情報セキュリティコラム

【2022年個人情報保護法】企業に必要な対応3つのポイント解説(前編)

「いわゆる3年ごと見直し」によって、来年4月(2022年4月)から改正個人情報保護法が全面施行されます。これによって多くの企業が今まで先送りにしてきたセキュリティ対策も、強化せざるを得ない状況になってきました。

そこで今回は前編と後編にわたり、改正個人情報保護法の内容を改正の背景と共に初めての方にもわかりやすく解説し、さらに企業はどんな対策を取るべきか、3つのポイントをお伝えしたいと思います。

1.この記事で分かること

1.個人情報保護法の改正の内容が分かる(前編)←今回はここ

2.改正に至った背景が分かる(前編)←今回はここ

3.企業への影響と取るべき対策が分かる(後編)

※改正の内容をより詳細に確認したい方は個人情報保護委員会のホームページからご確認ください。

2.「いわゆる3年ごと見直し」って?

平成27年の個人情報保護法改正時に昨今の情報通信技術の進展が著しいことなどから、今後柔軟な対応を可能にするため、3年ごとの見直し規定が設けられました。
これによって出来上がったのが「個人情報保護法 いわゆる3年ごと見直し 制度改正大綱」です。

 

そして令和元年1月に「いわゆる3年ごと見直しに係る検討の着眼点」が示され、これに即して今回の改正の内容が決定されました。
この内容は国民からの意見募集や関係団体・有識者からのヒアリング等を行った結果ですので、企業としては「こんなことが強く求められている」と思っていただければ良いのではないでしょうか。

 

「いわゆる3年ごと見直しに係る検討の着眼点」

(ここは飛ばしていただいて構いません)

参考:個人情報保護法 いわゆる3年ごと見直し 制度改正大綱 

1.個人の権利利益を保護情報を提供する個人の、自らの情報の取扱いに対する関心や、関与への期待が高まっており、個人情報保護法第1条の目的に掲げている「個人の権利利益を保護」するために必要十分な措置を整備することに配意しながら制度を見直す必要がある。

2.保護と利用のバランス平成27年改正法で特に重視された保護と利用のバランスをとることの必要性は、引き続き重要であり、個人情報や個人に関連する情報を巡る技術革新の成果が、経済成長等と個人の権利利益の保護との両面で行き渡るような制度を目指すことが重要である。

3.グローバル展開による個人情報の利活用デジタル化された個人情報を用いる多様な利活用が、グローバルに展開されており、国際的な制度調和や連携に配意しながら制度を見直す必要がある。

4.海外でのビジネス増大海外事業者によるサービスの利用や、国境を越えて個人情報を扱うビジネスの増大により、個人が直面するリスクも変化しており、これに対応する必要がある。

5.AI・ビッグデータ利活用AI・ビッグデータ時代を迎え、個人情報の活用が一層多岐にわたる中、本人があらかじめ自身の個人情報の取扱いを網羅的に把握することが困難になりつつある。このような環境の下で、事業者が個人情報を取り扱う際に、本人の権利利益との関係で説明責任を果たしつつ、本人の予測可能な範囲内で適正な利用がなされるよう、環境を整備していくことが重要である。

 

3.施行はいつから?改正個人情報保護法の一部は既に施行済み!

2022年4月から改正法が全面施行

▲「個人情報の保護に関する法律等の一部を改正する法律」の施行日

 

実は改正項目の一部、「法定刑の引き上げ」は2020年末から既に施行されています。
さらに今年10月にはオプトアウトによる第三者提供の届出が必要になり、2022年4月からこれら以外のすべての改正内容に関しても全面施行となります。

 

中には、企業にとっては「知らなかった!」では済まされないような内容もありますので、セキュリティの観点からもしっかりと確認をして、2021年中には対策を講じておきたいです。

 

4.改正個人情報保護法の内容は大きく分けて6つ!

改正法の内容は大きく分けて6つ!

▲改正法の内容は大きく分けて6つ!

 

1つずつ確認していきましょう!

