catch-img

2022年4月施行 改正個人情報保護法とは(前編)

2022年4月に「個人情報の保護に関する法律等の一部を改正する法律」(2020年6月12日公布)が施行されます。

この改正個人情報保護法は、平成27年改正個人情報保護法に設けられた「いわゆる3年ごと見直し」に関する規定(附則第12条)に基づき策定されました。

今回の改正は、大きく6つの概要に分けられます。

  1. 個人の権利の在り方
  2. 事業者の守るべき責務の在り方
  3. 事業者による自主的な取組を促す仕組みの在り方
  4. データ利活用に関する施策の在り方
  5. ペナルティの在り方
  6. 法の域外適用・越境移転の在り方

参照元:PPC個人情報保護委員会「個人情報保護法 いわゆる3年ごと見直し 制度改正大綱(概要)」

本コラムでは、この6つのうち2つ目に挙げた「事業者の守るべき責務の在り方」にフォーカスしてご紹介いたします。


目次[非表示]

  1. 1.「事業者の守るべき責務の在り方」について
  2. 2.報告、通知の義務化
  3. 3.「個人の権利利益を害する場合」とは?
    1. 3.1.要配慮個人情報が含まれる(1件以上)
    2. 3.2.財産的被害が発生する可能性
    3. 3.3.故意による漏えい
    4. 3.4.大規模な個人データの漏えい(1,000件以上)
  4. 4.講ずべき措置
  5. 5.要配慮個人情報も洗い出し可能!情報漏洩対策に「P-Pointer File Security」


「事業者の守るべき責務の在り方」について

今回の改正では、次の2点が法律として制定されました。

  • 報告、通知の義務化
  • 不適正利用の禁止

コラムの前編では、1つ目に挙げた「報告、通知の義務化」についてお伝えします。


報告、通知の義務化

今回の改正では、情報漏洩等が発生し、個人の権利利益を害するおそれがある場合に、 個人情報保護委員会への報告及び本人への通知が義務化されました。


<個人の権利利益を害する情報の漏えい発生時>



ただし、全ての情報漏洩が当てはまるわけではなく、「個人の権利利益を害する場合」という条件が入ります。

\個人情報管理にお悩みならまずは相談/


「個人の権利利益を害する場合」とは?

さて「個人の権利利益を害する場合」とは、どういったケースでしょうか。

ガイドラインには「一定数以上の個人データの漏えい、一定の類型に該当する場合に限定」という注釈が書かれています。具体的には、次の4つが当てはまります。

  • 要配慮個人情報が含まれる(1件以上)
  • 財産的被害が生じる可能性
  • 故意による漏えい
  • 大規模な個人データ(1,000件以上)

それぞれについて補足します。


要配慮個人情報が含まれる(1件以上)

要配慮個人情報とは、「本人の人種、信条、社会的身分、病歴、犯罪 の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益 が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報」です。

このような情報は、その取り扱いによっては差別や偏見を生じるおそれがあり、漏えい等による個人の権利利益に対する影響が大きいとされています。そのため、1件でも漏えいした可能性があれば、ケースとして該当します。


財産的被害が発生する可能性

クレジットカード番号やインターネットバンキングのID、パスワードなどが対象となります。

これらの情報も、漏えい等による個人の権利利益に対する影響が大きいとされます。


故意による漏えい

不正アクセスや従業員による持ち出し等が該当します。類型的に二次被害が発生するおそれが大きいとされています。


大規模な個人データの漏えい(1,000件以上)

一定数以上の大規模な漏えい等については、安全管理措置の観点から特に問題があると考えられるとされており、報告対象として該当します。

過去の漏えい等事案の件数の分布と、件数別の事案の傾向(1,000人を超える事案では、安全管理措置に大きな問題がある傾向にある)を踏まえて、1,000人が基準となりました。


講ずべき措置

「個人の権利利益を害する情報」に当てはまる場合、今回の改正で義務となった報告、通知含め、次のような措置が求められます。

① 被害拡大の防止、原因究明、影響範囲の特定、再発防止策の実施
② 個人情報保護委員会への報告(速報・確報)
③ 個人への通知

報告、通知が頻発すると、①で業務も圧迫されます。

後手の対応にならないよう、前もって対策しておくことが重要です。


今回はここまでです。

後編では2022年4月施行開始の改正個人情報保護法6つの概要の3つ目に挙げた「事業者の守るべき責務の在り方」にフォーカスします。

  2022年4月施行 改正個人情報保護法とは(後編) 2022年4月に「個人情報の保護に関する法律等の一部を改正する法律」(2020年6月12日公布)が施行されます。本コラムでは、2022年4月施行開始の改正個人情報保護法6つの概要の一つである「事業者の守るべき責務の在り方」にフォーカスしご紹介いたします。 P-Pointer


要配慮個人情報も洗い出し可能!情報漏洩対策に「P-Pointer File Security」

弊社が提供する「P-Pointer File Security」は、社内のパソコン、ファイルサーバ内に保存された個人情報を含むファイルを、独自の辞書を用いて高速検出するソフトウェアです。
検出したファイルを自動または手動で特定のフォルダに移動、削除など対処することで、個人情報管理のPDCAを実現します。

個人情報ファイルが社内のどこに存在しているか、従業員の申告式だけでは正確には把握しきれないのが現状です。情報漏洩時に報告対象となる得る個人情報をP-Pointer で正確に洗い出し、プロアクティブな情報漏洩対策を行うことをお勧めします。

P-Pointerの辞書機能により、「要配慮個人情報」や1,000人以上の情報が含まれる個人データの洗い出しも可能です。

\P-Pointerを使った情報漏洩対策事例はこちら/


\PCに個人情報を置き忘れていないか「無料体験版」でチェック/


アララ株式会社 P-Pointerチーム
アララ株式会社 P-Pointerチーム
個人情報検出・管理の領域において、P-Pointerシリーズを15年以上販売してきたアララのP-Pointerチームがその知見を活かし、セキュリティに関する情報をお届けするブログです。 個人情報や企業の機密情報を様々な脅威から守るため、企業のセキュリティ担当者が押さえておくべきセキュリティの基本から、実際に取り組むべき具体的な施策まで、セキュリティ分野のお役立ち情報を発信します。 セキュリティ分野のブログを25本以上ご用意しておりますので、ぜひ貴社のセキュリティ対策にお役立てください。

 


関連ブログ


 

CONTACT

個人情報の管理はP-Pointerにお任せください。
まずは無料のお試し版を体験しませんか?

お電話でのお問い合わせはこちら
平日10:00~18:00
ご不明な点はお気軽に
お問い合わせください
サービスのお役立ち資料を
ご用意しています
無料体験版はこちらから
お申し込みください

人気ブログランキング