令和4年4月1日、改正個人情報保護法が全面施行されます。
個人情報保護法は、平成27年に設けられた「いわゆる3年ごとの見直し」に関する規定に基づき、個人情報に対する意識の高まり、国際化やテクノロジーの進化に即した保護と利活用のバランスなどの論点を反映させたものに、定期的に見直されることになっています。
コロナ禍を契機に進んだリモートワークは、働く場所が多様化、デジタルデバイスもモバイルPC、スマホなどにシフトしています。従来の個人情報保護の基準ではカバーし切れない部分を、今回の改正では網羅し、個人情報の取り扱い基準を厳格化、事業者への罰則も非常に厳しいものになります。
対岸の火事と捉えていた企業にとっても、正面から向き合わざるを得ないものになる個人情報保護法。備えあれば患いなし。改正前に是非おさえておきましょう。
そして、法改正についてカバーするとともに、備えとなるソリューションもインプットしていただきたいと思います。オフィス移転支援や、内装デザインなどでお馴染みのFRSでは、じつは、個人情報保護法に関連するソリューションも多彩。わたしたちは、
物件探しから働き方改革まで。
オフィスのこと、ぜんぶ。
と謳っています。そんなわけで、今回のコラムでは、前半で改正のポイントを分かり易く整理してお届けし、後半でFRSが自信をもっておススメするソリューションを紹介させていただきます。ご期待ください!
改正個人情報保護法の概要
まず、国会への法案提出から施行までのスケジュールはこちら。本年内に法定刑の引上げ実施が予定されています。
| 令和2年 3月10日 | 「個人情報の保護に関する法律等の一部を改正する法律案」が通常国会に提出 |
| 令和2年 6月 5日 | 同法が国会において可決 |
| 令和2年 6月12日 | 「個人情報の保護に関する法律等の一部を改正する法律」として公布 |
| 令和3年12月12日 | 法定刑(ペナルティ)の引上げ実施 |
| 令和4年 4月 1日 | 全面施行 |
今回の改正個人情報保護法のポイントは、大きく分けると以下の6点に集約できそうです。
ポイント1 「個人の権利の在り方」が変わる
ポイント2 「事業者が守るべき責務」が追加される
ポイント3 「企業の特定分野(部門)を対象とする団体を認定できる」ようになる
ポイント4 「データの利活用に関する施策」が変わる
ポイント5 「ペナルティ」が強化される
ポイント6 「外国の事業者も報告徴収・立入検査などの対象」になった
このうち、ポイント1、ポイント2、ポイント5が特におさえておきたいポイント。それぞれを個別にみていきたいと思います。まずは頻出するいくつかの用語を以下に整理しておきます。
| 個人情報保護委員会 | 平成28年に設置された、個人情報が正しく利用・管理されるように基本方針を定めたり、指導・監督などを行なう内閣総理大臣の所轄に属する行政機関 |
| 事業者 | (このコラムの文脈では)個人情報を取得し、保有・利用する個人または法人 |
| 本人 | (このコラムの文脈では)個人情報を第三者に取得された個人 |
| 認定個人情報保護団体 | 個人情報保護法の制度で、適切な情報の取り扱い・保護を推進するため、個人情報に関する情報提供や苦情の処理を行なう民間事業者として認定された団体 |
ポイント1 「個人の権利の在り方」が変わる
- ▽保有個人データの目的外利用・不正取得に加え、事業者が不要になったとき、漏えいが生じたとき、本人の権利や利益が害されるおそれがある場合に、利用停止・消去等を請求できるようになる
- ▽保有個人データの開示方法を、本人が指示できる(現行法では、原則として書面による交付)
- ▽個人データの授受に関する第三者提供記録を、本人が開示請求できる
- ▽6ヶ月以内に消去する短期保存データも「保有個人データ」に含め、開示・利用停止等の対象にする
- ▽個人データの授受に関する第三者提供記録を、本人が開示請求できるようになる
本人が開示請求できる個人データの範囲が広くなり、開示する手段も指定できるようになります。
ポイント2 「事業者が守るべき責務」が追加される
- ▽漏えい等の発生時、個人情報保護委員会への報告、及び本人への通知が義務化される
- ▽保有個人データの開示方法を、本人が指示できる(現行法では、原則として書面による交付)
- ▽違法、または不当な行為を助長する等の不適正な方法により個人情報を利用してはならないことが明文化される
従来の法では個別企業の対応に委ねられていた個人データの漏えい時の委員会・本人への報告義務、個人データの不適切利用の禁止が明文化されました。
ポイント3 「企業の特定分野(部門)を対象とする団体を認定できる」ようになる
- ▽事業者の特定の事業における個人情報の取扱いを対象とする団体を認定することが可能となる
従来は、事業者の扱う全ての個人情報等の取扱いを対象とする団体を認定する制度でしたが、今回の改正では、特定の事業、分野、部門を対象とする団体に対して認定を行なうことができるようになりました。このことで、専門性を生かした個人情報保護に関する取り組みが期待されています。
ポイント4 「データの利活用に関する施策」が変わる
- ▽他の情報と照合しない限り個人を特定できないよう加工して得た個人データについて、開示請求・利用停止請求等への対応が緩和される
- ▽提供先で個人データとなることが想定される場合の、本人の同意が得られているか等の確認義務が生じる
