し規定が追加された。今回はこの見直し規定による改正となる。個人情報を保護する法律は国や地域ごとに制定されつつあるが、日本の場合は個人情報を保護しつつも最大限に活用できるよう、ビジネスの発展も意識したものになっている。

条文の「目的」によると、「デジタル社会の進展に伴い個人情報の利用が著しく拡大していることに鑑み、個人情報の適正な取扱いに関し、基本理念及び政府による基本方針の作成その他の個人情報の保護に関する施策の基本となる事項を定め、国及び地方公共団体の責務等を明らかにし、個人情報を取り扱う事業者及び行政機関等についてこれらの特性に応じて遵守すべき義務等を定める」とある。

また、運用は個人情報保護委員会(以下、委員会)という国の機関が行う。目的の後半は、委員会を設置することにより「行政機関等の事務及び事業の適正かつ円滑な運営を図り、並びに個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであることその他の個人情報の有用性に配慮しつつ、個人の権利利益を保護する」となっており、新たな産業の創出なども目的であることがわかる。

いわゆるGAFAM(Google、Amazon、Facebook、Apple、Microsoft)のようにDXを実現しグローバルに君臨する企業に追いつく(追い越す)ためには、データの収集と分析が欠かせない。例えば、Amazonでは膨大な購入データを分析することで年代や性別、季節などによる購入傾向を把握し、同じ傾向のユーザーに商品を提案することで売上を伸ばし、さらに大規模ECサイトの運用で得たノウハウをもとに仮想環境(IaaS)を提供することで、もうひとつの経営の柱とした。

一方で、データ化された個人情報が漏えいしてしまうと、大きな被害を受ける可能性がある。また、個人情報はお金になるため、常にサイバー攻撃者に狙われている。特に、クレジットカード番号や銀行口座などの決済情報や、健康に関連する情報は高値で取引されるため標的とされやすい。そのため個人情報保護法では情報漏えいや盗難への対策も求めている。

令和2年(令和3年施行)改正個人情報保護法の概要

引用元:個人情報保護委員会 「個人情報の保護に関する法律等の一部を改正する法律(概要)」

目次へ戻る

2. 改正個人情報保護法のポイント

今回の改正では、「個人の権利の在り方」「事業の守るべき責務の在り方」「事業者による自主的な取組を促す仕組みの在り方」「データ利活用に関する施策の在り方」「ペナルティの在り方」「法の域外適用・越境移転の在り方」の大きく六つの改正が行われている。

重要なポイントを挙げていくと、まず「漏えい等報告・本人通知の義務化」が挙げられる。個人情報の漏えいなどが発生した際には、改正前は「委員会に報告し、本人に通知するよう努める」という表記であったが、個人の権利利益を害する恐れが大きい事態については件数に関わりなく「委員会への報告及び本人への通知を義務化」となった。なお、漏えい等とは、漏えい、滅失または毀損(きそん)のことを指す。

「ペナルティ」については厳罰化され、委員会による命令違反・委員会に対する虚偽報告等の法定刑を引き上げている。例えば、命令違反は改正前の「6カ月以下の懲役または30万円以下の罰金」から改正後は「1年以下の懲役または100万円以下の罰金」となる。また、データベース等不正提供罪、委員会による命令の罰金について、法人と個人の資力格差等を勘案して、法人に対しては行為者よりも罰金刑の最高額を引き上げている。改正前は個人と同額(50万円または30万円以下)であったのが、1億円以下の罰金となった。

「外国にある第三者への提供」では、改正前は「本人の同意」「基準に適合する体制を整備した事業者」「日本と同等の水準国(EU、英国)」となっていたが、改正後は個人データの移転時に、移転先の所在国の名称や移転先の国における個人情報保護に関する制度など、要件が追加された。

「保有個人データの開示方法」では、改正前は書面による交付が原則となっていたが、改正後はCD-ROMなどの媒体の郵送、電子メールによる送信、Webサイトでのダウンロードなどを含め、本人が指示できるようになった。第三者提供記録の開示請求も行える。

