1. TOP
  2. ブログ
  3. 個人情報保護法改正に向けて企業に問われる管理の意識とは

ブログ

2022-03-09 10:00:08

個人情報保護法改正に向けて企業に問われる管理の意識とは

個人情報保護法改正に向けて企業に問われる管理の意識とは

改正された個人情報保護法が2022年4月からいよいよ施行されます。
企業はどのように個人情報管理の意識を変えるべきなのでしょうか。
こちらの記事では、改正内容の振り返りとともに、企業に求められる準備についてお話しします。

 

日本での個人情報保護法の成り立ち

日本では、どのように個人情報保護法が成り立っていったのでしょうか。
 
世界では、20世紀の終わりごろから社会のIT化が急速に進んでいきました。
個人情報をデジタルで管理する機会も増えたことから、プライバシー保護の意識が根付き始めたのもこの頃です。
同時に、海外では個人情報に関する法律が制定され始めました。
 
日本で個人情報保護法が新法として制定されたのは平成15年5月のことです。
その後、平成17年4月から施行されています。
アメリカやヨーロッパにならい、個人情報を守る必要性に迫られたための動きです。
 
今や、ほとんどの企業で個人情報が扱われています。
つまり、個人情保護法への理解はほとんどの企業に例外なく求められると言えるでしょう。

個人情報保護法で求められる安全管理措置

個人情報保護法では、個人情報を扱う事業者に対して安全管理措置を行うように求めています
以下では、この安全管理措置についてお話しします。

安全管理措置とは

安全管理措置とは、事業者が個人情報に関して行わなければならない措置のことで、個人情報保護法では条文で事業者が負う義務や内容について定められています。
 
簡潔に言うと、個人データを安全に管理するために守らなければならないルールのことです。
個人情報を保有している企業は、安全管理措置に規定されている内容に基づいて個人情報を管理していかなければなりません。

4種類の安全管理措置

「個人データを安全に管理するために守らなければならないルール」と聞いても、具体的にイメージできないかもしれません。
安全管理措置に関するガイドラインでは、企業に求める措置が「組織的安全管理措置」「人的安全管理措置」「物理的安全管理措置」「技術的安全措置」の4種類に分けて記載されています。

 

組織的安全管理措置

組織内で個人データ管理の最適化を図ることです。
具体的には、責任や権限の明確化や個人データ管理に関する規定を定めること、その規定に基づいて管理されていることを確認する取り組みなどが挙げられます。

 

人的安全管理措置

従業員に対し、個人データの取り扱いに関して非開示の契約・教育・訓練を行うことです。
個人データが保管されている場所への入退室を管理することや、盗難の防止につとめることがこちらに該当します。

 

技術的安全管理措置

個人データを処理するシステムや個人データそのものへのアクセスを制御することです。
不正アクセスへの防止対策や、システム監視などが具体例として挙げられます。

 

情報漏えいリスクの軽減につながる

 

改正個人情報保護法が2022年に施行

2022年4月からは、2020年に改正された個人情報保護法が施行されます。
以下では、この改正個人情報保護法についてお話しします。

成立以降の改正歴

2003年の個人情報保護法制定以降、はじめて大規模な改正が行われたのは2015年です。
この際の改正では、個人情報保有要件の緩和や本人の権利の明確化といった内容が盛り込まれました。

同時に、今後さらに個人情報を取り巻く状況が変化することを見越し、3年ごとに法律の見直しを行うことが定められています。
2022年の施工内容は、この「3年見直し規定」に基づき2020年に制定されたものです。

改正個人情報保護法の内容

以下では、改正個人情報保護法の内容をいくつかの項目に分けて解説します。

 

個人の権利の強化

個人情報の提供元である本人の権利が強化されることになりました。
具体的には、個人データと取り扱いが法律に抵触していない場合でも、個人の権利が侵害されている場合は、開示、利用停止などの請求を行使できるようになります

また、改正前は書面に限定されていた開示方法について、デジタルデータでの開示を指定できるようになりました。
これは、音声や動画に個人データとして認識されるケースが増えてきたことが主な理由です。

また改正後は、6カ月以内に消去する短期保存データも個人データして取り扱われるようになります
事業者はこれらのデータに対し、長期保存するデータとおなじように開示・訂正・利用停止といった請求に応じる義務を負います。

また、オプトアウト規定に関する変更も加えられています。
オプトアウト規定とは、あらかじめ項目を公開したうえで、本人の同意を得ることなく第三者への個人データを提供することが可能になる制度です。
改正後は、第三者に受け渡せる個人データの範囲が制限されます

 

事業者の責務の追加

改正後は、個人情報を管理している事業者側の責務が追加されます。

改正前は、情報漏えいが起こった際の対応が事業者の判断に委ねられていました。
改正後は、個人データの情報漏えいが発生した場合、事業者は本人、および個人情報保護委員会への報告義務を負います。
ただし、他の事業者から個人データを取り扱う業務を委託した事業者で情報漏えいが発生した場合、個人データの提供元である事業者に通知すれば上記の報告義務は免除となります。

また本人への通知が困難であり、本人の権利保護のために必要な措置を行っていると判断された場合は、本人への通知義務に関しても免除されます。
さらに、改正後は不適正な個人情報の利用を禁止することが明文化されます。明確な法律違反だけではなく、不当な個人情報の取り扱いを助長するような行為も禁止されることになりました。

