ベアケアブログ

【2022年4月全面施行】改正個人情報保護法で事業者に求められる対応とは? 情報漏洩の報告義務化について

セキュリティ対策

平成17年に施行された個人情報保護法は、2017年に「改正個人情報保護法」としてリニューアルし、3年ごとに国際的動向・情報通信技術の進展・新たな産業の創出及び発展の状況等を考慮し、個人情報保護制度の見直しを行うことになりました。この規定に基づいて見直しが行われた改正個人情報保護法が、2022年4月に施行されます。

個人情報を取り扱う事業者に課せられる責務が追加されていますが、その中でも情報漏洩に関しては報告が義務化されるなど、内容を把握して対策を講じておく必要があるでしょう。本記事では、改正個人情報保護法の概要から改正のポイント、企業への影響及び必要な対応について解説します。

個人情報保護法とは

改正個人情報保護法について解説する前に、個人情報保護法とはどのようなものか振り返ってみましょう。ここでは個人情報保護法の概要と目的について解説します。

個人情報保護法とは

個人情報保護法は、正式には「個人情報の保護に関する法律」と呼び、情報化の急速な進展により、個人の権利利益の侵害の危険性が高まったこと、国際的な法制定の動向等を受けて平成17年4月に全面施行された法律です。主に民間事業者の個人情報の取り扱いについて規定された法律です。

個人情報とは

個人情報保護法が保護する「個人情報」とは、「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)」と規定されています。

具体的には、生年月日と氏名の組合せ、氏名と社名が含まれるメールアドレス、本人が判別できる程度に鮮明な顔画像などが該当します。氏名単独でも特定の個人を識別できる場合は、個人情報とみなされます。

個人情報保護法の目的

個人情報保護法では下記を目的として制定されています。

  • 個人情報の有用性に配慮しながら、個人の権利利益を保護すること
  • 個人情報を取り扱う民間事業者の遵守すべき義務等を規定すること

この目的を達成するため、業務で個人情報を取り扱う事業者は、個人情報の取得・利用・保管などに対して、利用目的の通知や公表、安全管理、第三者への提供に対しては本人からの同意を得るなどといったルールが定められています。

参考:個人情報保護委員会「個人情報保護法の基本」https://www.ppc.go.jp/files/pdf/28_setsumeikai_siryou.pdf(2022/3/30確認)

改正個人情報保護法による影響

次に、2017年に既存の個人情報保護法をリニューアルする形で制定された改正個人情報保護法について解説します。

改正個人情報保護法とは

改正個人情報保護法とは、情報通信技術の発展や事業活動のグローバル化等の急速な環境変化により、個人情報保護法が制定された当時には想定されなかったパーソナルデータの利活用が可能となったことを踏まえて施行された法律です。「個人情報の定義の明確化」「個人情報の適正な活用・流通の確保」「グローバル化への対応」等を目的として、2017年5月に全面施行されました。

この法律により、個人情報の監督権限は個人情報保護委員会が一元的に所管し、その適正な取扱いの確保を図るための業務を行うこととなりました。

改正個人情報保護法は3年ごとに国際的動向・情報通信技術の進展・新たな産業の創出及び発展の状況等を考慮して見直しが行われることが規定されており、直近では2020年(令和2年)に見直しが行われ、2022年(令和4年)4月に「個人情報の保護に関する法律等の一部を改正する法律」として施行されます。

2020年(令和2年)改正個人情報保護法のポイント

2020年改正・2022年4月施行の改正個人情報保護法の改正ポイントは下記の通りです。

  1. 個人の請求権の拡大
  2. 事業者の責務の追加
  3. 事業者の自主的な取り組み推進
  4. データ利活用の促進
  5. ペナルティの強化
  6. 法の域外適用の拡充

