前編では、個人情報保護法の改正の内容を背景と共に解説していきました。
ここからは、企業が求められる対応を3つに絞って上げさせていただきます。
・個人情報保護法の改正の内容が分かる(前編)
・改正に至った背景が分かる(前編)
・企業への影響と取るべき対策が分かる(後編) ←今回はここ
前編がまだの方はこちら
仮名加工情報制度が新たに新設されたことにより、匿名加工情報よりも柔軟に利用することが可能になります。
例えば、匿名加工情報は本人か一切分からない程度まで加工し、復元は禁止されていましたが、仮名加工情報の場合、照合すれば分かる程度までの加工でよく、利用目的を変更し内部での分析や利用を行うことが可能になります。
仮名加工情報を作成する場合に以下のことに気を付ける
・特定の個人を識別することができる記述等(例:氏名)の全部又は一部を削除する(置換も可、以下同じ)
・個人識別符号の全部を削除する
・不正に利用されることにより、財産的被害が生じるおそれのある記述等(例:クレジットカード番号)を削除する
個人の権利が強化され、情報開示を求められる可能性が大いにあります。開示請求を拒否することによって、訴訟に発展しかねません。
開示の方法にあたっては書面の交付又は請求を行った者が同意した方法によることとされていますので、書面などの他、開示の請求を行った方と相談した上で開示の方法を定めることも可能です。実費を勘案して合理的と認められる範囲内であれば手数料も徴収できることとされています。具体的な金額は、個別の事例に応じて判断が異なるものであると考えます。
また、個人情報取扱事業者とともに、認定個人情報保護団体が対応することも可能です。認定個人情報保護団体は消費者と事業者の間に立ち、対象事業者である個人情報取扱事業者の個人情報の適正な取扱いの確保を目的として、消費者からの苦情の処理や相談対応を行うこととされています。認定個人情報保護団体は各業界の特性を踏まえつつ手続等に関し個人情報保護指針を作成し、対象事業者はこれを遵守することとされています。
今までは対象外であった取得後6か月以内に消去する個人データに関しても個人データに含まれることになったため、こちらに関しても対応体制を見直す必要があります。
漏えい発生時の対応を明確にし、個人情報の保護に努める。
何より漏えいさせない対策が重要です。
漏えい発生時の対応として、例えば事前にプレイブックを作成し(コラム『サイバー攻撃に備える「プレイブック」で事前準備を』)インシデントに対応する手順を決めておくことで対応の迅速化に役立てることができます。
実際に漏えいしてしまった場合、速報は速やかに、確報は原則30日以内、不正目的で漏えいしたおそれがある場合は60日以内に報告しなければなりません。(不正アクセス事案等の不正の目的をもって行われた行為による漏えい等については、専門的な調査が必要なため他の事案よりも時間的猶予が設けられています)
個人情報保護委員会のホームページに報告フォームが設置されていますので、当該報告フォームから報告を行う必要があります。
実際のフォームはこちら
報告の内容としては下記の項目などが挙げられます。
報告の内容
・組織情報
・事案の発覚日と発生日
・事案の概要(発覚に至る経緯を含む)
・発生事実(漏えい・滅失・毀損)
・漏えい等した個人データ又は加工方法等情報の内容
・漏えい等した個人データ又は加工方法等情報に係る本人の数
・発生原因
・二次被害の有無
・公表予定の有無、方法
・本人への対応等
・発生防止策等
・公表文(案)
これらの報告を行うことを前提に、以下のフローに沿って調査などを行わなければなりません。
正直、この対応の大変さは当事者にしか分からないものかもしれません。かと言って委員会への虚偽報告をしてしまうと罰金50万円以下、さらに命令違反で罰金1億円以下に改正によって強化されています!
