個人情報保護法の改正で企業がすべきことは?
2022年4月改正の変更点
2022.3.18
セキュリティー
氏名や生年月日、マイナンバーなどの個人情報は、特定の個人を識別できる重要なデータです。個人情報を利用する企業は、個人情報保護法に則った対応をしなければいけません。2022年4月からは、新たに改正された個人情報保護法が施行されます。全面施行前に、改正法について把握しておくことが大切です。今回は、改正のポイントや、個人情報漏えいが発生した場合の影響、改正に向けて企業がやるべきことなどをご紹介します。
【企業向け】個人情報保護法改正のポイント
個人情報保護法の改正にあたり、事業者が責任を負う部分について各種事項が追加されました。こちらでは、現行法と新しい制度の違いを解説していきます。
個人情報漏えい時の報告の義務化
改正前は個人情報保護委員会への報告は努力義務とされ、必須ではありませんでした。改正後は、個人データが漏えいしたときの対応が変更になり、個人情報保護委員会および漏えいした情報の本人への事象報告が義務化されました。情報漏えいが発生してから委員会に報告するまでのフローも企業内で決めておく必要があります。
個人情報の不適正な利用の禁止
改正により、個人情報取扱事業者が不適正な方法で個人情報を利用することの禁止が明記されました。不当な行為を助長もしくは誘発するおそれがある方法による利用は、処罰の対象になります。不適正な方法で利用した場合、利用停止等の対象になる点に留意が必要です。
法令違反時のペナルティー強化
改正後は、個人情報保護委員会からの措置や報告義務に違反した場合の法定刑が引き上げられました。重罰化による抑止効果を高めることが目的です。法人については罰金も引き上げになります。措置命令違反、個人情報データベース等の不正利用は1億円以下の罰金、個人情報保護委員会への報告義務違反は50万円以下の罰金となります。
ただし、規制が厳しくなるばかりではなく、情報の利活用促進のために緩和される部分もあります。例えば、氏名等のデータを加工して個人を特定できないようにした「仮名加工情報」の場合は、事業者が負う義務が軽減されます。これまでは利用目的の公表や目的外利用の禁止などが定められていましたが、改正後は利用停止や開示請求における義務などが緩和されます。
【出典】「令和2年 改正個人情報保護法について」(個人情報保護委員会)
https://www.ppc.go.jp/personalinfo/legal/kaiseihogohou/
ただし、規制が厳しくなるばかりではなく、情報の利活用促進のために緩和される部分もあります。例えば、氏名等のデータを加工して個人を特定できないようにした「仮名加工情報」の場合は、事業者が負う義務が軽減されます。これまでは利用目的の公表や目的外利用の禁止などが定められていましたが、改正後は利用停止や開示請求における義務などが緩和されます。
【出典】「令和2年 改正個人情報保護法について」(個人情報保護委員会)
https://www.ppc.go.jp/personalinfo/legal/kaiseihogohou/
個人情報漏えいが起きた際の影響
企業が扱う個人情報を漏えいさせてしまった場合、社会的なイメージダウンや業務の停止など、さまざまな影響が生じます。考えられる事態を想定しておき、対策を講じることが大切です。こちらでは、情報漏えいが起こった際の影響について解説します。
社会的信用の低下
個人情報を漏えいしてしまうと、企業イメージが低下する可能性があります。機密性が高い情報の管理がずさんである印象を与えかねないためです。イメージの悪化は苦情を招くだけではなく、顧客離れや株価の下落につながるおそれもあります。
業務の一時停止
個人情報の漏えいが発生した場合、部門間で連携して迅速に対応する必要があります。本来取り組む予定だった業務を停止せざるを得ないケースも考えられます。また、情報漏えいで生じ得る損失にもご注意ください。金額によっては、会社の利益低下につながるおそれがあります。
損害賠償の請求
漏えいした情報が悪用されて二次被害が起こるおそれがあります。機密情報が流出すると刑事罰とは別に、民事上の損害賠償責任が発生することがあります。
各企業が個人情報保護法改正に向けてすべきこと
個人情報を取り扱う企業は、プライバシーポリシーの作成だけではなく、情報の管理やセキュリティー対策などを実施することも重要です。以下では、法改正に向けて企業がすべきことをご紹介します。
個人情報の所在と管理方法を確認する
個人情報が漏えいした場合は、個人情報保護委員会と情報の持ち主である本人への報告が必須です。報告の対象になる情報がまとまって保管されているか、どこでどのように管理されているかを把握する必要があります。
例えば、今回の法改正にて、個人データのやり取りがあった場合、本人が第三者提供記録を開示請求できるようになりました。個人情報取扱事業者がデータ提供する際は、授受の記録をつくる必要があります。個人データを受け取る提供先の企業も同様に、記録を作成することが必要です。開示方法は本人が指定できます。こうした記録の作成を適切に行い、徹底した管理を行うことが大切です。
また、これまでは6カ月以内に削除される個人情報は保有個人データとみなされず、本人からの請求があっても開示や訂正、利用停止をする義務はないとされてきました。改正後は、短期間で消去するものでも保有個人データとして扱う義務が生じます。