改正内容

①個人の権利が強化(改正)

②事業者の責務が強化(改正・新設)

③事業者の自主的な取組を促進(改正)

④データ利活用時の義務(新設)

⑤罰則の強化(改正)

⑥国外利用時の強化と充実(改正)

 

①個人の権利が強化(改正)

個人の権利の在り方が変わる内容を説明

個人の権利の在り方が変わる

 

変わったこと

①-① 個人による請求権が拡充
①-② オプトアウト規制が強化!

 

変わったこと①-①: 個人による請求権が拡充

次の4つの場合の個人の権利が拡充されました。

1.利用停止・消去等の個人の請求権について、一部の法違反の場合に加えて、個人の権利又は正当な利益が害されるおそれがある場合にも拡充される

旧法の内容は法令違反の場合に限って個人からの請求は可能でした。
今回はこれに加えて、以下の場面でも利用停止・消去などの請求が可能になります。

・利用する必要がなくなった場合

・重大な漏えい等が発生した場合

・本人の権利又は正当な利益が害されるおそれがある場合

 

2.保有個人データの開示方法(現行、原則、書面の交付)について、電磁的記録の提供を含め、本人が指示できるようになる

行政手続きにおいてもいわゆる「デジタル手続法」が成立したこと等を踏まえ、利用者の利便を考慮した結果、電磁的形式による提供も可能である旨明確化されました。

 

保有個人データも膨大な量の情報を含む場合があります。
書面で公布されても検索が困難で内容を十分に認識できない恐れがあり、さらにその保有個人データが音声や動画の場合は書面では再現自体が困難です。
そのため訂正や利用停止、第三者提供の停止の請求を行うことが困難なケースもありました。
こういった背景から、電磁的記録の提供も含め、本人が開示方法を指示できるようになりました。

 

具体的開示方法についてはこちらをご覧ください
(参考)総務省電磁的記録の開示の方法

 

3.個人データの授受に関する第三者提供記録を、本人が開示請求できるようになる

相談ダイヤルに寄せられる意見の中で「自分の個人情報を事業者が利用停止又は消去等を行わないことへの強い不満」が消費者から見られたようです。
第三者提供記録に関しては旧法では対象外でしたが、個人の権利利益の侵害がある場合を念頭に要件を緩和し、新法では第三者提供記録も開示請求の対象となりました。

 

4.6ヶ月以内に消去する短期保存データについて、保有個人データに含めることとし、開示、利用停止等の対象となる

元々1年以内に削除される保有個人データは開示の対象外とされていました。
しかし、短期間で消去される個人データでも、その間に漏えい等が発生し瞬時に拡散する危険があるため、6か月以内に削除されるものに関しても開示の対象となりました。

 

変わったこと①-②: オプトアウト規制が強化

オプトアウト手続の届出の主な対象者はいわゆる名簿業者ですが、オプトアウト規定(※)により第三者に提供できる個人データの範囲がさらに限定されます!

・不正取得された個人データは第三者提供できません

・他の個人情報取扱事業者からオプトアウト規定により提供された個人データは第三者提供できません

・オプトアウトを行う事業者が委員会に届け出る事項について内容が追加されます

・個人データの提供をやめた場合も委員会への届け出が必要になります

 

(※オプトアウト規定とは、提供する個人データの項目等を公表等した上で、本人の求めがあれば事後的に停止することを前提に、本人の同意なく第三者に個人データを提供できる制度)

②事業者の責務が強化(改正・新設)

事業者の責務が強化

事業者の責務が強化

 

変わったこと

②-① 漏えい発生時の報告及び本人への通知が義務化!(改正)
②-② 違法・不当な個人情報の利用や助長行為を禁止!(新設)

 

変わったこと②-①:漏えい発生時の報告及び本人への通知が義務化!(改正)

漏えい時に委員会に報告することは、委員会から情報を発信したり助言を行ったりと適切な対応に繋げるという意図がありますが、あくまで旧法では委員会への報告は「努力義務」でした。(諸外国では多くの国で漏えい等報告が義務化されています)

 

今回の改正では義務化に関して賛否両論あったようですが、漏えい等報告を行うことが個人情報の本人、個人情報取扱事業者、監督機関それぞれにとって多くの意義があることや、国際的な潮流になっていること等を勘案した結果、法令上の義務として明記することとなりました。

 

