「改正個人情報保護法」に向けた行動を～すぐに着手すべきポイントは？～

更新日 : 2022年09月21日

「改正個人情報保護法」が2022年4月に全面施行されました。

この法律が国会で成立してほぼ20年（全面施行は2005年）。国内でビジネスを営むすべての事業者の皆さまは、何らかの形でこの法律に接してきたことと思います。

時代と社会環境の変化に合わせて、法律も細部は調整していかなければなりません。特に2010年代以降は、海外とのビジネス機会の増加、クラウドサービスやモバイル利用の進展など、個人情報を扱う環境と技術の変化が著しくなったため、2015年の法改正以降は、3年ごとに見直しすることになっています。

今回の見直しでは、"努力義務"が"法的義務"に、情報保護に関する条件が追加された項目が増えるなど、企業が対応すべき要素は増えています。それでは、改正法のポイントと優先的に取り組みたい部分について見ていきましょう。

改正のポイントはここ

個人情報保護法に限りませんが、法律はすべての人と組織を対象にするという性質上、内容と表現は抽象的にならざるを得ません。硬い条文をすべて精読するには負荷が大きいこともあって、"どこから手をつけるべき？""優先度が高い項目は？""具体的な対処方法は？"といった点で悩むことも多いかと思います。

このあたりは制度を推進する側も配慮し、個人情報保護委員会（以下、委員会）では、「改正個人情報保護法対応チェックポイント」というガイダンスを公開しています。まずこの内容をチェックしてみましょう。改正法から抽出されたポイントは以下の6点です。

情報漏えい時の報告・本人通知の義務化
外国の第三者へ個人情報を提供する際の規制を強化
個人情報保護法に関する安全管理措置の公表
6カ月以内に消去するデータも開示請求の対象に
個人情報の不適切な利用に関する規制を強化
第三者に提供した個人情報に対する本人同意を追加

この中でも重点項目として、すべての企業に行動を促しているのが、1～3です。なお、上記リストの原文・詳細については、必要に応じて個人情報保護委員会のWebサイトも参照してください。

改正個人情報保護法対応チェックポイント（https://www.ppc.go.jp/news/kaiseihogohou_checkpoint/）
個人情報の保護に関する法律についてのガイドライン（通則編）（https://www.ppc.go.jp/news/kaiseihou_feature/）

報告と本人通知は"法的義務"に

改正法のポイントの一つは、情報が漏えいしてしまった場合、委員会と本人への通知が義務化された点です。対象となる個人情報は、クレジットカード番号と有効期限などは当然ですが、ECサイトのID、パスワードなど、不正利用で金銭的な被害が生ずる可能性があるデータも含まれます。

また委員会への報告は、"速報"と"確報"が定義され、前者は原則として3～5日、後者は30日以内です（調査に時間を要す不正アクセスは60日）。

個人情報保護委員会への報告は、"速報"と"確報"が定義され、前者は原則として3～5日、後者は30日以内です（調査に時間を要す不正アクセスは60日）。

報告は"努力義務"でしたが、改正法下では"法的義務"が生じていますので、企業はそのための体制を整えておく必要があります。情報を管理する体制が整備されていないと、漏えいが起きても原因と流出経路が追えず、報告すらできない事態になりかねません。

具体的には、企業ネットワークへのアクセス管理の強化、ファイルサーバーなどのリソースに対する変更監視などシステム面の対応に加えて、漏えいの兆候を発見した際の社内ルールの確立、漏えいした際に備えて利用端末やネットワークで何が起こったのかを調査できる仕組みづくり、そして従業員に対する継続的な啓発・研修も実践しましょう。

クラウドサービスの利用も要注意

次は「第三者提供」についてです。

企業システムのクラウドシフトが加速し、顧客情報はクラウド上にあるという組織も多いでしょう。改正法も環境変化を考慮し、個人情報を海外の第三者、具体的にはSaaS（Software as a Service）などの事業者に預ける場合、管理サーバーがある国の国名、その国の情報保護に関する制度などの情報も開示する義務を追加しています。

第三者に預けることに対する本人の同意取得、日本と同等の水準にある国、かつ委員会が定める基準をクリアした事業者への委託は従来からのルールですが、改正法の施行後は委託先の国名など、より詳細な情報の把握と通知が必要になりました。また、委託しているSaaS環境で問題が生じた場合、個々の利用者に実害は発生していない状況でも、障害に関する情報開示は行わなければなりません。

この項目への対応力は、外部の管理体制に依存する部分が多いため、技術的な対策より運用の見直しが重要と言えます。委託した事業者との間で、改正法への準拠の視点から、個人情報の保存に関する管理体制の確認と認識の共有を進めておきましょう。

本人にはデジタルで開示する

三つ目は「安全管理措置の公表」です。

平たく言うと、個人情報の持ち主、本人が把握できる状態にしておくとことです。従来は書面による交付が原則でしたが、改正法の施行後は、企業が保有する個人のデータは、電子メール、Webサイト、CD-ROMなどの媒体を含め、電子的な方法を用意し、かつ本人が選択できるようにしておきます。

加えて6カ月以内に消去する予定の情報も、本人からの要請に応じて開示や利用停止、削除ができるようにするというルールが記載されました。例えば、イベントの参加者名簿など半年以内に削除する予定のデータに対しても、管理方法を見直しておく必要があります。

個人情報の利用停止・削除に対する請求権については、企業側の管理負担が増える可能性がありますので、少し補足しておきましょう。改正法では本人が要請できる条件が拡がっていて、改正前は利用停止・消去に応ずるのは、明示された目的以外に情報が利用された場合や、不正に取得したなどのケースに限定していましたが、改正後は以下の条件が追加されています。

情報を利用する必要がなくなった
委員会への報告義務がある漏えいなどが発生した
本人の権利、正当な利益が阻害される可能性が生じた

これまでは違反や不正があったときに対処すればよかったのですが、改正後はDMの送付を停止し情報が不要になったときなど、平時でも削除要請に応ずる必要があります。例えば、特定のサービスやイベントの終了時などは、削除要請が増える可能性があるでしょう。個々に対応すると業務の負荷が増す場合は、システム側である条件下で自動消去するような対応も有効でしょう。

改正法に向けた対策の基本軸は？

個人情報保護委員会が発表した「改正個人情報保護法対応チェックポイント」から、重点3項目を中心に、優先的に取り組むべき対策を見てきました。

システム面の対応については、企業の情報システムと業務の形態に依存する部分が多いため、本コラムでは深入りしませんでしたが、総じて言えることは、個人情報を扱う際の社内ルールの点検と徹底が求められるという点です。

ルール点検の一例を挙げると、個人情報を第三者のクラウドで保存するに際しても、国名の明記や障害時の利用者への開示義務が生じていますので、情報を保存する方法・送受信する手順などを明記したドキュメントの整備と情報の共有が必要です。運用面では、会社が正式に許可していない「シャドーIT」から、もし万一情報が流出した場合、状況の把握に時間がかかることも考えられますので、情報システムの使い方に関するルールの点検と徹底も欠かせません。

そして最後は、"知識と訓練、意識の向上"。

情報セキュリティ対策のトレーニングに関する古典的なガイドブックで、今も参照される機会が多いNIST（米国立標準技術研究所）の「NIST SP 800-50」に記された内容です。組織の構成員である従業員・役員などがまず情報漏えいの脅威と対策に関する知識を持つこと、そして継続的なトレーニングを通じて、意識の向上に努めることが、情報漏えいのリスク軽減への近道です。

この機会に、皆さまの企業における個人情報保護の体制を点検してください。