このように、改正法では本人の権利をより強固に保護できるような見直しが行われました。企業側は、有事の際に迅速な対応ができる体制を整えておくことも重要といえます。漏えいが起こったときの担当者や責任者などについての確認もしておき、トラブルに備えておくと安心です。
例えば、今回の法改正にて、個人データのやり取りがあった場合、本人が第三者提供記録を開示請求できるようになりました。個人情報取扱事業者がデータ提供する際は、授受の記録をつくる必要があります。個人データを受け取る提供先の企業も同様に、記録を作成することが必要です。開示方法は本人が指定できます。こうした記録の作成を適切に行い、徹底した管理を行うことが大切です。
また、これまでは6カ月以内に削除される個人情報は保有個人データとみなされず、本人からの請求があっても開示や訂正、利用停止をする義務はないとされてきました。改正後は、短期間で消去するものでも保有個人データとして扱う義務が生じます。
このように、改正法では本人の権利をより強固に保護できるような見直しが行われました。企業側は、有事の際に迅速な対応ができる体制を整えておくことも重要といえます。漏えいが起こったときの担当者や責任者などについての確認もしておき、トラブルに備えておくと安心です。
ITシステムを導入して対策を講じる
多様化する不正アクセスの手口に対抗できる体制を構築しておくと、万が一の事態を防げる可能性があります。不正アクセスを検知するための対策のほかに、侵入を許した場合に備えてリスクを最低限に抑えるための対策も重要です。
セキュリティー対策は、複数のシステムやソフトウェアを組み合わせるのが一般的です。自社にとって必要な機能を確認し、適切なセキュリティー対策システムを導入しましょう。
セキュリティー対策は、複数のシステムやソフトウェアを組み合わせるのが一般的です。自社にとって必要な機能を確認し、適切なセキュリティー対策システムを導入しましょう。
個人情報保護法改正に対応したセキュリティーソリューション
個人情報保護法の改正に対応していくためには、相応の機能を有したセキュリティーソリューションの導入が不可欠です。自社のIT資産を守るためにも、適切なツールやソフトなどを活用していくことが求められます。最後に、おすすめのセキュリティーソリューションをご紹介します。
TASKGUARD エンドポイントセキュリティー
ネットワークに接続している端末や機器のセキュリティー対策をするソフトウェアです。スパイウェア対策、ウイルス対策、ファイアウォールなどに対応しています。クラウド型のソフトウェアのため、自動バージョンアップなどで、常時最新の状態を維持することが可能です。管理者はWebブラウザーから管理システムにアクセスできるため、オフィス出勤時はもちろん、在宅勤務時にも運用できます。不正接続による侵害から個人情報を守り、影響範囲をできる限り小さくとどめるためにも導入しておきたいソフトのひとつです。
多様化するサイバー攻撃対策に最適なUTM
WatchGuard Fireboxシリーズ
外部からの侵入や、社内の人間による不正サイトへのアクセスなどを防止できるゲートウェイセキュリティーです。1台で社内の全端末の管理が可能で、多彩なネットワークセキュリティー対策に対応できます。京セラ複合機と連動し、稼働レポートの作成も可能。Webアクセスやスパムメールなどの状況を可視化でき、導入による具体的な効果を確かめられます。現状を把握しておくことで、徹底したリスク管理を実現できる点もメリットです。
IT管理者不在でも運用可能
リステックサーバー
小規模オフィスやワークグループに欠かせない情報共有やセキュリティーの機能を、使いやすさにこだわったシステムとともに、堅牢な筐体に凝縮しました。
感染を広げないためのセキュリティスイッチ
Virus Cluster Guard
感染拡大を防ぐためのソリューションです。サイバー犯罪の手口が巧妙化しているなかで個人情報を守るためには、ウイルスに感染することまで想定した対策が欠かせません。感染拡大防止のためのソリューションを取り入れておけば、万が一ウイルスへの感染が発覚しても、ほかの端末への二次被害を発生させずに済みます。Virus Cluster Guardを導入すれば、有害トラフィックや盗聴・傍受などを検知して遮断することで、個人情報漏えいを防げます。未知のウイルスや脆弱性を突く攻撃などにも対応可能。被害を最小限に抑えられます。
個人情報保護法改正に備えた対策を実施することが大切
2022年の4月から改正される個人情報保護法では、多くの事項が変更・追加されることとなりました。企業側の個人情報保護対策も、法改正に合わせたアップデートが求められます。詳しい改正内容を確認し、改正後の法律に適応した仕組みを整えることが大切です。情報漏えいに備える場合は、ご紹介した各種セキュリティーソリューションの利用もご検討ください。
ウイルス対策や情報対策にも対応できるソリューション商材を取り揃えておりますので、お気軽にご相談下さい。
ウイルス対策や情報対策にも対応できるソリューション商材を取り揃えておりますので、お気軽にご相談下さい。
お役立ち資料ダウンロード
個人情報保護法の改正ポイントと対策について
個人情報保護法の改正のポイントと、京セラが提供する情報漏えい対策のセキュリティソリューションについてご紹介する資料です。
