改正個人情報保護法

2022年4月に改正個人情報保護法が施行されます。今回の改正では、個人の権利保護・事業者義務・公表事項の追加・データの利活用の推進・ペナルティの強化などが盛り込まれており、各企業で個人情報管理について見直す動きが求められます。このページでは、改正個人情報保護法の内容とそのポイント、個人情報管理で対応すべき内容をご紹介します。

改正の背景・課題

個人情報保護法は、社会情勢にあわせて都度見直されてきましたが、2015年からは、情報通信技術の進展が著しいことなどから、3年ごとの見直し規定が設けられました。2022年4月の改正は、自身の個人情報に対する意識の高まり、技術革新を踏まえた保護と利活用とのバランス、越境データの流通増大に伴う新たなリスクへの対応などの観点での改正となります。

事業者が守るべきルールの改正内容(2022年4月1日施行)

この改正では、個人の権利保護、事業者義務、公表事項の追加、データの利活用の促進、ペナルティの強化などが盛り込まれており、各企業で個人情報管理について見直す動きが求められます。

  • 違法または不当な行為を助長する等の「不適正な利用」も禁止となります。
  • 漏えい等が発生し、個人の権利利益を害するおそれが大きい場合、個人情報保護委員会への報告および本人への通知が義務化されます。
  • 外国の第三者に個人データを提供する場合は、あらかじめその外国の個人情報保護の制度等の情報を提供する義務が発生します。また移転先で個人データが継続的に適正に取り扱われる措置等を講じ、それらの情報を本人の求めに応じて提供します。
  • 提供元では個人データに該当しなくとも、提供先で個人データとなることが想定される情報は、提供時に本人同意が得られていること等を確認することが義務となります。
  • 安全管理のために講じた措置等についても公表事項に追加となります。
  • 本人から開示を請求された場合の開示方法に、電子メール等の電磁的記録の提供を含め、原則本人から請求された方法で開示する必要があります。また第三者に提供した記録についても、本人から開示請求された場合、原則本人に開示します。

2022年施行 改正のポイント

法人に対する罰則強化

個人情報保護委員会に対する虚偽報告等

最大30万円の罰金 → 最大50万円の罰金

個人情報保護委員会から違反行為の中止・是正の命令に違反した場合

最大30万円の罰金 or 最大6カ月の懲役 → 最大100万円の罰金 or 最大1年の懲役

法人に対する罰金の引き上げ

最大50万円の罰金 → 最大1億円の罰金

個人の権利

本人が自己の個人情報について、利用の停止や消去などを求める場合、一部の法違反がある場合に限られていました。今回の改正により、権利の範囲が拡充され、自己の権利や利益が害される恐れがある場合にも利用停止や消去を請求することが可能になりました。

個人情報に対して拡充される本人の権利

  • 利用停止請求権の拡充
  • 第三者提供記録の開示請求権
  • オプトアウト適用の限定

事業者が遵守すべき義務の追加

事業者が遵守すべき義務として、以下の二点が追加されます。

  • 個人情報保護委員会と本人への通知義務
  • 不適正な方法による個人情報の利用を禁止する旨の明確化

個人情報が漏えいし、本人の権利利益を害する恐れがある場合には、事業者は個人情報保護委員会にその旨を報告することが義務づけられます。あわせて、その旨を本人にも通知しなければならなくなります。
報告が義務づけられるのは、以下の四点に該当する場合です。

  1. 要配慮個人情報
    例:従業員の健康診断等の結果を含む個人テータが漏えいした
  2. 財産的被害が発生する恐れがある場合
    例:ECサイトからクレジットカード番号が漏えいした
  3. 故意によるもの(不正アクセス等)
    例:ランサムウェア等により故事データが暗号化され、復元できなくなった/従業員が顧客の個人データを不正に持ち出して第三者に提供した
  4. 漏えいした個人情報が1,000人を超える場合