法定刑だけでなく、漏えい被害にあった方々に慰謝料を払う場合もあり、調査費用だけでなく事後対策などで莫大な損失が出る可能性があります。
IBMの報告調査によると、情報漏えいの総保有コスト(TCO)は「平均4億円」と発表しています。
そもそもの漏えいの原因としてはランサムウェアでの暗号化攻撃や標的型攻撃、内部犯行、他にも最近ではテレワークを狙った攻撃などが挙げられます。(こちらも参考に:コラム『情報漏洩の発生パターンと対策』)
これらの対策を何もせず情報が漏えいしてしまうと、漏えいの発生原因が分からず被害がどんどん拡大してしまいかねません。
例えば、自己学習型AIセキュリティの「Darktrace Immune System」は、サイバーセキュリティ市場で初めてAIを用いた製品。
AIで個人の業務のパターンや事業全体の通信パターンを自律的に機械学習するから、「いつもと違う」通信のパターンなどを察知して、今までのセキュリティ製品では発見できなかった脅威を見つけることが可能です。
さらに、世界初の自動遮断機能で24時間365日、進行中のサイバー攻撃を数秒で遮断することができます。
こういった優れたセキュリティ製品を導入することで、ウイルス対策はもちろん、内部犯行をも未然に防ぐことができます。
弊社でPoV(無償検証)をご案内することも可能です。
以前のコラム『サイバーパワー国別ランキング』でも紹介した通り、日本はサイバーセキュリティの分野では遅れを取っている状況です。AI・ビッグデータ時代を迎え、個人情報の活用が一層多岐にわたる中、ますます自分の個人情報の取り扱いに関する期待や、関与への期待が高まっています。
今回の改正によって、企業の皆様(特に経営層の方々)が積極的に個人情報の保護のために動いていただき、活力ある経済社会及び豊かな国民生活を実現していくこと切に願っています。
まずは、セキュリティを見直してみませんか?
また、PCIソリューションズ株式会社ではシステムの最適化を提案するエキスパートとして、
特にセキュリティ分野ではゼロトラストの概念に基づく商品展開を行っております。
セキュリティ上の課題がある企業様、
また、今回の個人情報保護法の改正によって不安がある企業様、
PCIソリューションズが精一杯サポートいたしますので、是非ご相談いただければと思います。
「いわゆる3年ごと見直し」によって、来年4月(2022年4月)から改正個人情報保護法が全面施行されます。これによって多くの企業が今まで先送りにしてきたセキュリティ対策も、強化せざるを得ない状況になってきました。
そこで今回は前編と後編にわたり、改正個人情報保護法の内容を改正の背景と共に初めての方にもわかりやすく解説し、さらに企業はどんな対策を取るべきか、3つのポイントをお伝えしたいと思います。
本コラムで掲載している資料はこちらからまとめてダウンロードできます。
社内勉強や振り返りなどにお役立てください。
※改正の内容をより詳細に確認したい方は個人情報保護委員会のホームページからご確認ください。
平成27年の個人情報保護法改正時に昨今の情報通信技術の進展が著しいことなどから、今後柔軟な対応を可能にするため、3年ごとの見直し規定が設けられました。
これによって出来上がったのが「個人情報保護法 いわゆる3年ごと見直し 制度改正大綱」です。
そして令和元年1月に「いわゆる3年ごと見直しに係る検討の着眼点」が示され、これに即して今回の改正の内容が決定されました。
この内容は国民からの意見募集や関係団体・有識者からのヒアリング等を行った結果ですので、企業としては「こんなことが強く求められている」と思っていただければ良いのではないでしょうか。
1.個人の権利利益を保護情報を提供する個人の、自らの情報の取扱いに対する関心や、関与への期待が高まっており、個人情報保護法第1条の目的に掲げている「個人の権利利益を保護」するために必要十分な措置を整備することに配意しながら制度を見直す必要がある。
2.保護と利用のバランス平成27年改正法で特に重視された保護と利用のバランスをとることの必要性は、引き続き重要であり、個人情報や個人に関連する情報を巡る技術革新の成果が、経済成長等と個人の権利利益の保護との両面で行き渡るような制度を目指すことが重要である。
3.グローバル展開による個人情報の利活用デジタル化された個人情報を用いる多様な利活用が、グローバルに展開されており、国際的な制度調和や連携に配意しながら制度を見直す必要がある。
4.海外でのビジネス増大海外事業者によるサービスの利用や、国境を越えて個人情報を扱うビジネスの増大により、個人が直面するリスクも変化しており、これに対応する必要がある。
5.AI・ビッグデータ利活用AI・ビッグデータ時代を迎え、個人情報の活用が一層多岐にわたる中、本人があらかじめ自身の個人情報の取扱いを網羅的に把握することが困難になりつつある。このような環境の下で、事業者が個人情報を取り扱う際に、本人の権利利益との関係で説明責任を果たしつつ、本人の予測可能な範囲内で適正な利用がなされるよう、環境を整備していくことが重要である。
実は改正項目の一部、「法定刑の引き上げ」は2020年末から既に施行されています。
さらに今年10月にはオプトアウトによる第三者提供の届出が必要になり、2022年4月からこれら以外のすべての改正内容に関しても全面施行となります。
中には、企業にとっては「知らなかった!」では済まされないような内容もありますので、セキュリティの観点からもしっかりと確認をして、2021年中には対策を講じておきたいです。
変わったこと
①-① 個人による請求権が拡充
①-② オプトアウト規制が強化!