1.個人の請求権の拡大

個人データの扱いについて、情報の開示や利用停止等を本人が請求できる権利が拡大されました。

  • 利用停止・消去等を請求できる権利の要件を緩和。
  • 保有個人データの開示方法を本人が指示可能に。(原則として書面の交付のみだったが、電子データも可能に)
  • 個人データの授受に関する第三者提供記録についても開示請求が可能に。
  • 6ヵ月以内に消去される短期保存データについても開示・利用停止等の対象に。
  • オプトアウト規定により第三者に提供できる個人データの範囲を限定。①不正取得された個人データ ②オプトアウト規定により提供された個人データ 共に対象外に。

2.事業者の責務の追加

個人情報の漏洩や、違法または不当な行為を助長する不適正な個人情報の利用等、個人の権利利益を害する恐れのある行為に対する規制が強化されました。

  • 個人情報の漏洩等が発生し、個人の権利利益を害する恐れがある場合に、委員会への報告及び本人への通知を義務化。
  • 違法または不当な行為を助長する、不適正な方法により個人情報を利用してはならない旨の明確化。

3.事業者の自主的な取り組みの推進

認定団体制度について、企業の特定分野(部門)を対象とする団体を認定できるようになりました。

4.データ利活用の促進

イノベーションを促進するため、氏名等を削除した「仮名加工情報」という区分を新たに設け、内部分析に限定する条件のもと個人からの請求対応などの義務が緩和されました。同時に、個人データの第三者提供については本人同意が義務化されます。

  • 氏名等を削除した「仮名加工情報」を創設し、内部分析に限定する等を条件に、開示・利用停止請求への対応等の義務を緩和。
  • 提供元では個人データに該当しないものの、提供先において個人データとなることが想定される情報の第三者提供について、本人同意が得られていること等の確認を義務化。

5.ペナルティの強化

委員会による命令の違反や虚偽報告等に対する法定刑が引き上げられました。

  • 委員会による命令違反・委員会に対する虚偽報告等の法定刑の引き上げ。
    命令違反:6ヵ月以下の懲役又は30万円以下の罰金
     →1年以下の懲役又は100万円以下の罰金
    虚偽報告:30万円以下の罰金
     →50万円以下の罰金
  • 命令違反の罰金について、法人と個人の資力格差などを勘案して、法人に対しては行為者よりも罰金刑の最高額を引き上げ。
    個人と同額の罰金(50万円又は30万円以下の罰金)
     →1億円以下の罰金

6.法の域外適用等の拡充

日本国内で個人情報を取り扱う外国事業者も罰則等の対象となるほか、外国にある第三者への個人データ提供に関するガイドラインが設けられました。

  • 日本国内にある者に係る個人情報等を取り扱う外国事業者を、罰則によって担保された報告徴収・命令の対象とする。
  • 外国にある第三者への個人データの提供時に、移転先事業者における個人情報の取り扱いに関して、本人への情報提供の充実等を求める。

参考:個人情報保護委員会「個人情報の保護に関する法律等の一部を改正する法律(概要)」https://www.ppc.go.jp/files/pdf/200612_gaiyou.pdf (2022/3/30確認)

改正個人情報保護法で事業者に求められる対応

2020年(令和2年)改正個人情報保護法を受けて、企業はどのような対応を行う必要があるのでしょうか。ここでは、事業者の責務の追加を受け、必要とされる対応について解説します。

2020年(令和2年)改正で対応が必要な事項

2020年(令和2年)改正個人情報保護法により、事業者が対応しなくてはならない事項の中で大きなものとしては以下が挙げられます。

  • プライバシーポリシーの修正・追記
  • 個人情報の開示請求への対応準備
  • 情報漏洩の報告の義務化

プライバシーポリシーの修正・追記

今回の改正を受け、個人情報の取り扱いについて事業者が明らかにすべきことが増え、個人情報を取得される本人が理解できるようにすることがこれまで以上に求められるようになりました。そのため、個人情報の取り扱いについて事業者が公開するプライバシーポリシーもその観点から見直しと追記が必要です。細かな内容については割愛しますが、以下の点について確認が必要です。

