2022年4月に改正された個人情報保護法をわかりやすく解説
2022.3.31
法制度対応セキュリティー
IT技術が進歩し、刻々と変化するデジタル社会の情勢に対応するため、情報の取り扱いに関する法律も新しくなっています。2022年(令和4年)4月、改正個人情報保護法が全面的に施行されました。個人情報を取り扱う事業者は、改正のポイントを押さえ、自社のビジネスへの影響を理解しておくことが重要です。本記事では、改正内容についてわかりやすく解説します。
2022年改正で注目を集める個人情報保護法の概要
「個人情報保護法」とは、情報セキュリティーの確保に関する重要な法律です。現行法と併せて改正後の内容についても触れていきます。個人情報の適切な取り扱いのために、まずは基本事項をご確認ください。
個人情報保護法とは
「個人情報保護法(個人情報の保護に関する法律)」は、個人の情報を適切に保護するための決まりが明記された法律です。2003年に成立し、2005年に全面施行されました。ビジネスシーンでは、個人情報を1件以上取り扱っている事業者は対象となります。対象事業者の保有個人データのなかでも、氏名などの個人に関する情報のほか、組み合わせて個人を特定できる情報が「個人情報」に該当します。具体例としては、マイナンバー・顔写真・氏名と社名を含むメールアドレス・声が識別できる音声などが挙げられます。
個人情報保護法の目的
個人情報保護法の目的は、大きく分けて2つあります。1つは、個人情報が持つ権利と利益を保護するためです。もう1つは、個人情報を適正かつ効果的に活用するためです。例えば、多くの通販サイトでは個人の注文履歴やユーザー情報からおすすめの商品を提示する仕組みが採用されています。こうした個人情報の取り扱いに関しても、法律上ではデータの取得や利用に同意が必要なことが規定されています。
2022年4月の改正について
旧法の内容が見直された背景として、社会情勢の変化が挙げられます。近年のデジタル社会では、データベース等の活用により利益がもたらされる一方で、個人情報の不正取得など、注意すべき事例も多くなってきました。情報化社会の拡大によって、同法の制定当時に想定しなかった形で個人情報の活用が行われるケースもあり、従来とは異なるルールの整備が求められる場面も少なくありませんでした。そこで今回の改正によって、個人の権利や利益をより強固に保護することや、AI・ビッグデータ時代に即した規則の定義などが盛り込まれています。
個人情報保護法の改正で変わるポイント
今回の改正では、具体的にどのような点が見直されるのでしょうか。変更点や主なポイントを解説します。
個人が持つ権利の強化
法令違反に該当していなくても、個人情報の利用停止や消去を依頼できるようになりました。個人の権利や利益が害されていると判断された場合は、取扱事業へ消去や公開停止を請求できます。また、本人が個人情報の開示を依頼する際、紙以外の公開形式を選択できるようになった点もポイントです。音声や動画の保存データなどを含め、保存形式の多様化に対応した内容となっています。個人情報が第三者に提供される際は、どのようにして提供されたかの記録も開示請求ができるようになりました。
個人情報漏えい時の報告の義務化
個人情報の漏えいが発生し、個人の権利や利益を害するおそれがある場合の報告が義務づけられました。取扱事業者は、個人情報保護委員会と本人に事象を報告する必要があります。旧法では、個人情報保護委員会への報告は努力義務と定義されていました。これらの報告に関しては、瞬時に伝える「速報」と、状況が明らかになってから伝える「確報」に分けて行うことが求められます。
・クレジットカードやWebサイトのログインパスワードなど、財産的被害の発生が想定される漏えい
・不正アクセスによる漏えい
・1,000件を超える大規模な漏えい
報告の必要がある例
・本人の人種や社会的身分、病歴、犯罪歴を含む要配慮個人情報の漏えい・クレジットカードやWebサイトのログインパスワードなど、財産的被害の発生が想定される漏えい
・不正アクセスによる漏えい
・1,000件を超える大規模な漏えい
不適正な方法による個人情報の利用禁止
不当な行為を助長もしくは誘発するおそれがある方法で個人情報を利用することが禁止となります。これまでは不適正な方法での利用に関して、特に明記がありませんでした。違反した場合には利用停止などの対象になります。
・破産した人の情報を不特定多数の人へ公開する
不適正な利用の例
・詐欺行為を企てるグループに個人情報を提供する・破産した人の情報を不特定多数の人へ公開する
仮名加工情報の新設
仮名加工情報とは、ほかの情報と照合しない限り個人の特定ができないように加工された情報のことです。改正後は、内部分析のみの利用などを条件に、開示や利用停止請求への対応義務が緩和されています。
第三者提供規制の新設
情報の提供先で個人が特定できる可能性のあるデータの提供について、今後は本人同意の確認が義務化されます。例えば、提供元では誰のものか分からない個人データも、提供先が所有するデータとの組み合わせ次第で、個人特定につながるケースが存在します。このように個人を特定できることを知りながらデータを渡す行為が問題視されていたため、第三者提供規制が新設されました。
認定団体制度の認定対象の拡充
認定団体制度とは、個人情報の保護にあたり民間団体を利用できる制度のことです。改正法では、企業の特定分野のみを対象とした認定団体の存在が認められるようになりました。今後は認定団体の活用が進み、高い専門性を生かした個人情報保護の取り組みが期待されています。
外国事業者に対する適用範囲の拡充
外国の事業者に対する個人情報保護法の適用範囲が変更されました。本国内の個人情報を取り扱う事業者も、報告徴収や命令、立ち入り検査の対象となります。外国の事業者が個人情報を不適切に扱っていた場合にも罰則が適用される点が大きな変更点です。