報告は情報漏えいの発生を認識して速やかに報告を行う「速報」と、30日以内に行う「確報」との二段階が必要です。

  • * 「故意によるもの」の場合は60日以内に確報を実施

2017年施行 改正のポイント

個人情報取扱事業者の定義の変更

平成28年(2016年)からマイナンバー制度の運用が始まりました。企業は個人番号を一件でも取り扱う場合、番号法の規定に従って運用する必要があります。個人情報においても、企業が一件でも漏えいなどを発生させてしまうと個人情報本人の権利利益に侵害を与える恐れがあることから、保有する件数に関係なく個人情報の保護が求められます。

個人情報定義の明確化(グレーゾーンの解消)

個人情報の定義の明確化

特定の個人の身体的特徴をデータ化した情報等は、特定の個人を識別することが可能なため、それらを「個人識別符号」として定義し、それ単体でも個人を特定できる個人情報として取り扱うことになります(「個人識別符号」の定義は政令で定めます)。

改正後、取り扱いについて特に配慮を要する個人情報

本人に対して不当な差別や偏見が生じないよう人種、信条、病歴、犯罪の経歴などを含む個人情報については「要配慮個人情報」として定義し、一般的な個人情報よりも大切に取り扱うべきであるとしました。

  • 本人の同意を得て取得することを原則義務化
  • 本人の同意を得ない第三者提供の特例(オプトアウト)の禁止

そもそも個人情報とは

「個人情報」とは、「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別できるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む)」をいいます。また、「紙媒体・電子媒体を問わず、特定の個人情報を検索できるように体系的に構成したもの」を「個人情報データベース等」と呼んでいます。

個人情報に含まれるもの
氏名・生年月日・住所・電話番号/クレジットカード情報/顔の画像/防犯カメラ(画像・音声データ)/銀行口座番号/個人識別が可能なメールアドレス
改正後含まれるもの
指紋認証・顔認証データ/パスポート番号/免許証番号/端末IDや機器に関する情報
改正後、取り扱いについて特に配慮を要する個人情報
人種・信条・社会的身分/病歴/犯罪歴・被害歴

ポイント

個人情報データベースに該当する事例

  • メールソフトのアドレス帳、仕事で使う携帯電話の電話帳、ソフトウェアなどでリスト化された従業者や顧客台帳
  • 五十音順に整理し、インデックスを付してファイルしている登録カード

個人情報の有用性を確保

匿名加工情報の活用

個人情報をビッグデータ等で事業活動に活用できないのでは、経済活動の発展を抑制しているという観点から「匿名加工情報」(個人情報を加工し、特定の個人の識別することが不可、および元の個人情報に復元することも不可にした情報)として加工を施した情報であれば、一定のルールの下に自由に流通を利活用することができるようにしました。これにより、大量のデータを収集、分析し、ビジネスに活用することが可能となりました。

利用目的の変更制限の緩和

現行の個人情報保護法でも、特定した個人情報の利用目的についてはある程度予見ができれば変更することが可能です。ただし利用目的の変更には「相当の関連性を有すると合理的に認められる場合」にのみしか認められないことが示されていたため、関連性がある変更であっても事業者が利用目的の変更に躊躇する状況でした。今回、「相当の」を削除することで、ある程度柔軟に利用目的を変更することができるようになります。

個人情報の流通の適性さを確保(名簿屋対策)

トレーサビリティ

個人データを第三者に提供したときは、提供先の氏名等、個人情報保護委員会が定める事項の記録を作成し、一定期間保管する必要があります。また、個人データの第三者提供を受け取る側も、提供者や個人データの取得経緯等を確認した記録を作成し、一定期間保管する必要があります。

個人情報データベース等提供罪

個人情報データベース等を不正な利益を図る目的で第三者に提供、または盗用した場合は、「個人情報データベース等提供罪」(1年以下の懲役または50万円以下の罰金)として処罰の対象になりました。

個人情報保護委員会の新設

番号法で設置された「特定個人情報保護委員会」を改組し、平成28年(2016年)1月1日に「個人情報保護委員会」として新設されました。今後個人情報保護委員会が定める規則やガイドラインが運用上重要となります。マイナンバー関連の規定作成や実運用も同委員会が行い、特定個人情報を含めた個人情報全体の監視・監督を行います。