  • 保有個人データに関する公表等事項の追加
  • 利用目的の記載の見直し
  • 共同利用がある場合、公表事項の追加
  • 仮名加工情報を使う場合、仮名加工情報に関する公表事項の追加
  • 個人関連情報規制を受ける場合、同意取得に関する情報の記載
  • 外国にある第三者への個人データの提供を行う場合、同意取得に関する情報の記載

参考:Web担当者Forum「個人情報保護法改正で、DMP活用・プライバシーポリシーはどう変わる?」https://webtan.impress.co.jp/e/2021/12/01/41678(2022/3/30確認)

個人情報の開示請求への対応準備

情報開示や利用停止等を個人が請求できる権利が拡大したため、事業者は要求された際に対応できるよう準備しておく必要があるでしょう。請求の要件が緩和され、開示対象に第三者への提供記録が含まれるようになりました。必要に応じて社内規定や運用の見直しを行いましょう。

情報漏洩の報告の義務化

企業が情報漏洩を発生させた場合は、個人情報保護委員会への報告と、本人への通知が義務化されました。個人の権利利益を害するおそれがあるものという条件がありますが、発生時には報告までの期限も定められているため、万が一の場合には迅速に対応できるよう準備しておく必要があります。こちらも社内規定や運用の見直しを行いましょう。

情報漏洩時の報告と通知の義務化について

事業者に求められる対応の中でも、ここでは情報漏洩発生時の報告と通知の義務化について詳しく解説します。

これまでのルール

これまでの改正個人情報保護法では、企業で情報漏洩が発生した場合の対応については法令上の定めがなく、ガイドラインと運営上のルールとして下記6項目について「必要な措置を講ずることが望ましい」とされていました。

  1. 事業者内部における報告および被害の拡大防止
  2. 事実関係の調査および原因の究明
  3. 影響範囲の特定
  4. 再発防止策の検討および実施
  5. 影響を受ける可能性のある本人への連絡等
  6. 事実関係および再発防止策等の公表

また、情報漏洩が発覚した場合には、「その事実関係及び再発防止策等について」個人情報保護委員会に対し「速やかに報告するように努める」とされていました。しかし、法令上の義務ではなかったため拘束力は弱く、積極的に報告しない事業者も存在しており問題視されていました。

改正後の義務

2020年(令和2年)の改正個人情報保護法では、個人情報保護委員会への報告と漏えい等が発生した個人情報の本人への通知が義務付けられることとなった点が大きな違いです。具体的な報告期日も定められているため、企業は迅速な対応が取れるように準備しておく必要があります。

報告義務が発生するケース

報告義務が生じるのは、「漏えい等が発生し、個人の権利利益を害するおそれがある場合」とされています。具体的に報告対象として定められているのは以下の4つのケースです。

1要配慮個人情報が含まれる場合要配慮個人情報=病歴や犯罪歴や信条など、偏見や差別につながりかねないセンシティブな個人情報 が含まれる場合
2財産的被害が発生するおそれがある場合クレジットカード情報や決済機能があるWebサービスのログイン情報等が含まれている場合
3不正アクセス等故意によるものサイバー攻撃や内部関係者による不正行為など、悪意を持って行われた可能性が高い場合
41,000人を超える漏えい1〜3に該当する場合は件数問わず義務となるが、1〜3に該当しない場合も1,000件を超えた場合は報告対象となる

「漏えい等」とされているのは、漏洩以外のデータの「滅失」や「毀損」といった事態も想定されているためです。例えば、マルウェアへの感染などで個人情報が破損されてしまった場合なども報告の義務が発生します。

また、今回の改正で重要な点としては、「発生したおそれがある事態」も対象となっており、実際に流出していなかったとしても、その可能性がある場合にも報告義務が生じることです。例えば、個人情報を保存しているサーバーに不正侵入された痕跡があった場合なども、漏洩の事実が確認できなくても報告する必要があります。

