改正個人情報保護法

個人情報保護法が改正され、ほぼ全ての会社が個人情報取扱事業者となるため、あらためてセキュリティ対策が注目されています。改正個人情報保護法の内容とそのポイント、個人情報管理で対応すべき内容をご紹介します。

 

改正の背景・課題

個人情報保護法が平成17年(2005年)4月に全面施行されてから今日までの間、情報技術の発展により、制定当時には想定されていなかった問題が顕在化するようになりました。そのような背景があり、個人情報の保護を図りつつ、パーソナルデータの利活用を促進することによる新産業・新サービスの創出と国民の安心・安全の向上の実現のために、個人情報保護法の改正が行われます。

  • グレーゾーンの拡大

    個人情報に該当するかどうかの判断が困難ないわゆる「グレーゾーン」が拡大。

  • ビッグデータへの対応

    パーソナルデータを含むビッグデータの適正な利活用ができる環境の整備が必要。

  • グローバル化

    事業活動がグローバル化し、国境を越えて多くのデータが流通。

改正個人情報保護法のポイント

個人情報取扱事業者の定義の変更

平成28年(2016年)からマイナンバー制度の運用が始まりました。企業は個人番号を一件でも取り扱う場合、番号法の規定に従って運用する必要があります。個人情報においても、企業が一件でも漏えいなどを発生させてしまうと個人情報本人の権利利益に侵害を与える恐れがあることから、保有する件数に関係なく個人情報の保護が求められます。

個人情報定義の明確化(グレーゾーンの解消)

個人情報の定義の明確化

特定の個人の身体的特徴をデータ化した情報等は、特定の個人を識別することが可能なため、それらを「個人識別符号」として定義し、それ単体でも個人を特定できる個人情報として取り扱うことになります(「個人識別符号」の定義は政令で定めます)。

改正後、取扱いについて特に配慮を要する個人情報

本人に対して不当な差別や偏見が生じないよう人種、信条、病歴、犯罪の経歴などを含む個人情報については「要配慮個人情報」として定義し、一般的な個人情報よりも大切に取り扱うべきであるとしました。

  • 本人の同意を得て取得することを原則義務化
  • 本人の同意を得ない第三者提供の特例(オプトアウト)の禁止

そもそも個人情報とは

「個人情報」とは、「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別できるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む)」をいいます。また、「紙媒体・電子媒体を問わず、特定の個人情報を検索できるように体系的に構成したもの」を「個人情報データベース等」と呼んでいます。

個人情報に含まれるもの
氏名・生年月日・住所・電話番号/クレジットカード情報/顔の画像/防犯カメラ(画像・音声データ)/銀行口座番号/個人識別が可能なメールアドレス
改正後含まれるもの
指紋認証・顔認証データ/パスポート番号/免許証番号/端末IDや機器に関する情報
改正後、取扱いについて特に配慮を要する個人情報
人種・信条・社会的身分/病歴/犯罪歴・被害歴

ポイント

個人情報データベースに該当する事例

  • メールソフトのアドレス帳、仕事で使う携帯電話の電話帳、ソフトウェアなどでリスト化された従業者や顧客台帳
  • 五十音順に整理し、インデックスを付してファイルしている登録カード

個人情報の有用性を確保

匿名加工情報の活用

個人情報をビッグデータ等で事業活用に活用できないのでは、経済活動の発展を抑制しているという観点から「匿名加工情報」(個人情報を加工し、特定の個人の識別することが不可、および元の個人情報に復元することも不可にした情報)として加工を施した情報であれば、一定のルールの下に自由に流通を利活用することができるようにしました。これにより、大量のデータを収集、分析し、ビジネスに活用することが可能となりました。

利用目的の変更制限の緩和

現行の個人情報保護法でも、特定した個人情報の利用目的についてはある程度予見ができれば変更することが可能です。ただし利用目的の変更には「相当の関連性を有すると合理的に認められる場合」にのみしか認められないことがしめされていたため、関連性がある変更であっても事業者が利用目的の変更に躊躇する状況でした。今回、「相当の」を削除することで、ある程度柔軟に利用目的を変更することができるようになります。

個人情報の流通の適性さを確保(名簿屋対策)

トレーサビリティ

個人データを第三者に提供したときは、提供先の氏名等、個人情報保護委員会が定める事項の記録を作成し、一定期間保管する必要があります。また、個人データの第三者提供を受け取る側も、提供者や個人データの取得経緯等を確認した記録を作成し、一定期間保管する必要があります。