「個人データの利用の停止・消去等の請求」では、改正前は「利用停止・消去ができるのは目的外利用や不正取得の場合に限定」、「第三者利用の停止ができるのは、第三者提供義務違反の場合に限定」されていた。改正後は、「利用する必要がなくなった場合」「委員会への報告義務のある重大な漏えい等が発生した場合」「本人の権利または正当な利益が害される恐れがある場合」が追加された。

「公表等事項の充実」では、改正前は事業者の名称、利用目的、開示請求等の手続き、苦情の申し出先等が公表事項として規定されていた。改正後は、「安全管理のために講じた措置(公表等により支障を及ぼす恐れがあるものを除く)」を公表等する義務がある事項として追加された。

新設されたものでは、「不適正利用の禁止」がある。これは、違法または不当な行為を助長する等の不適正な方法により個人情報を利用してはならない旨が明確化された。

「個人関連情報」という規定も追加された。これは「生存する個人に関する情報で、個人情報、仮名加工情報および匿名加工情報のいずれにも該当しないもの」とされ、この情報の第三者提供規制が追加された。これにはCookie等により収集された、ある個人のWebサイトの閲覧履歴や、ある個人の商品購買履歴やサービス利用履歴、ある個人の位置情報などが該当する。

「仮名加工情報」も新設されている。仮名加工情報とは、「他の情報と照合しない限り、特定の個人を識別できないように個人情報を加工して得られる情報。加工により一定の安全性を確保しつつ、匿名加工情報よりもデータの有用性を保ち、詳細な分析を実施し得るもの」とされている。仮名加工情報に変換することで、利用目的の変更の制限や、漏えい等の報告・本人への通知、開示・利用停止等の請求対応の義務から除外される。

新設される「個人関連情報」

引用元:個人情報保護委員会 「改正個人情報保護法 特集」

目次へ戻る

3. 改正に向けて企業が取り組むべきこと

委員会では、中小企業向けに「令和4年4月1日 改正個人情報保護法対応チェックポイント」を公開している。六つのチェックポイントが用意されており、特に重要な項目については「まずはここから!」と表記されるなど、わかりやすい内容となっている。

「まずはここから!」のチェックポイントは三つあり、一つ目は「万が一に備え漏えい等報告・本人通知の手順を整備しましょう」となっている。個人の権利利益を害する恐れが大きい、漏えい等の事態が発生した場合等に、個人情報保護委員会への報告および本人への通知が義務化されるためだ。万が一発生してしまったときに備え、手順を確認し実際に実施して問題点などを洗い出して対応しておく。

二つ目は、「個人データを外国の第三者へ提供しているか確認しましょう」である。外国にある第三者への個人データの提供時に、提供先の第三者における個人情報の取り扱いに関する本人への情報提供の充実等が求められるようになりため、その手順や内容を確認しておく。

三つ目は、「安全管理措置を公表する等、本人の知り得る状態に置きましょう」である。どのような安全管理措置が講じられているかについて、本人が把握できるようにする観点から、原則として、安全管理のために講じた措置の公表等が義務化される。外国において個人データを取り扱う場合、当該外国の個人情報の保護に関する制度等を把握した上で、安全管理措置を講じる必要がある。

残りの三つは、「保有個人データを棚卸し、開示請求等に備えましょう」「個人情報を不適正に利用していないか確認しましょう」「個人関連情報の利用状況や提供先を確認しましょう」となっている。改正後は、6カ月後に消去するデータも開示請求の対象となること。不適正な方法による個人情報の利用が禁止されること。提供元では個人データに該当しなくても提供先において個人データになることが想定される情報の第三者提供には、本人同意などの確認が義務づけられること。これらを認識し、必要があればプライバシーポリシーの改訂といった対応が必要になる。

令和4年4月1日 改正個人情報保護法対応チェックポイント

引用元:個人情報保護委員会 「令和4年4月1日 改正個人情報保護法対応チェックポイント」

目次へ戻る

関連記事

ライター紹介

吉澤 亨史(ヨシザワ コウジ)

元自動車整備士。整備工場やガソリンスタンド所長などを経て、1996年にフリーランスライターとして独立。以後、雑誌やWebを中心に執筆活動を行う。サイバーセキュリティを中心に、IT、自動車など幅広い分野に対応。

ページID:00225804