次の4つの場合の個人の権利が拡充されました。
1.利用停止・消去等の個人の請求権について、一部の法違反の場合に加えて、個人の権利又は正当な利益が害されるおそれがある場合にも拡充される
旧法の内容は法令違反の場合に限って個人からの請求は可能でした。
今回はこれに加えて、以下の場面でも利用停止・消去などの請求が可能になります。
・利用する必要がなくなった場合
・重大な漏えい等が発生した場合
・本人の権利又は正当な利益が害されるおそれがある場合
2.保有個人データの開示方法(現行、原則、書面の交付)について、電磁的記録の提供を含め、本人が指示できるようになる
行政手続きにおいてもいわゆる「デジタル手続法」が成立したこと等を踏まえ、利用者の利便を考慮した結果、電磁的形式による提供も可能である旨明確化されました。
保有個人データも膨大な量の情報を含む場合があります。
書面で公布されても検索が困難で内容を十分に認識できない恐れがあり、さらにその保有個人データが音声や動画の場合は書面では再現自体が困難です。
そのため訂正や利用停止、第三者提供の停止の請求を行うことが困難なケースもありました。
こういった背景から、電磁的記録の提供も含め、本人が開示方法を指示できるようになりました。
具体的開示方法についてはこちらをご覧ください
(参考)総務省電磁的記録の開示の方法
3.個人データの授受に関する第三者提供記録を、本人が開示請求できるようになる
相談ダイヤルに寄せられる意見の中で「自分の個人情報を事業者が利用停止又は消去等を行わないことへの強い不満」が消費者から見られたようです。
第三者提供記録に関しては旧法では対象外でしたが、個人の権利利益の侵害がある場合を念頭に要件を緩和し、新法では第三者提供記録も開示請求の対象となりました。
4.6ヶ月以内に消去する短期保存データについて、保有個人データに含めることとし、開示、利用停止等の対象となる
元々1年以内に削除される保有個人データは開示の対象外とされていました。
しかし、短期間で消去される個人データでも、その間に漏えい等が発生し瞬時に拡散する危険があるため、6か月以内に削除されるものに関しても開示の対象となりました。
オプトアウト手続の届出の主な対象者はいわゆる名簿業者ですが、オプトアウト規定(※)により第三者に提供できる個人データの範囲がさらに限定されます!
・不正取得された個人データは第三者提供できません
・他の個人情報取扱事業者からオプトアウト規定により提供された個人データは第三者提供できません
・オプトアウトを行う事業者が委員会に届け出る事項について内容が追加されます
・個人データの提供をやめた場合も委員会への届け出が必要になります
変わったこと
②-① 漏えい発生時の報告及び本人への通知が義務化!(改正)
②-② 違法・不当な個人情報の利用や助長行為を禁止!(新設)
漏えい時に委員会に報告することは、委員会から情報を発信したり助言を行ったりと適切な対応に繋げるという意図がありますが、あくまで旧法では委員会への報告は「努力義務」でした。(諸外国では多くの国で漏えい等報告が義務化されています)
今回の改正では義務化に関して賛否両論あったようですが、漏えい等報告を行うことが個人情報の本人、個人情報取扱事業者、監督機関それぞれにとって多くの意義があることや、国際的な潮流になっていること等を勘案した結果、法令上の義務として明記することとなりました。
・要配慮個人情報が漏えいした場合
・不正アクセス等による漏えいが発生した場合
・財産的被害のおそれがある漏えいの場合
・1000件を超える大規模な漏えいが発生した場合
(報告の期限、報告先等は後編で詳しく解説しています)
昨今の急速なデータ分析技術の向上等を背景に、違法ではないものの看過できないような方法で個人情報が利用されている事例が見られるようです。
そんなことから消費者側も懸念が高まりつつある状況で、適正とは認めがたい方法で個人情報を利用してはならない旨を明確化するに至りました。
・違法行為を営む第三者に個人情報を提供すること
・裁判所による公告等により散在的に公開されている個人情報について、差別が誘発されるおそれがあることが十分に予見できるにもかかわらず、それを集約してデータベース化し、インターネット上で公開すること
変わったこと
③-① 認定個人情報保護団体制度が事業分野単位でも認定されるようになる
「認定個人情報保護団体制度」とは、民間事業者による自主的取組を促すことで個人情報等の保護のレベルを高めることを狙った仕組みです。
平成27年改正法において様々な役割が努力義務から義務化されるなど強化されてきましたが、ほとんど活動を行っていない団体や、法の認定基準に適合していない団体も存在していました。
