改正(※1)個人情報保護法が全面施行されたことを受け、6つの改正ポイントを解説します。
さらに、中小企業がとくに意識した方が良い点を、サイバーセキュリティを取り扱う蔦 大輔弁護士にお伺いしました。
(※1)主に2020年の改正を指します。個人情報保護法は、2021年にも改正され、その改正は2023年4月に施行されていますが、2021年の改正は、民間企業への影響はそこまで大きくありませんので割愛しています。
以下の5点について、権利保護が強化されました。
しかし、この項目はプライバシーマークの審査基準を遵守している場合は、6か月以内に削除されるデータも開示請求などに対応することが定められているため、改正の影響はあまりないはずです。
旧法…第三者提供記録は、本人による開示請求の対象外。
新法…第三者提供記録が、本人による開示請求の対象として追加。
事業者の責務が追加されたのは「漏えい時の報告義務」「不適正な利用の禁止」の2点です。
より一層明確な意図を持って運用することが求められることになりました。セキュリティの観点では、実務上のインパクトが最も大きい改正ではないでしょうか。
旧法では、認定団体制度は、対象事業者の全ての事業・業務において、適正に個人情報等を取り扱う団体を認定する制度でした。
今回の改正では、対象事業者の事業・業務のうち、特定の事業・業務に限定して認定を行うことが可能となりました。
これにより、事業ごとの専門性を生かした個人情報の保護のための取り組みなどができるようになります。
「仮名加工情報」について事業者の義務を緩和すること、及び提供先で個人データとなることが想定される場合の確認義務を新設することで、データの活用促進を促しています。
措置命令・報告義務違反の罰則の法定刑と、法人に対する罰金刑の改正により、法人の罰金は最大1億円にまで引き上げられました。
違反行為に対する実効性を確保するための厳罰化が改正の趣旨です。この改正による違反行為の抑止が期待されます。なお、2023年9月に、個人情報保護報違反で初の逮捕事例が出ており、その後相次いで逮捕事例が出てきています。
今回の改正で、日本国内にある者に係る個人情報などを取り扱う外国の事業者も、罰則によって担保された報告徴収・命令および立入検査などの対象となりました。
ここまで改正のポイントをまとめてきましたが、改めて中小企業が意識しておきたい点を専門家の視点から伺いました。
森・濱田松本法律事務所弁護士。
元内閣官房内閣サイバーセキュリティセンター(NISC)上席サイバーセキュリティ分析官。慶應義塾大学大学院政策・メディア研究科特任准教授。サイバーセキュリティ法制学会理事。
サイバーセキュリティ、個人情報保護・プライバシー、IT・ICTを主たる取扱分野としています。
サイバー攻撃の予防のための取組み及び攻撃を受けた後の対応・サポートはもちろん、従業員の内部不正についての事後対応や訴訟対応、企業向けの啓蒙セミナーなどを行っています。
個人情報保護法改正については、プライバシーマークを取得している企業においては、特別な意識をしなくても基本的な対応ができているかと思います。
しかし、運用していく中で、ついおそろかになりがちなポイントがいくつかありますので、参考にしていただければと思います。
情報のライフサイクルとしては、取得・利用・保管・廃棄が挙げられますが、今日、「廃棄」への注目が高まっているように思います。
「保管」という観点では、保有している個人データの安全管理について明確に意識している企業がほとんどであると思いますが、「廃棄」の観点で申し上げると、不要な情報への対応が杜撰になっているケースがみられるように思います。
個人情報保護法上は、利用する必要がなくなった個人データについては、遅滞なく消去するように努めることとされていますが、「捨てるのも勿体無いから持っていよう」「適切な処分の仕方がわからない」といった理由で保有を続けたり、責任者の異動により、当該情報の要否が判断できないこともあります。
不要な個人情報を保有するというのは、それ自体が漏えいリスクを高めますし、漏えいした際に、「なぜこの情報を持っていたのか」という問いに対する回答に窮することとなります。
保有している情報を定期的に見直し、不要なものは廃棄することが大事です。
また、データの廃棄方法について、適切な手段を選ぶことも重要です。
2019年には、神奈川県でHDDが転売され、その中に含まれていた個人情報等が流出したという事案がありました。
そのHDDは、簡易な初期化(フォーマット)が行われていたようですが、完全なデータ消去がなされていなかったので、転売先で復元ソフトの利用によりデータが復元されてしまいました。
簡易なフォーマットではデータが完全に消えるわけではないということに注意が必要です。
2020年の法改正で、個人データの漏えい等の発生時における、個人情報保護委員会に対する報告義務と、本人通知義務が新たに追加されました。
こちらを甘く考えている中小企業の方も多いと思うのですが、実務上非常に面倒です。
あらゆる個人データの漏えい等について報告等が求められるわけではなく、法令で定められた「報告対象事態」に該当する場合に義務が課されるのですが、サイバー攻撃による個人データの漏えい等は、その報告対象事態の一つですので、義務の対象となります。
また、個人情報保護委員会へ報告する際のフォームには、サイバー攻撃等が原因である場合の、フォレンジックベンダ等の外部機関による調査の実施状況に関する回答欄があり、外部機関による調査を実施した場合には、フォレンジックレポートの提出を求められることが多いです。
次に、本人通知義務も忘れてはなりません。
本人通知については、メールアドレスを保有しているサービスであれば、そのメールアドレス宛に電子メールを送るというのが最も簡便ですが、メールアドレスが古かったりして本人に届かないことがあります。
その場合であっても、電話番号や住所を保有しているのであれば、電話による通知、手紙の発送による通知を試みなければなりません。
また、個人情報保護委員会も、本人通知を行ったかどうかは重要なポイントとして位置づけているように思います。
このように、漏えい等事案への対応については、調査の外部委託、本人通知のためのコスト、その他様々な費用がかかることになります。
近年では、サイバー保険に加入する事業者が増えているようにも思います。
その要因としては、サイバー攻撃による被害が増加しているというものも大きいと思いますが、サイバー攻撃への対応には想定以上のコストがかかるということも要因の一つではないかと思います。
サイバー保険について全く知らない、という方は、一度加入を検討されてみてはいかがでしょうか。
(※メディア注:メディアからのおすすめであって、蔦先生とは関係がありません)
その他の弁護士記事
目次
目次