法令違反をした際のペナルティー強化
改正法では、個人情報保護委員会からの措置や報告義務に違反した場合の法定刑が引き上げられました。重罰化することで、措置命令違反や虚偽報告の防止などの効果が期待されています。個人の場合、個人情報保護委員会の命令に違反すると懲役1年以下または100万円以下の罰金が課されます。法人による違反の罰金の上限は、さらに大きく引き上げられました。措置命令違反の罰金は最大30万円から最大1億円に変更、虚偽報告の罰金は最大30万円から最大50万円に変更となっています。措置命令違反や報告義務違反には注意が必要です。
個人情報の漏えいが起こる要因
上記の通り、個人情報は法律等で保護され、不正流用や侵害による被害が起こらないよう新たな対策が始まっています。各企業でも個人情報の漏えいを防ぐ準備が必要です。ここでは情報漏えいの主な要因をお伝えします。
外部からの攻撃による漏えい
法人で注意したいのは、ウイルス感染や不正アクセスなどの攻撃を受けて情報が抜き取られるケースです。なかでも「マルウェア」と呼ばれる不正なソフトウェアによる攻撃が問題となっています。マルウェアに感染すると、デバイス操作の不具合や情報漏えいを引き起こします。手口が巧妙化し、あらゆる方法でセキュリティーをすり抜けようとするので、継続的な対策が必要です。テレワークの導入拡大で、業務のデジタル化が推進される昨今、新しいセキュリティー対策が求められています。
内部不正による漏えい
従業員のセキュリティーリテラシーが低いと、ヒューマンエラーが原因で情報漏えいが起こる危険性があります。代表例として挙げられるのは、個人情報の持ち出しが意図的に行われて漏えいが起こるケースです。社員が自主的に自宅や私用PCで作業をするなど、悪意なく情報の持ち出しが行われてしまうことも珍しくありません。一方で、会社に不満を持っている人が、損害を出させるため故意に情報を流出させた事例も存在します。情報の利用目的に応じてアクセス権限を限定するなど、内部の管理を徹底する必要があります。
企業が個人情報を適切に保護し、情報漏えいを防ぐには、外部的要因および内部的要因の対策が重要といえます。個人情報の取扱業者様は、外部・内部いずれの脆弱性ももれなくカバーするセキュリティー対策をご検討ください。
企業が個人情報を適切に保護し、情報漏えいを防ぐには、外部的要因および内部的要因の対策が重要といえます。個人情報の取扱業者様は、外部・内部いずれの脆弱性ももれなくカバーするセキュリティー対策をご検討ください。
情報漏えいを防いで個人情報を守るためのソリューション
最後に、情報漏えいによる個人情報等の流出を防ぐ観点から、法人向けのセキュリティーソリューションをご紹介します。多くの業務がデジタル化しデータ利活用が進む昨今、情報漏えいのリスク対策をご検討ください。
多様化するサイバー攻撃対策に最適なUTM
WatchGuard Fireboxシリーズ
ネットワークを社外の脅威から守るゲートウェイセキュリティーです。近年被害が多いマルウェアに対しても力を発揮します。疑わしいファイルをリアルタイムで検知するとクラウド上でファイルを実行し、マルウェアかどうかを判断。感染を未然に防ぐとともに、万が一感染した場合には拡散を防ぎます。常に最新の状態へアップデートされるため、特定のマルウェアのみならず、進化するマルウェアの脅威にも対応可能です。
信頼性の高いウイルス対策ソフトでPCを保護
TASKGUARD エンドポイントセキュリティー
社内のPC端末を攻撃や侵入から守る、エンドポイントセキュリティーです。クラウド型のサービスであるため、メンテナンスの手間がかかりません。ウイルス対策ソフトのバージョンアップやパターンファイル、更新プログラムは全て自動で実行され、常に最新の状態に保たれます。運用管理のコストを抑えながらも、セキュアな環境を確保。Web管理ポータルは容易に操作しやすく、システム管理者様の負担を軽減します。
感染を広げないためのセキュリティスイッチ
Virus Cluster Guard
感染拡大を防ぐためのソリューションです。サイバー犯罪の手口が巧妙化しているなかで個人情報を守るためには、ウイルスに感染することまで想定した対策が欠かせません。感染拡大防止のためのソリューションを取り入れておけば、万が一ウイルスへの感染が発覚しても、ほかの端末への二次被害を発生させずに済みます。Virus Cluster Guardを導入すれば、有害トラフィックや盗聴・傍受などを検知して遮断することで、個人情報漏えいを防げます。未知のウイルスや脆弱性を突く攻撃などにも対応可能。被害を最小限に抑えられます。
IT管理者不在でも運用可能
リステックサーバー
サーバーの導入で安全なデータ連携を実現する、データセキュリティーのソリューションです。ウイルス対策の機能が搭載され、サーバー内のウイルスを速やかに検知し、ファイルごと隔離します。サーバーのセキュリティーは自動アップデートで常に最新の状態に保たれるので、管理の面でも安心です。サーバー上のファイルは、最大で180日間または容量1GBまでアクセスログが記録され、社内の機密情報の持ち出しを防ぎます。
個人情報保護法の改正点を踏まえてセキュリティー対策を
デジタル社会でデータの利活用が進み、メリットがもたらされる反面、個人情報がこれまでにない危険にさらされるケースも多くなりました。改正法では、従来の法律では対応が難しかった事例が、対象となる可能性があります。情報漏えいの被害を防ぐには、各企業が個人情報保護法に準拠するとともに、セキュリティー対策を強化することが重要です。ご紹介したソリューションの導入を含め、脅威に備えた最新の対策をご検討ください。
お役立ち資料ダウンロード
個人情報保護法の改正ポイントと対策について
個人情報保護法の改正のポイントと、京セラが提供する情報漏えい対策のセキュリティソリューションについてご紹介する資料です。