この制度の課題として構成団体の多くが業界単位となっていることや「業界団体」に加入していない事業者も多く加入率が低い傾向にあること、団体は対象事業者の個人情報等の取扱い全般を対象とすることとされており、特定の事業のみを対象とすることはできないことが挙げられています。(主な業務は個人情報に関する相談窓口、苦情の処理や情報提供など)
この課題の解消のために対象企業の全ての苦情に対応する内容から、特定分野の認定を受けることによって特定の分野だけの対応で良い、という内容に緩和される形になります。
変わったこと
④-① 「仮名加工情報」が新設
④-② 提供先で個人データとなる場合の第三者提供について本人の同意確認取得を義務化
組織内でパーソナルデータを扱う際に、氏名を「Aさん」などに加工し、個人を識別できないように「仮名化」した上で利活用することがあるかと思います。
また「仮名化」は国際的にも活用が進んでいて、加工前の個人情報と紐づけなければ個人の権利利益が侵害されるリスクが相当低いとされています。
こうした情報を企業内で分析・活用することで、日本企業の競争力を確保できるため非常に重要だと委員会でも位置づけ、個人情報の類型として「仮名加工情報」を導入することになりました。
ユーザーデータを大量に集積し、それを瞬時に突合して個人データとする技術が発展・普及したことにより、提供先において個人データとなることをあらかじめ知りながら非個人情報として第三者提供するという法第23条の規定の趣旨を潜脱するスキームが横行しつつありました。
こうした本人関与のない個人情報の収集方法が広まることが懸念されていることから本人同意が得られていることなどの確認が義務付けられました。
変わったこと
⑤-① 委員会による命令違反・委員会に対する虚偽報告等の法定刑を引き上げ
⑤-② 法人への罰金刑引き上げ
個人情報取扱事業者に科される罰則について、旧法では最大でも1年以下の懲役又は50万円以下の罰金とされており、違反行為に対する実効性が不十分であるとして、ペナルティが強化されるに至りました。
委員会が漏えい等報告を受けた事案や報告徴収・立入検査を行った事案の数は増加傾向であるものの、令和元年8月に委員会で初めて勧告を行ったようです。
その初めての勧告ケースは、「安全管理措置を適切に講じず、個人データを第三者に提供する際に必要な同意を得ていなかった事案」とのことで、あらかじめ安全措置を取ることは自社を守る上でも非常に大切であることが伺えますね。
上記の表のとおり、懲役刑が6か月以下から最高1年以下に、罰金刑が30万円以下から最高1億円以下に大幅に引き上げられています。そして、これらは既に施行されていますのでご注意ください。
特に法人に関しては、十分な資力を持つものも含まれ、行為者と同等の罰金を科したとしても罰則として十分な抑止効果が期待できないことから「法人重科」として罰金が引き上げられました。
委員会としてもかなり攻めの姿勢であることがひしひしと伝わってきますね。
変わったこと
⑥-① 国内の個人情報または匿名加工情報を取り扱う外国の事業者も法規制の対象になる
⑥-② 国外への個人情報移転時、本人への情報提供を充実させる
旧法では①国内にある者に対する物品又は役務の提供に関連して、②その者を本人とする個人情報を取得した場合(法第75条)に法の適用が制限されていました。
つまり、日本の個人情報を扱う外国の事業者には個人情報保護法が適用されていなかったため、委員会が行使できる権力が限られ、報告徴収や立ち入り検査、命令などは行えない状況でした。
実際のところ、外国人事業者について、
平成29年度は漏えい等報告10件、指導助言4件、
平成30年度は漏えい等報告20件、指導助言15件
の対応実績があり対応件数は増加していることなどから、
改正法では、外国の事業者も報告徴収・命令の対象となりました。
近年個人情報の越境移転の機会が広がっている中で、国や地域間の制度の違いから個人情報がどのように取り扱われるのか、非常に予見が難しい状況となっています。
しかし、令和元年に行われたG20茨城つくば貿易・デジタル経済大臣会合において、信頼につながる各国の法的枠組みは相互に接続可能なものであるべきことが確認されました。
それが今回の改正にもつながり、国内の個人情報取扱事業者が国外に情報を移転する場合、以下の情報等を個人情報の本人へ情報提供することが義務化されました。
・移転先国の名称
・個人情報の保護に関する制度の有無
・移転先事業者における個人情報の取扱い
更に、本人の求めに応じて関連情報を提供することも義務化されました。
(参考)政令・規則・ガイドライン等の整備について個人情報保護委員会事務局で現在ガイドライン等を整備中とのことですので、最新の状況に関しては個人情報保護委員会のホームページをご参照ください。
では、企業が求められる対応とは一体何でしょうか?
続きは後編へ。