「改正個人情報保護法」への企業対応
「改正個人情報保護法」とは
「個人情報保護法」は、2005年4月に個人情報を保護するための法律として施行されたもので、以降も社会・経済情勢の変化に伴い、見直しが行われています。
2020年には、近年増加傾向にある企業による情報漏えい事故を改善するため、個人情報の適切な管理と利活用を監督する政府機関の個人情報保護委員会が、以下の5つの見直し基準のもとに同法を改正、公布しました。それが、2022年4月に全面施行される「改正個人情報保護法」です。
個人情報保護法の見直しの基準となる5つの視点
1 | 個人の権利利益の保護 |
2 | 個人情報の保護と利用のバランス |
3 | 個人情報のグローバルな利活用への配慮 |
4 | 外国事業者によるリスク変化への対応 |
5 | AI・ビッグデータ時代への対応 |
企業が取るべき対応とは
今回の改正では、「個人の権利利益の保護」「情報活用の強化」「AI・ビッグデータへの対応」などを目的に改正され、違反した場合には厳罰も科されるようになります。
それに伴い、個人情報を取り扱う企業も、例えば以下のような対応が必要になりますので、今一度自社の体制を見直してみましょう。
電磁的記録の本人からの開示請求への対応準備
個人情報を取り扱う企業は、本人からの電磁的記録(デジタルデータ)による開示請求への具体的な対応を行う体制を、早期に築くことが求められます。
個人情報の第三者提供が本人の権利を侵害しないか確認
個人情報の第三者提供記録について、本人に対して権利の侵害がないか、社内で取り扱い方法を確認する必要があります。
情報漏えい発生時の対応の見直し
個人情報漏えい発生時の事業者に追加された責務に対し、この事態を想定した業務フローを改めて見直し、対応できるようにする必要があります。
改正個人情報保護法6つのポイント
【1】個人の権利保護が強化
①短期保存データを保有個人データに含める
6ヶ月以内に消去される短期保存データも、保有個人データに含まれることになりました。
②保有個人データの開示方法のデジタル化
保有個人データについて、請求者本人がデジタルデータでの提供を含めた開示方法を指定できることになりました。
③利用停止・消去・第三者提供禁止の請求権の拡充
保有個人データについての個人請求権が、「取扱事業者が利用しなくなった時/重大な漏えいなどの発生時/本人の権利と正当な利益が害される恐れがある時」に拡充されました。
④本人の第三者提供記録の開示請求権を制定
本人は、事業者が作成した第三者提供記録の開示請求を、できるようになりました。
※保有個人データとは
個人情報取扱事業者が開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有している個人データのこと。
【2】個人情報取扱業者の責務が追加
①個人データ漏えい時の報告義務
事業者による個人情報の漏えい等が発生した際、個人情報保護委員会への報告、本人への通知義務が追加されました。
②不適正な個人情報利用の禁止
違法、または不当な行為を助長、誘発する恐れのある不適正な方法による個人情報の利用の禁止が明文化されました。
【3】企業の特定分野対象の認定団体制度が新設
企業の特定分野(部門)を対象とする団体を、認定団体として認定できるようになりました。
【4】データ利活用の施策
①「仮名加工情報」を創設、義務を緩和
データ利用と活用の促進のため「仮名加工情報」を創設し、利用に条件を付けたうえで、開示・利用停止請求について、個人情報ほど厳密な取り扱いをしなくてもよいことになりました。
②個人データとなり得る情報の第三者提供の本人同意確認の義務付け
提供元では個人データに該当しないものの、提供先において個人データとなることが想定される情報(個人関連情報)の第三者提供について、本人の同意が得られていることの確認が義務付けられました。
※仮名加工情報とは
他の情報と照合しない限り、特定の個人を識別することができないように個人情報を加工して得た個人に関する情報のこと。
【5】ペナルティ(法定化)の強化
個人情報保護法に違反が増加する中、重罰化による抑止効果を期待して、個人情報の取り扱いに関して、法人に対する法定刑が強化されました。
6.外国事業者への罰則追加など
日本国内に住んでいる人の個人情報を取り扱う外国の事業者も、報告徴収・立入検査など罰則の対象となりました。
情報セキュリティ“多層防御”の必要性
“多層防御”のセキュリティ対策は中小企業にとっての社会的責務
オンライン時代の昨今において、情報システムやインターネットは企業運営に欠かせません。
しかし、その利便性と引き換えに、システムの停止による損失や情報漏えいによる信頼の失墜といった大きな危険性も併せ持ち、今や企業にとって情報セキュリティの対策は、重要な経営課題の一つとなっています。
情報セキュリティ対策とは、ウイルス感染、システムへの不正アクセス、情報漏えい、災害などによる機器障害を防ぐことですが、PC、タブレット、スマートフォンなどの情報端末を始め、USBメモリ、SDカード、外付けHDDなどの外部ストレージなど、技術の発展に伴い、様々なデバイスが存在する昨今では、一つのセキュリティでは被害を防ぎきれません。
このような時代背景からも、複数のセキュリティ対策を同時に行う“多層防御”による情報セキュリティ対策は、中小企業にとっての社会的責務であると言えます。
事例紹介
弘法がこれまでに行ってきた
事例の一部を
紹介します。