ここでは、一方は「他の情報と照合しない限り個人を特定できない場合は緩和」となっており、他方では「提供先で個人データになり得るのなら本人の同意を取得せよ」と言っています。前者の場合は、収集時点で個人データの特定ができないように考慮された場合を指しており、後者は、提供先で保有している他の個人データと突合させることで個人データが出来上がる場合を指しています。
ポイント5 「ペナルティ」が強化される
- ▽個人情報保護委員会による命令違反・委員会に対する虚偽報告等の法定刑が引き上げられる
- ▽個人と法人の視力格差を勘案し、法人に対しては行為者よりも罰金刑の最高額が引き上げられる
法人による命令違反、不正提供については1億円以下の罰金刑となります。
ポイント6 「外国の事業者も報告徴収・立入検査などの対象」になった
- ▽日本国内で個人情報を取り扱う外国の事業者も、報告徴収・立入検査などの対象となる
従来の法では、報告義務や立入検査などは外国の事業者は適用外でした。今回の改正で、いわゆる治外法権が撤廃され、日本法人と同様の取り締まりを行なうことができるようになります。
以上、改正個人情報保護法の6つのポイントを整理しました。罰金については、故意か過失かは論点になっていません。正しく理解したうえで利用しないと、事業存続が危ぶまれる事態に発展することも…。
後半では、個人情報保護に一役買ってくれそうなソリューションを紹介いたします。
FRSのリコメンドするソリューション
ここでは、厳選した3つのカンタンに導入できるソリューションを、ひとつずつ紹介させていただきます。
GIGAPOD5(ギガポッド・ファイブ)
金庫と鍵は、分けて保管しましょう。
情報漏えいの原因で、殿堂入りしそうなほど常に上位を占めるのが、誤送信や添付ファイルの間違いなど、メールに端を発するもの。そんな課題を解決してくれるのが、カンタンに、セキュアに移行できる次世代オンラインストレージ「GIGAPOD5」。
平井卓也デジタル改革担当相は11月24日の会見で、メールでパスワード付きファイルを送り、パスワードを別送する方法(いわゆるPPAP)について、26日から内閣府、内閣官房で廃止すると発表(中略)平井氏は会見で、PPAPについて「セキュリティ対策や受け取り側の利便性の観点から適切ではない」として、現在の方法を廃止する意義を改めて説明。
(「ITmediaNEWS」より)
昨秋、平井大臣の発言が大きくニュースに取り上げられたのは記憶に新しいところ。暗号化ファイルと解凍キーが同じメールサーバー上にあるのは、まさしく金庫と鍵が一緒に保管されているようなものです。
「GIGAPOD5」は、パスワードを自動送信されるのではなく、URLリンクや、ゲストフォルダ作成者が手動でパスワードを送信できるため、ショートメッセージ等の別のツールを選択する事が可能です。
チェックポイント「1500」シリーズ
セキュア・パワフル・シンプル
中小企業の多くは、世界各地の経済成長やイノベーションで重要な役割を果たしているにも関わらず、現在見られる高度なサイバー攻撃に対する十分な防御体制を整備できるだけの資源を持ち合わせていません。1500シリーズのリリースにより、中小企業は、業界トップクラスの脅威防御機能と操作性を兼ね備えたエンタープライズグレードの防御システムを導入することができます(チェックポイント「1500」)
シリーズ製品紹介サイトより
新たな手法が毎日のように生まれるサイバー攻撃。そのすべてをPCのセキュリティソフトだけ防ぐことは、現状では困難です。
チェック・ポイント「1500」シリーズ UTM(統合脅威管理)は、PCにマルウェア(ウイルス)が侵入する前に、ネットワークの出入口で脅威を止めるUTMアプライアンス。ファイアウォールはもちろん、メールやインターネットから侵入するさまざまな脅威の防止を業界最高水準で実現。モバイルからネットワークセキュリティを管理するアプリや、直感的に操作できる管理画面、脅威情報の自動レポート化など、ユーザーに寄り添った機能が充実しています。
LanScope
「安全と生産性の追求」を実現する統合型エンドポイントマネジメント
企業の生産性を高め、同時に大切な情報資産を守るためには、PCやスマホなどの「エンドポイント」を管理することが重要。なぜなら、IT資産管理、内部不正対策、外部脅威対策の全てと密接に関係し、最もリスクにさらされているものがエンドポイントだから。しかし、それらの管理には複数のツールを組み合わせる必要があり、その運用はますます複雑化しています。
「統合型エンドポイントマネジメント」LANSCOPE オンプレミス版 は、これらを統合管理する事で、シンプルで効率的なITマネジメントを実現します。
まとめ
今回は、改正個人情報保護法について整理しました。改正のポイントで、特に皆さんの事業に関連する部分については、潜在リスクの有無をご確認ください。
繰り返しになりますが、広く関係してきそうなのは、
ポイント1 「個人の権利の在り方」が変わる
ポイント2 「事業者が守るべき責務」が追加される
の2点です。
「ありそうだけど、判断しかねるぞ…」
「何らかの対策が必要そうだけど…」
そんなときは、ご遠慮なくFRSにお問い合わせください。
最後まで読んでいただきありがとうございました!
(著:FRS広報チーム)
参考資料
・パスワード付きzip、内閣府と内閣官房で26日から廃止へ(ITmediaNEWS)