企業からの相談で、毎年多いのが、個人情報保護法です。近年の個人情報の取り扱いの厳格化に伴い、企業からの質問も増えています。
個人情報保護法は、ここ10年で大きな改正を繰り返していますが、正確にその内容を理解している人は少ないのではないでしょうか。2024年に施行される改正個人情報保護法が多くの企業にとって大きな課題となっています。
この記事では、2017年、2022年、そして2024年に行われた個人情報保護法の改正ポイントを中心に、企業がどのような対策を講じるべきかについて詳しく解説します。
この記事の目次
個人情報保護法は、情報化社会の進展に伴い、個人情報の保護を目的として制定されました。
しかし、技術の進化や社会情勢の変化に対応するために、法律も随時改正が行われています。特に2017年、2022年、そして2024年に行われた改正は、企業が対策を講じる上で重要なポイントとなります。
2017年に行われた個人情報保護法の改正は、デジタル化が進む社会において、個人情報の保護を強化するための重要な一歩でした。この改正によって、特に「個人情報」の定義が大幅に拡充され、新たな義務が企業に課されることとなりました。
2017年の改正で最も注目すべき点は、「個人識別符号」の導入です。
この改正により、「個人情報」の範囲が広がり、顔画像データや認証用指紋データなど、個人を特定することができる識別符号が「個人情報」として位置づけられるようになりました。
具体的には、1号識別符号と2号識別符号の2種類が定義され、前者には生体情報(顔画像や指紋データ)が、後者には公的な識別番号(マイナンバー、運転免許証番号、パスポート番号など)が含まれます。
この変更は、個人識別技術の進展に伴うリスクに対応するためのものです。
2017年の改正では、匿名加工情報の取り扱いに関する規定が新設されました。
匿名加工情報とは、特定の個人を識別できないように加工された情報であり、これを第三者に提供する際には「匿名加工基準」に従って加工することが義務付けられています。
具体的には、情報の適正加工、安全管理措置の実施、公表義務、第三者提供時の公表・明示義務、そして識別行為の禁止が企業に求められるようになりました。
この匿名加工情報の規定は、データ活用の自由度を保ちながら、個人情報保護を強化するバランスを取ったものといえます。
個人情報を第三者に提供する際の記録義務も強化されました。
本人の同意を得ていない場合(オプトアウト)の提供については、提供した年月日、第三者の氏名または名称、本人の氏名など、特定に必要な事項を記録する義務が新たに設けられました。
逆に、本人の同意を得た場合(オプトイン)でも、同意を得た旨や第三者の氏名などを記録しなければならないとされています。
このような厳格な記録義務の導入により、個人情報の流通状況を透明化し、不正利用を防ぐことが期待されています。
2022年に施行された個人情報保護法の改正は、特にデジタル時代における個人情報の取り扱いに対する企業の責任を大幅に強化するものでした。改正の中心にあるのは、個人データの漏えい時の対応義務と、個人関連情報の取扱いに関する規制の強化です。
個人データの漏えいに関しては、従来よりも厳格な報告・通知義務が課されるようになりました。
具体的には、個人の権利利益が害される可能性がある場合には、企業は速やかに個人情報保護委員会への報告と本人への通知を行わなければなりません。
これらの対応は、概ね3~5日以内に行う必要があり、遅延が許されない厳しいスケジュールが設定されています。この規定は、情報漏えいが発生した際の企業の対応を迅速かつ透明にし、被害拡大を防ぐことを目的としています。
さらに、報告内容も詳細に定められており、漏えいの概要、漏えいした個人データの項目、漏えいの原因を明確にし、被害者が理解しやすい形で通知することが求められています。
通知方法も、郵送や電子メールのほか、本人通知が困難な場合には企業のホームページでの公表などが認められています。
また、問い合わせ窓口の設置も義務付けられ、被害者が疑問や不安を解消できるようにする対応が求められます。
個人関連情報の取扱いに関する規制も強化されました。
個人関連情報とは、Cookie情報やウェブサイトの閲覧履歴、商品購買履歴など、個人を直接特定できないが、他の情報と組み合わせることで特定の個人を識別できる情報を指します。
この改正により、個人関連情報を第三者に提供する場合、その情報が他のデータと組み合わせることで個人データとなる可能性がある場合には、あらかじめ本人の同意を得ることが義務付けられました。
これにより、個人関連情報が無断で利用されることを防ぎ、個人のプライバシー保護が一層強化されました。
個人情報の利用停止や消去を求める権利が拡充された点も重要です。
個人は、情報の利用目的が終了した場合や、権利利益が侵害される恐れがある場合には、企業に対して自身の個人情報の利用停止や消去を求めることができるようになりました。
この権利の拡充は、個人が自らの情報に対してより強いコントロールを持つことを意図しています。
企業に求められる対応策としては、まず情報漏えい時の対応手順を事前に整備しておくことが挙げられます。一次対応の手順や報告の担当者を明確にし、社内での周知徹底を図ることが不可欠です。
