2022年4月から全面施行の改正個人情報保護法

改正個人情報保護法が2022年4月から全面施行されます。AI(人工知能)、ビッグデータなどの技術革新や、情報のグローバル化などに対応するために改正され、個人の権利の拡充や法人への罰則強化などが実施されます。企業が守るべきセキュリティ要件のハードルがさらに高くなるわけで、個人データの安全管理などの徹底が課題となっています。

個人の権利拡充など6ポイント

改正のポイントは6つです。ひとつは、個人の権利拡充です。利用停止・消去などの個人の請求権の拡充や、保有個人データの開示方法のデジタル化への対応などが目的です。第三者提供記録を本人が開示請求できるように変更され、短期保存データを保有個人データに含めるようになりました。

オプトアウト規定の厳格化も行われています。オプトアウト規定とは、提供する個人データの項目を公表し、本人の同意なく第三者に個人データを提供できる制度のことです。事後的に本人が申し出れば、データ提供を停止できると制度上の決まりがありましたが、法改正によって第三者に提供できる個人データの範囲を限定するよう変更が加えられました。

2つ目は、事業者の守るべき責務が追加されました。個人データの漏えい発生時における個人情報保護委員会に対する報告義務が新たに追加され、不適正な個人情報利用の禁止が明文化されました。現行法では、報告義務はありませんでしたが、海外では義務化された国が多くなっています。

3つめは、事業者への取り組みを促す仕組みの構築です。個人情報保護委員会のほかに、企業の特定分野を対象とする認定団体を認定できるようになりました。民間団体が特定分野における個人データの扱いに関する自主ルールを策定することを期待しています。

4つ目は、データ利活用の推進です。特定の個人を識別することができないように個人情報を加工した「仮名加工情報」を創設し、個人情報取扱事業者に対する義務を緩和しています。具体的には、Cookie(クッキー)などの識別子情報が対象になります。

5つ目はペナルティの強化です。命令違反や虚偽申告をした場合の法人に対する法定刑が引き上げられました。6つ目は、外国事業者への罰則追加などです。外国の事業者も、報告徴収・立入検査など罰則の対象になりました。

デジタルデータによる開示請求への対応の準備を

個人情報保護法は2003年に成立し、05年に全面施行されました。15年に改正され、17年には、国際的な動向や技術の進歩を反映して3年ごとに実態に沿った内容に見直しを行うことが規定として盛り込まれました。2020年の改正はこの規定を踏まえて行われました。
2022年の施行までに、企業は情報セキュリティや社内規定について見直す必要があるほか、従業員のセキュリティに対する認識を高めることが求められています。

22年施行予定の改正で、個人情報保護を扱う事業者が守るべき責務が追加され、企業のセキュリティ担当部署にとっては早めに対策を取ることが必要です。事業者の責務として、個人データの漏えい発生時には、個人情報保護委員会に対する報告義務が新たに追加されました。これまでは漏えい時の企業の個別対応に委ねる状況でしたが、海外の標準的な対応とも照らし合わせ、足並みを揃えた形です。

具体的な企業の対応策としては、デジタルデータによる開示請求への対応への準備があります。法改正により保有個人データをデジタルで開示するための対応への準備が必要となります。個人情報を取り扱う企業は、デジタルデータによる開示請求への具体的な対応を行う体制を早期に築くことが求められ、その検討や準備には、自社のプライバシーポリシーの改訂が必要となる場合もあります。

個人情報を扱う部署への入退室管理の徹底も

改正個人情報保護法では、第三者提供記録を本人が開示請求できるように変更がなされました。利用停止・消去・第三者提供停止がされた場合、事業に影響が出る場合も予想されます。第三者提供記録について、権利の侵害がないか、社内でこれまでの取り扱い方法を確認しておく必要があります。

法改正により、個人情報漏えい発生時の個人情報保護委員会と本人への報告義務が事業主の義務に追加されています。この事態を想定した業務フローを法律施行前に確立しておく必要があります。

「仮名加工情報の活用」など情報の取り扱い義務の緩和もありますが、今回の改正で、企業が守るべきセキュリティ要件は厳しさを増しています。企業の人事労務担当者にとっては従業員の個人情報の取り扱いに注意を払わなければなりません。ウイルスソフトの導入や個人情報を扱う部署への入退室管理などに加え、閲覧の権限を設定することができ、アクセスログを確認できるシステムの導入が求められています。

情報漏洩を防ぐファイル暗号化ソフト「SecureCoreDSE」

データ暗号化ツール「SecureCoreSFE」


関連記事

教育情報セキュリティポリシーに関するガイドラインについて

テレワークセキュリティガイドラインを解説

Googleアカウントの二段階認証がデフォルトに

テレワーク等のニューノーマルにおける効果的なセキュリティ対策

リモートデスクトップ(RDP)の認証強化

セキュリティ強化に効果的な指紋認証の活用法

SalesforceのMFA(多要素認証)必須化に備える

Microsoft Azure PortalへのOTPトークン設定方法

ChromeBookのログインにFIDOで多要素認証を実現

GIGAスクール構想における認証強化