漏えい等報告の義務化の対象事案は以下になります。

・要配慮個人情報が漏えいした場合

・不正アクセス等による漏えいが発生した場合

・財産的被害のおそれがある漏えいの場合

・1000件を超える大規模な漏えいが発生した場合
(報告の期限、報告先等は後編で詳しく解説しています)

 

変わったこと②-②: 違法・不当な個人情報の利用や助長行為を禁止!(新設)

昨今の急速なデータ分析技術の向上等を背景に、違法ではないものの看過できないような方法で個人情報が利用されている事例が見られるようです。
そんなことから消費者側も懸念が高まりつつある状況で、適正とは認めがたい方法で個人情報を利用してはならない旨を明確化するに至りました。

 

具体的には下記のようなケースが不適切な利用方法に当たります。

・違法行為を営む第三者に個人情報を提供すること

・裁判所による公告等により散在的に公開されている個人情報について、差別が誘発されるおそれがあることが十分に予見できるにもかかわらず、それを集約してデータベース化し、インターネット上で公開すること

③事業者の自主的な取組を促進(改正)

認定個人情報保護団体制度の内容

認定個人情報保護団体制度の充実

 

変わったこと

③-① 認定個人情報保護団体制度が事業分野単位でも認定されるようになる

 

変わったこと③-①:
認定個人情報保護団体制度が事業分野単位でも認定されるようになる

「認定個人情報保護団体制度」とは、民間事業者による自主的取組を促すことで個人情報等の保護のレベルを高めることを狙った仕組みです。
平成27年改正法において様々な役割が努力義務から義務化されるなど強化されてきましたが、ほとんど活動を行っていない団体や、法の認定基準に適合していない団体も存在していました。

 

この制度の課題として構成団体の多くが業界単位となっていることや「業界団体」に加入していない事業者も多く加入率が低い傾向にあること、団体は対象事業者の個人情報等の取扱い全般を対象とすることとされており、特定の事業のみを対象とすることはできないことが挙げられています。(主な業務は個人情報に関する相談窓口、苦情の処理や情報提供など)

 

この課題の解消のために対象企業の全ての苦情に対応する内容から、特定分野の認定を受けることによって特定の分野だけの対応で良い、という内容に緩和される形になります。

④データ利活用時の義務(新設)

個人情報・仮名加工情報・匿名加工情報の比較表

個人情報・仮名加工情報・匿名加工情報の比較表

 

変わったこと

④-① 「仮名加工情報」が新設
④-② 提供先で個人データとなる場合の第三者提供について本人の同意確認取得を義務化

 

変わったこと④-①:仮名加工情報制度が新設

組織内でパーソナルデータを扱う際に、氏名を「Aさん」などに加工し、個人を識別できないように「仮名化」した上で利活用することがあるかと思います。
また「仮名化」は国際的にも活用が進んでいて、加工前の個人情報と紐づけなければ個人の権利利益が侵害されるリスクが相当低いとされています。

こうした情報を企業内で分析・活用することで、日本企業の競争力を確保できるため非常に重要だと委員会でも位置づけ、個人情報の類型として「仮名加工情報」を導入することになりました。

 

変わったこと④-②:
提供先で個人データとなる場合の第三者提供について、
本人の同意確認取得を義務化

ユーザーデータを大量に集積し、それを瞬時に突合して個人データとする技術が発展・普及したことにより、提供先において個人データとなることをあらかじめ知りながら非個人情報として第三者提供するという法第23条の規定の趣旨を潜脱するスキームが横行しつつありました。

 

こうした本人関与のない個人情報の収集方法が広まることが懸念されていることから本人同意が得られていることなどの確認が義務付けられました。

⑤罰則の強化(改正)

強化される罰則の内容

罰則の強化についての比較表

 

変わったこと

⑤-① 委員会による命令違反・委員会に対する虚偽報告等の法定刑を引き上げ
⑤-② 法人への罰金刑引き上げ

 

個人情報取扱事業者に科される罰則について、旧法では最大でも1年以下の懲役又は50万円以下の罰金とされており、違反行為に対する実効性が不十分であるとして、ペナルティが強化されるに至りました。

 