 

認定団体制度の変更

認定団体制度に関する変更も加えられました。

認定団体制度とは、民間団体を利用して個人情報保護を図るために設けられた制度のことです。
改正内容には、「特定分野を対象とする民間団体を認定団体として認定できるようになる」と明記されています。

この変更により、民間団体が能動的に個人データの取り扱いに関するルールを策定していくことが期待されています。
特定分野に従事する民間団体が、事業者に対して個人データの取り扱いに関する指導を行うケースも増えていく見込みです。

 

データ利活用の促進

一部を消去し、他の情報を組み合わせることで個人を識別することが可能になる情報が、「仮名加工情報」として明確に定義されます。

改正前は同様の情報に対して、通常の個人データと同じ取り扱いが求められていました。
改正後の仮名加工情報は、本人からの開示・利用停止などの請求の対象外となります。
また、本人を特定する必要がない分析などでは活用できるため、データの利活用が促進される見込みです。

一方で、個人を識別できる余地は残されていることから、安全管理の義務や第三者への提供禁止、利用目的の制限といった規制は改正後も残ります。

 

罰則の厳格化

改正後は違反に関する罰則が強化されます。
特に目立つのが、法人に対する罰則の強化です。
措置命令違反などを犯した場合の、法人に対する罰金額が大幅に引き上げられます。

罰則の変更点は以下のとおりです。
 

変更点 改正前 改正後
措置命令違反 30万円以下の罰金 1億円以下の罰金
個人情報の不正流用 50万円以下の罰金 1億円以下の罰金
報告義務違反  30万円以下の罰則 50万円の罰則

 

外国事業者への罰則制定

外国の事業者であっても、日本国内に居住している人の個人情報を取り扱っている場合は、規制の対象となります。
改正後は、不適切な個人情報の管理が認められた場合、海外の事業者も報告徴収・立入検査といった是正措置の対象となります。

個人情報保護法に向けて企業が準備すべきこと

改正される個人情報保護法に関して企業が事前に準備しておくべきことをご案内します。

情報開示請求に対応できるようにしておく

改正後は、本人からの情報開示請求が増えることが予想されます。
また、本人が求める場合は、デジタルデータでの開示希望に応えなければなりません。
こうした請求を見越し、体制を整えておく必要があります。

個人の権利を侵害する情報がないか確認しておく

改正以降は、第三者提供記録に関して権利侵害の可能性が認められる場合、本人からの利用停止請求を受けることが考えられます。
事業内容によっては第三者提供記録が利用停止になることで、大きな打撃を受けることになるかもしれません。

自社の事業における第三者提供記録の取り扱いに関して本人の権利侵害がないか、確認が必要です。

情報漏えい発生時の対応について協議しておく

個人情報漏えいが起きた場合の対応についても検討しておきましょう。
改正後は、個人情報保護委員会、および本人への報告が義務化されます。
個人情報漏えいは予期しないタイミングで起こるため、あらかじめ発生時の対応について協議しておくと安心です。

仮名加工情報の活用法について検討しておく

改正後に新設される仮名加工情報は、さまざまな活用の可能性を秘めています。
医療分野における研究、売上予測を行うAIの学習などが代表例です。仮名加工情報を既存事業に活かせないか、また、活用することで新事業を生み出せないか、検討しておくことをおすすめします。

まとめ

今回の改正は、本人の権利を強化することや、違反行為を是正することが主な目的です。
しかし、仮名加工情報など、個人情報活用の可能性を感じさせる内容もあります。
規制強化と緩和の双方を正しく理解してこそ、適切な個人情報の管理が可能になると言えるでしょう。

いずれにせよ、企業にはこれまで以上にシビアな個人情報管理の意識が求められます。

スターティアでは、安心・安全な個人情報管理を実現する資産情報管理ツールを提供しております。

個人情報を厳正に管理し、積極的に利活用したいとお考えの企業様はぜひ導入をご検討ください。
 

情報漏えいリスクの軽減につながる

 

人気記事ランキング

電子帳簿保存法の申請方法は?法改正で申請・承認が不要になる?
2022.01.31

電子帳簿保存法の申請方法は?法改正で申請・承認が不要になる?

個人情報保護法の改正内容に関する注意点
2022.03.15

個人情報保護法の改正内容に関する注意点

電子帳簿保存法の改正!対応するために企業が知っておくべきこと
2022.01.31

電子帳簿保存法の改正!対応するために企業が知っておくべきこと

社会保険適用範囲が拡大!企業がとるべき対応とは
2022.10.31

社会保険適用範囲が拡大!企業がとるべき対応とは

おすすめ資料ランキング

サイバー犯罪の概況とセキュリティ対策 2022年度版(全24P)
2022.03.04

サイバー犯罪の概況とセキュリティ対策 2022年度版(全24P)

ヒューマンエラーを防止する方法9選(全21P)
2022.03.03

ヒューマンエラーを防止する方法9選(全21P)

知らなかったじゃすまない “改正”個人情報保護法 対策ブック(全45P)
2022.02.16

知らなかったじゃすまない “改正”個人情報保護法 対策ブック(全45P)

電子帳簿保存法改正対策ブック(全37P)
2022.01.26

電子帳簿保存法改正対策ブック(全37P)