個人情報データベース等提供罪

個人情報データベース等を不正な利益を図る目的で第三者に提供、または盗用した場合は、「個人情報データベース等提供罪」(1年以下の懲役または50万円以下の罰金)として処罰の対象になりました。

個人情報保護委員会の新設

番号法で設置された「特定個人情報保護委員会」を改組し、平成28年(2016年)1月1日に「個人情報保護委員会」として新設されました。今後個人情報保護委員会が定める規則やガイドラインが運用上重要となります。マイナンバー関連の規定作成や実運用も同委員会が行い、特定個人情報を含めた個人情報全体の監視・監督を行います。

個人情報取扱いのグローバル化

個人情報保護委員会の規則に沿った方法、または同委員会が認めた国、または本人同意により外国への第三者提供が可能となりました。

今後のスケジュール<平成28年(2016年)2月現在>

改正法は成立をしてから2年以内での施行となります。全面施行後より改正法が適用となりますので、それまでの期間に個人情報保護法の理解、セキュリティの強化、社内体制の構築、社員への教育・意識アップなどの準備が必要です。

安全管理措置(漏えい対策)

経済産業省の個人情報保護法ガイドライン(現行)は、「個人情報取扱事業者は、その取扱う個人データの漏えい、滅失またはき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。(中略)組織的、人的、物理的及び技術的な安全管理措置を講じなければならない。」とあり、個人情報を取り扱う以上、ガイドラインに沿った漏えい対策は必須となります。

ガイドラインに沿った漏えい対策の具体例

  • 組織的安全管理措置

    漏えい対策の社内規定と組織体制を整備することが急務です。規定に従った運用を随時評価、見直しをしながら進めていくことが重要となります。

  • 人的安全管理措置

    秘密保持に関する従業員との契約締結はリスク対策として重要です。また随時従業員の漏えい対策に関する研修などを行い、知識増強を図っていかなければなりません。

  • 物理的安全管理措置

    施錠つきキャビネット(金庫)への保管や、従業員以外立ち入り禁止とする制限区域の設置などの対応が必須となります。またPC機器などへのセキュリティワイヤーなどの対策も必要です。

  • 技術的安全管理措置

    データ管理をしている企業にとって必須の対策事項です。個人情報データへアクセスできる人を限定し(アクセス制御)、あわせて取扱いの記録を取得することは、漏えい対策において非常に重要なポイントです。

ポイント

ガイドラインに沿った対策の必要性

ガイドラインに書かれている具体的対策はあくまでも「努力義務」ということですので、「全ての対策を行っていないと法律違反」ということにはなりません。しかし、漏えい事故や事件があったときに「どこまで安全管理措置を行っていたか」ということは、裁判などで評価されることになります。個人情報取扱事業者にとっては、より強固な安全管理措置をとるよう具体的な対策・社内の運用体制の整備をしていくことが求められます。

個人情報漏えいのリスク

個人情報保護法の罰則規定

マイナンバー法は最も重い刑事罰が「4年以下の懲役または200万円以下の罰金 もしくはその両方」であることと比較すると軽い印象ではありますが、漏えい事故があった際の企業の信用低下など社会的な影響は非常に大きなものとなります。

情報漏えいした場合の補償費用

漏えい情報の内容によって差異はありますが、一件あたり数万円(1~3万円)の補償が必要となる場合が多く、件数によっては数千万円~数億円の補償が発生することもあります。また補償による実損もありますが、企業にとっての一番の損害は信用失墜・イメージダウンが取引停止などのダメージにつながることであると考えられます。

システムに求められること

Excelなどの汎用ソフトでは、ウイルス感染・データ破損・操作ミスなどさまざまな危険が懸念されます。また、技術的安全管理で規定されているアクセス制御も、下記の項目をはじめとして不充分な場合があります。

  • データの入力・参照権限の制御ができない
  • データのコピーやメールへの添付ができるため、顧客情報の持ち出しが比較的容易である
  • 操作履歴(ログ)が残らない

個人情報取扱事業者としてガイドラインにそった情報管理を実施するために、セキュアな顧客データベースの構築が求められます。

ソリューション

個人情報を管理するシステムを見直す

セキュリティ対策全般を見直す

個人情報の流出を防ぐため、大塚商会ではファイアウォール・セキュリティスイッチ・IT資産管理など、多重のセキュリティ対策で危険を低減させる「多層防御」を推奨しています。

ERPを安心・安全の環境で利用<セキュリティ対策>

フェア・セミナー

改正個人情報保護法の詳細について

制度自体の詳細につきましては、経済産業省のWebサイトにてご確認ください。

個人情報保護(経済産業省Webサイトに移動します)

ページID:00122089