委員会が漏えい等報告を受けた事案や報告徴収・立入検査を行った事案の数は増加傾向であるものの、令和元年8月に委員会で初めて勧告を行ったようです。

その初めての勧告ケースは、「安全管理措置を適切に講じず、個人データを第三者に提供する際に必要な同意を得ていなかった事案」とのことで、あらかじめ安全措置を取ることは自社を守る上でも非常に大切であることが伺えますね。

 

変わったこと⑤-①:
委員会による命令違反・委員会に対する虚偽報告等の法定刑を引き上げ

上記の表のとおり、懲役刑が6か月以下から最高1年以下に、罰金刑が30万円以下から最高1億円以下に大幅に引き上げられています。そして、これらは既に施行されていますのでご注意ください。

 

変わったこと⑤-②: 法人への罰金刑引き上げ

特に法人に関しては、十分な資力を持つものも含まれ、行為者と同等の罰金を科したとしても罰則として十分な抑止効果が期待できないことから「法人重科」として罰金が引き上げられました。

 

委員会としてもかなり攻めの姿勢であることがひしひしと伝わってきますね。

⑥国外利用時の強化と充実(改正)

個人情報を国外で利用する際の法規制説明

国外利用時の強化と充実

 

変わったこと

⑥-① 国内の個人情報または匿名加工情報を取り扱う外国の事業者も法規制の対象になる
⑥-② 国外への個人情報移転時、本人への情報提供を充実させる

 

変わったこと⑥-①:
国内の個人情報または匿名加工情報を取り扱う外国の事業者も法規制の対象になる

旧法では①国内にある者に対する物品又は役務の提供に関連して、②その者を本人とする個人情報を取得した場合(法第75条)に法の適用が制限されていました。

つまり、日本の個人情報を扱う外国の事業者には個人情報保護法が適用されていなかったため、委員会が行使できる権力が限られ、報告徴収や立ち入り検査、命令などは行えない状況でした。

 

実際のところ、外国人事業者について、
平成29年度は漏えい等報告10件、指導助言4件、
平成30年度は漏えい等報告20件、指導助言15件
の対応実績があり対応件数は増加していることなどから、
改正法では、外国の事業者も報告徴収・命令の対象となりました。

 

変わったこと⑥-②:
国外への個人情報移転時、本人への情報提供を充実させる

近年個人情報の越境移転の機会が広がっている中で、国や地域間の制度の違いから個人情報がどのように取り扱われるのか、非常に予見が難しい状況となっています。
しかし、令和元年に行われたG20茨城つくば貿易・デジタル経済大臣会合において、信頼につながる各国の法的枠組みは相互に接続可能なものであるべきことが確認されました。

 

それが今回の改正にもつながり、国内の個人情報取扱事業者が国外に情報を移転する場合、以下の情報等を個人情報の本人へ情報提供することが義務化されました。

・移転先国の名称

・個人情報の保護に関する制度の有無

・移転先事業者における個人情報の取扱い

更に、本人の求めに応じて関連情報を提供することも義務化されました。

 

(参考)政令・規則・ガイドライン等の整備について個人情報保護委員会事務局で現在ガイドライン等を整備中とのことですので、最新の状況に関しては個人情報保護委員会のホームページをご参照ください。

 

では、企業が求められる対応とは一体何でしょうか?

続きは後編へ。

 

後編を読む

PRODUCT

関連情報

  • まずは手軽に簡単に「ゼロトラスト環境に」
    エンドポイントセキュリティ

    「侵入されても発症しない新世代セキュリティ」

    製品を見る
  • PC上の様々なログを収集、脅威分析システムにかけ ホワイトハッカーにて分析・解析するなら

    ゼロトラストEPP+脅威解析システムによる解析+ホワイトハッカーによる分析

    製品を見る
  • AIを使ったNDR(監視/検知)で、
    あらゆるデジタル環境で脅威を
    リアルタイムに検知・可視化する

    「従来の手法で発見できなかったあらゆる脅威を検知」

    製品を見る

ABOUT CLC

シー・エル・シーとは

システムの最適化を提案するエキスパート

CLCはさまざまな業種のお客様からシステムについてのご相談をいただき、そのつど問題の的確な解決に努力してまいりました。
システムに関する豊富な経験とノウハウを活かした実績が評価され、システムの最適化をご提案するエキスパートとして、お客様から厚い信頼を頂いています。