個人情報保護委員会への報告

企業が情報漏洩を発生させた場合は、その事実関係及び再発防止策等について個人情報保護委員会へ速やかに報告することが必要となります。
保護委員会への報告が必要な事項は以下の9項目です。

  1. 概要
  2. 漏えい等が発生し、又は発生したおそれがある個人データの項目
  3. 漏えい等が発生し、又は発生したおそれがある個人データに係る本人の数
  4. 原因
  5. 二次被害又はそのおそれの有無及びその内容
  6. 本人への対応の実施状況
  7. 公表の実施状況
  8. 再発防止のための措置
  9. その他参考となる事項

報告には「速報」と「確報」の二段階に分けられ、それぞれに期限が設けられています。

速報情報漏洩等の事実又はそのおそれを知った後、速やか(概ね3〜5日)以内に、その時点で把握できている事項について報告すること
確報情報漏洩等の事実又はそのおそれを知った後、30日((3)不正目的のケースは60日)以内に全ての事項について報告すること

漏洩の対象となった個人情報の本人への通知

個人情報保護委員会への報告だけでなく、個人情報の本人への通知も必要となります。漏洩の内容に応じて、二次被害の防止、類似事案の発生防止等の観点から、事実関係等について、速やかに本人へ連絡、または本人が知ることができる状態にする必要があります。
本人への通知が必要な事項は以下の5項目です。

  1. 概要
  2. 漏えい等が発生し、又は発生したおそれがある個人データの項目
  3. 原因
  4. 二次被害又はそのおそれの有無及びその内容
  5. その他参考となる事項

本人への通知については個人情報保護委員会への報告と異なり、特に期限は定められていないようですが、委員会への報告内容に「本人への対応の実施状況」及び「公表の実施状況」の事項があるため、並行して本人への通知を行うことが求められるでしょう。

万が一の情報漏洩に対応するための準備

事業者は以上のことを踏まえ、情報漏洩事案が発生した場合を想定して下記の準備をしておく必要があります。

  • 対象となる個人情報の整理
  • 報告体制やプロセスの整備
  • 本人への通知方法や社内規程等の記載内容の確認・修正

対象となる個人情報の整理

企業が管理する情報の中で、法律の保護対象である個人情報の管理方法、保存場所などを整理し、情報漏洩が発生した場合に迅速かつ確実に報告できるようにしておく必要があります。

報告体制やプロセスの整備

改正による報告期日(速報として概ね3~5日、確報として30日以内)までに報告できる体制・プロセスになっているか確認し、必要に応じて見直しを実施する必要があります。

本人への通知方法や社内規程等の記載内容の確認・修正

個人情報が漏洩した場合、通知先が膨大になる可能性があるため本人への通知方法を事前に整理し、必要に応じて社内のセキュリティポリシー・規定の見直しを実施する必要があります。

まとめ

2022年4月に施行される改正個人情報保護法によって、個人情報の取り扱いに関する情報公開や、情報漏洩時の対応について事業者に課せられる義務が強化されています。内容をしっかりと把握し、必要な対策を講じるようにしましょう。
Webサービスの利用拡大とデータの利活用の活発化に伴い、不正アクセスによる情報漏洩事案も増加しています。情報漏洩は企業の信頼失墜やビジネス推進の妨げにつながる重大な事案のため、これまで以上にセキュリティ対策を強化してはいかがでしょうか。

この記事をシェアする

おすすめ記事

ベアケアブログは、システムとその基盤となるITインフラのセキュリティリスクの軽減・安定稼働を支援するための情報をお届けします

タグ一覧

ベアケアについて、ご不明点やご質問がありましたら、お気軽にお問い合わせください。

お問い合せはこちら
無料インフラ相談会
タグ一覧