いまさら聞けない「改正個人情報保護法」
2022年4月1日に施行された改正個人情報保護法。違反した場合、法人は最大1億円の罰金が科される恐れもあります。思わぬトラブルに発展しないよう、情報セキュリティ部門のみならず、企業において個人情報を取扱う部門のご担当者一人ひとりが、改正ポイントを適切に把握するとともに、対策漏れがないかを確認することが重要です。
2022年4月13日公開
すぐ実施したいチェックポイント
1. 漏洩等の報告・本人通知の「手順を整備」する
個人データの漏洩等が発生した際に、個人情報保護委員会等に対する報告、及び本人通知が『義務化』されました。報告対象は 【1】 要配慮個人情報の漏洩、 【2】 財産的被害が発生する可能性がある場合、 【3】 不正アクセス等の発生、 【4】 1,000件を超える漏洩が発生した場合 で、個人情報保護委員会等への報告は、速やかな「速報」と30日以内の「確報」が必要となります。
ポイント
報告の義務化に伴い、プライバシーポリシーや社内規定の改定が必要となるケースが多く、また新しい手順を従業員に告知(教育)することも必要となります。
2. 個人データを「外国へ提供しているかを確認」する
外国の第三者へ個人データを提供(越境移転)する場合、本人同意を取得する際に、情報提供先となる第三者の「個人情報取扱いに関する情報」を提供することが求められます。
ポイント
外国で事業を行っている事業者が個人情報を利用する場合は、移転先の所在国名、当該国の個人情報保護制度、移転先の講じる措置等について本人同意取得時に情報提供義務が発生します。
3. 安全管理措置を公表し「本人の知り得る状態」に置く
本人が把握できるように、どのような安全管理措置(セキュリティ対策)が講じられているかについての公表等が義務化されました。
ポイント
安全管理措置はプライバシーポリシー等で本人が知り得る状態にするか、本人の求めに応じて遅延なく回答することが求められます。安全管理措置を適切に講じていなかった場合、個人データが漏洩した際に事業者の過失が問われる可能性もありますので、組織的・人的・技術的・物理的な安全管理措置が行われているかどうか実施状況を見直すことが重要です。
4. 保有個人データを「棚卸し」する
従来、6カ月以内に消去される個人情報は、個人情報保護法の対象となる保有個人データから除外されていました。しかし、今回の改正により、たとえ6カ月以内に消去する短期保存データであっても、保有個人データに含まれることになりました。また個人データを提供・受領した際の記録も開示請求の対象となり、本人における保有個人データの利用停止・消去等の請求権も拡充されています。
ポイント
企業は保有している保有個人データをきちんと把握しておくことが求められます。
メールソフトのアドレス帳や、Excel等で管理している名刺情報も保護対象となりますので、従業員の自己申告による棚卸しだけでは対象漏れが発生する可能性があります。個人情報を検出する専用ツールを活用することも管理側の作業負荷を軽減するために有効です。
5. 個人情報の「適切な利用」を確認する
今回の改正では、個人情報取扱事業者が不適切な方法で個人情報を利用することの禁止が明確化されました。不適切な方法で個人情報を利用した場合、利用停止等の対象となります。
ポイント
いわゆる破産者マップ事件(官報で公開された自己破産者情報を地図上に公開したサイトが非難され閉鎖となった)を受けて新設された条項です。公知情報等から個人情報を集約してデータベース化しネット上で公開したケースや、違法行為を営む第三者に個人情報を提供するケースが不適切な事例として挙げられます。
6. 個人関連情報の「利用状況や提供先」を確認する
提供元では個人データに該当しないが、提供先では個人データになると想定される情報は、必ず本人同意を得た上で、第三者に提供する必要があります。
ポイント
内定辞退率の提供サービスが問題視された事件を受けて新設された条項です。提供元企業が保有しているデータでは個人が特定できない場合でも、提供先企業が保有しているデータと突合することによって個人の識別ができてしまうことがあります。本人の知らないところで、個人関連情報を収集されてしまうケースは、本人同意を必要とする事例として挙げられています。
DNPにご相談ください。
改正個人情報保護法を順守するためには、プライバシーポリシーや関連規定の改定、安全管理措置(セキュリティ対策)の見直しが必要不可欠です。対応が進んでいない企業においては、まずはツールを使った個人情報の棚卸し、従業員教育等の優先対策から着手することでキャッチアップも十分可能かと思います。ご不明の点やご相談がございましたら、お気軽にお問合わせください。
改正個人情報保護法への対応状況の確認、プライバシーポリシーや関連規定の改定、セキュリティ対策の見直し等、実績豊富です。 |
個人情報取扱いルール・セキュリティポリシーの徹底、従業員に必要なセキュリティ知識&意識向上を支援いたします。 |
この記事を書いた人
大日本印刷株式会社
情報イノベーション事業部 セキュリティソリューション本部
佐藤 俊介(セキュリティコンサルタント)
Visa/Mastercard等の国際カードブランドの認定工場監査対応を長年担当。現在は豊富な監査経験を活かし、金融や製造業を中心にセキュリティコンサルタントとして従事。OSINT(Open Source INTelligence)によるインシデント分析情報をもとにした講演実績も豊富。
多様な業界の多くの企業がIoTの機器を導入し、インターネットにつながることで、こうした機器がサイバー攻撃の標的になる危険性も高まっている。加速度的に重要性が増す情報セキュリティだが、それに対する認識には、世界と日本で温度差がある...... |
連載コラム・全6回シリーズ。第1回は、リモート接続に焦点を当てて考えます。 |
DNPがセキュリティ?
DNPは、ダイレクトメール発送、クレジットカード発行、BPO等、多くの業務を受託しており、現在、月間1億5,000万件に及ぶ個人情報を得意先から預かり、厳重に管理・運用しています。こうしたセキュリティ体制を構築・維持・改善していくためには、入退室管理や監視カメラ等の物理的対策、ネットワークセキュリティをはじめとする技術的対策、各種社内規定や従業員教育等の人的・組織的対策のすべての領域における知見が必要であり、DNPは永年にわたりその知見を積み上げてきました。現在は、こうした知見をベースに、顧客向けのコンサルティング、教育、各種脆弱性診断業務といった上流工程から、具体的な対策に資する製品・サービスの提供まで幅広く事業を展開しています。
快適で安心な毎日を「あたりまえ」に。DNPは人と情報に真摯に向きあいます...... |
- ※記載の会社名・製品名・サービス名等の名称はすべて各社の商標または登録商標です。
- ※記載内容は2022年4月現在のものです。