個人情報取り扱いのグローバル化

個人情報保護委員会の規則に沿った方法、または同委員会が認めた国、または本人同意により外国への第三者提供が可能となりました。

安全管理措置(漏えい対策)

経済産業省の個人情報保護法ガイドライン(現行)は、「個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失またはき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。(中略)組織的、人的、物理的及び技術的な安全管理措置を講じなければならない。」とあり、個人情報を取り扱う以上、ガイドラインに沿った漏えい対策は必須となります。

ガイドラインに沿った漏えい対策の具体例

  • 組織的安全管理措置

    漏えい対策の社内規定と組織体制を整備することが急務です。規定に従った運用を随時評価、見直しをしながら進めていくことが重要となります。

  • 人的安全管理措置

    秘密保持に関する従業員との契約締結はリスク対策として重要です。また随時従業員の漏えい対策に関する研修などを行い、知識増強を図っていかなければなりません。

  • 物理的安全管理措置

    施錠付きキャビネット(金庫)への保管や、従業員以外立ち入り禁止とする制限区域の設置などの対応が必須となります。またPC機器などへのセキュリティワイヤーなどの対策も必要です。

  • 技術的安全管理措置

    データ管理をしている企業にとって必須の対策事項です。個人情報データへアクセスできる人を限定し(アクセス制御)、あわせて取り扱いの記録を取得することは、漏えい対策において非常に重要なポイントです。

ポイント

ガイドラインに沿った対策の必要性

ガイドラインに書かれている具体的対策はあくまでも「努力義務」ということですので、「全ての対策を行っていないと法律違反」ということにはなりません。しかし、漏えい事故や事件があったときに「どこまで安全管理措置を行っていたか」ということは、裁判などで評価されることになります。個人情報取扱事業者にとっては、より強固な安全管理措置をとるよう具体的な対策・社内の運用体制の整備をしていくことが求められます。

個人情報漏えいのリスク

個人情報保護法の罰則規定

2022年の改正で、特に法人に対する罰金が大きく引き上げられました。以前は情報漏えい事故が起こった企業に対して、罰則そのものよりも社会的信頼の損失等の間接的な被害の方が影響が大きなものでしたが、今回の改正で最大1億円の罰金を支払う恐れもあります。

情報漏えいした場合の補償費用

漏えい情報の内容によって差異はありますが、一件あたり数万円(1~3万円)の補償が必要となる場合が多く、件数によっては数千万円~数億円の補償が発生することもあります。また補償による実損もありますが、企業にとっての一番の損害は信用失墜・イメージダウンが取引停止などのダメージにつながることであると考えられます。

システムに求められること

Excelなどの汎用ソフトでは、ウイルス感染・データ破損・操作ミスなどさまざまな危険が懸念されます。また、技術的安全管理で規定されているアクセス制御も、下記の項目をはじめとして不充分な場合があります。

  • データの入力・参照権限の制御ができない
  • データのコピーやメールへの添付ができるため、顧客情報の持ち出しが比較的容易である
  • 操作履歴(ログ)が残らない

個人情報取扱事業者としてガイドラインに沿った情報管理を実施するために、セキュアな顧客データベースの構築が求められます。

ソリューション

個人情報の適切な取り扱いについて従業員に教育する

個人情報を管理するシステムを見直す

セキュリティ対策全般を見直す

個人情報の流出を防ぐため、大塚商会ではファイアウォール・セキュリティスイッチ・IT資産管理など、多重のセキュリティ対策で危険を低減させる「多層防御」を推奨しています。

ERPを安心・安全の環境で利用<セキュリティ対策>

関連コラム

改正個人情報保護法に関連するコラムを紹介します。

改正個人情報保護法の詳細について

制度自体の詳細につきましては、経済産業省のWebサイトにてご確認ください。

個人情報保護(経済産業省Webサイトに移動します)

フェア・セミナー

開催予定のフェア・セミナー情報を一覧でご紹介します。

フェア・セミナー