また、プライバシーポリシーの改訂も必要であり、個人関連情報の取扱いに関する新たな規定を反映させることが求められます。
2024年の改正において最も重要なポイントは、個人情報保護法施行規則の改正による「個人情報」の取り扱いに関する報告・通知義務の拡大です。
これまで、報告・通知義務は主に「個人データ」に対して適用されていましたが、今回の改正により、「個人情報」そのものも対象に含まれることとなりました。
これにより、企業は、個人情報の漏えいが発生した場合、迅速に個人情報保護委員会への報告と本人への通知を行う義務を負うことになります。
この背景には、ウェブスキミング対策が挙げられます。ウェブスキミングとは、ECサイトなどに不正プログラムを設置し、ユーザーが入力したパスワードやクレジットカード情報を直接取得する攻撃手法のことです。
このような攻撃により、個人情報がデータベースに保存される前に盗まれるケースが増加しており、従来の個人情報保護法では対応が不十分とされてきました。
今回の改正では、このような「個人データ」化される前の「個人情報」の漏えいも対象とすることが明確化され、企業に対してより高いレベルのセキュリティ対策が求められることとなります。
さらに、安全管理措置の対象も拡大されました。
従来は、個人データの漏えいを防止するための措置が義務付けられていましたが、今回の改正により、個人情報の段階でも必要かつ適切な安全管理措置を講じることが求められるようになりました。
これには、ウェブサイトやデジタルプラットフォームのセキュリティ強化、データ入力時の暗号化、そして不正アクセスを防止するための監視体制の強化が含まれます。
また、企業が取るべき対策として、プライバシーポリシーの改訂が不可欠です。今回の改正により、プライバシーポリシーには、個人情報が新たに安全管理措置の対象となる旨を明記する必要があります。
これにより、ユーザーに対して企業が個人情報の保護に努めていることを明確に示すことができ、信頼性の向上にも繋がります。
社内規則の見直しと従業員への教育も重要です。
個人情報の漏えいが発生した際の報告・通知義務が拡大されたことに伴い、社内の対応手順を再度整備し、全従業員に周知徹底することが求められます。
特に、ウェブスキミング対策については、IT部門だけでなく、全社的な理解と協力が必要です。
これらの改正を受けて、企業が取るべき対策は多岐にわたります。
まず、プライバシーポリシーの改訂が不可欠です。保有個人データの安全管理措置を強化し、プライバシーポリシーにその旨を明記することが求められます。
社内規則の改訂と従業員への周知も重要です。特に、個人情報の漏えい時には迅速な対応が求められるため、対応手順を事前に整備し、社内に徹底する必要があります。
情報漏えいが発生した際の対応手順としては、以下の点が重要です。
情報漏えいが発生した場合、誰が何をするのかを明確にしておく必要があります。個人情報保護委員会への報告や本人通知の方法も、具体的に決めておくことが求められます。
個人情報保護委員会への報告は、漏えいが発生したことが判明した時点から3~5日以内に行わなければなりません。この報告を怠ると、企業は法的な責任を問われる可能性があります。
漏えいした個人情報の内容や原因を、本人が理解しやすい形で通知することが求められます。郵送や電子メールによる通知が難しい場合は、企業のホームページでの公表も可能です。
個人情報保護法の改正に対応するためには、社内体制の強化が不可欠です。
プライバシーポリシーや社内規則の改訂だけでなく、従業員に対しても改正内容を理解させ、日常業務に反映させることが重要です。
例えば、個人情報を扱う部署では、定期的な研修を実施し、最新の法改正に対応できる体制を整える必要があります。
改正個人情報保護法では、企業が法律を遵守しない場合、厳しいペナルティが科される可能性があります。
2022年の改正では、個人情報保護委員会の監督権限が強化され、違反が認められた場合、行政処分が下されることが明確化されました。
具体的なペナルティとしては、報告徵求や立ち入り検査があり、企業は必要な書類の提出や従業員への質問に応じる義務があります。
さらに、措置命令に従わない場合には、1年以下の懲役または100万円以下の罰金が科される可能性があり、法人に対しては最大で1億円以下の罰金が科されることもあります。
ペナルティを回避するためには、企業は以下の対策を講じる必要があります。
個人情報保護委員会への報告は遅れることなく迅速に行う必要があります。また、委員会からの指摘や指導には速やかに対応し、改善策を提示することが求められます。
個人情報の取扱状況について、日常的にチェックを行い、必要な場合には速やかに対策を講じることが重要です。これにより、法改正に対応した適切な管理体制を維持することができます。
個人情報保護に関する教育を徹底し、従業員全員が法改正の内容を理解し、遵守することが求められます。これにより、違反を未然に防ぐことができます。
個人情報保護法は、社会の変化に合わせて改正が続けられています。それと同時に新たな義務や対応が求められています。
古い情報ではなく、最新の個人情報保護法の内容に合わせて、しっかりと対応をしていきましょう!
LINEの友達追加で、企業に必要な契約書雛形、