損害保険から生命保険まで。保険の事なら京都市西京区の保険代理店「ミックコーポレーション」にお任せ下さい

【2022年】個人情報保護法改正~知っておくべき6つのポイント【対策あり】

2022年4月、改正個人情報保護法が施行されました。
この法律はデジタル社会の進歩に対応するため3年ごとに見直しをするルールがありますが、今回の改正では

①個人情報の保護強化
②企業の個人データの活用促進

 

という2軸の狙いがあると捉えるわかりやすいかと思います。
今回は、普段聞きなれない方でも理解しやすいようにコメントもいれつつ、わかりやすくまとめてみました。

当然、法改正ではあるので企業の責任は重くなり、ペナルティも強化されますので、まずは内容の確認と今後のとるべきと対応を整理しておきましょう。

かくいう保険業界でも個人情報流出は起きています。
アフラック、130万人分の個人情報流出 チューリッヒは75万件

【本記事を読んでほしい人】
・個人情報を取り扱っている経営者、企業担当者
・個人情報保護法改正のポイントを簡単に知りたい人
・個人情報保護法改正に伴う対応を知りたい人
【本記事の内容】
・個人情報保護改正の6つのポイント
・個人情報保護法改正で企業が取るべき対策
・まとめ

※できるだけシンプルにまとめました

 

この記事を書いている私は損害保険プランナー。
日々、様々なリスクを抱えている中小企業様のリスクコンサルタントをしています。
私は弁護士さんではないので、法律の専門家でもなく法律業務は行えませんが、普段から法律に触れる機会も多いので、一般的な理解の解説として見て頂けますと幸いです。

できるだけ”わかりやすく”まとめましたので、最後まで見ていってくださいね。

 

 

個人情報保護改正の6つのポイント

2022年4月の個人情報保護法改正は大きく6つのポイントに分かれていますので、ポイントごとに内容を確認しましょう。
※実際の条文とは異なりますので、正しく詳しく知りたい方は個人情報保護委員会のサイトでご確認ください。

 

ポイント1:個人の権利を強化

・6か月以内に消去される「短期保存データ」も保有個人データとみなされる
・事業者の違反行為がない場合でも、事業者に対して個人情報利用の停止や消去を請求ができる
・保有個人データの開示請求で、書面だけでなくデジタルデータでの提供を含めた開示を指定できる
・第三者提供記録が、本人による開示請求の対象となった

マイナンバー制度も始まり、データで個人情報を取り扱い機会も増えたことでデータに関するルールが改正されました。
データ管理は便利な分、不正な情報取得や漏えいするリスクも高まる可能性があります。

そのため、例えば「この企業の商品は使わなくなったし解約しよう。個人情報も必要なくなるので消してもらおう」など、ユーザー側が企業にデータの消去を請求できるようになったのは、リスク軽減という視点でもすごくよい改正ポイントかなと思います。

 

ポイント2:事業者の守るべき責務の追加

・個人情報の漏えい等の発生時は、委員会と本人への通知の義務化
・違法または不当な行為を助長する等の不適切な方法による、個人情報の利用をしてはいけない

個人情報の漏えい時には、本人への通知が義務化されることで、企業は言い逃れができなくなりますね。

もし本人の電話番号も住所も古くて通知ができない場合は、ホームページで問い合わせ窓口を設けるなどの代替案も良いようですが、いずれにしても公にする必要があります。
当たり前のことかもしれませんが、ルール化されたことで企業責任は今まで以上に重くなります。

 

ポイント3:企業の特定分野を対象とする認定団体を選定可能に

・事業者は特定の事業単位(部門)を個人情報の取扱いを対象とする団体を認定することが可能

様々な事業を行っている会社は、対象事業者のすべての分野を対象とするものでしたが、個人情報を取り扱っている特定の事業(部門)単位で団体認定を受けられるようになりました。会社全体での対応ではない分、スピード感は出そうですね。

 

ポイント4:データ利活用の促進

・「仮名加工情報」が新設され、より柔軟に個人データを扱うことができるようになりました。
・cookieなど「個人関連情報」を第三者が取得し、個人データとなることが想定される場合には、提供元の事業者は、本人の同意が得られているか等を確認する必要がある。

ここがやや難しいポイントですが、主には企業側に関わる法改正です。

「仮名加工情報」は「他の情報と照合しない限り、特定の個人を特定できないように情報を加工して得た個人に関する情報」です。
こういった「仮名加工情報」は個人情報保護法の一定のルールの適用を免れるようになるので、企業側にとっては負担軽減になりそうですね。
冒頭でお伝えした「企業の個人データ活用の促進」という軸での改正ポイントです。

 

一方で、個人情報、仮名加工情報、匿名加工情報のいずれにも該当しない「個人関連情報」は制限が出てきます。
例えばWEB広告などでも活用されてる「Cookie」のような情報で、第三者に渡す際には本人の同意が必要になります。

「この人は洋服のページを見たから、洋服のWEB広告を出してみよう」といったようにネット社会に生きる私たちの行動履歴は、以前まではアプリやブラウザを通して自由に活用されていましたが、アップルやgoogle社でもcookie規制も始まっており、個人情報保護法の改正でもより縛りが強くなりました。

cookie規制について知りたい方は以下の記事などが参考になるかと思います。
サードパーティcookieとは? Apple・Googleの規制による影響を解説

 

ポイント5:ペナルティの強化

・法人に対する罰金刑の上限額が引き上げられました。
<改正前後の法定刑の比較(法人の場合)>
カテゴリ 現行法 新法
個人情報保護委員会からの命令への違反 30万円以下の罰金 1億円以下の罰金
個人情報データベースの不正な流用 ​50万円以下の罰金 1億円以下の罰金
個人情報保護委員会への虚偽報告等 ​30万円以下の罰金 50万円以下の罰金

 

責任を重さを罰則で釣り上げたという感じですね。
違反の場合のペナルティではあるので、ルールにしたがって個人情報を取り扱いましょう。

 

ポイント6:外国の事業者や海外サーバーなども規制対象に

日本国内に居住する人の個人情報を扱っている外国事業者についても、報告徴収・命令の対象となった

冷静に考えると、個人情報の貴重さに国内、海外は関係ないですからね。
今までが回避できていたのがやや不思議な感じもしますが、今後は海外事業者も個人情報保護法の対象となります。

 

 

 

以上が6つのポイントでした。

①個人情報の保護強化
②企業の個人データの活用促進

という狙いが見えてくる内容だったと思いますので、改めてご自身の中でも狙いと内容を整理しておきましょう。

 

 個人情報保護法改正で企業がして置おくべきこと

個人情報や機密情報は、一度でも流出すると回収することは困難です。
さらには企業の信頼回復となると、さらに時間も労力もかかるでしょう。
最悪、回復できない時には倒産リスクも出てきます。

前半ではザッとポイントを見てきましたが、今回の個人情報保護法改正でしておくべきことも整理してみました。

 

まずは個人情報の棚卸し

個人情報を保有している企業は、個人情報の活用の棚卸しを行い、全社の個人情報の取扱い業務において「不適正な利用」に該当する事例が無いか確認しましょう。

今回の個人情報保護の改正のポイント2でもご紹介した「違法又は不当な行為を助長し、又は誘発するおそれ」があると一般的に見られてしまうようなことも禁止されましたので、まずは現状把握をすることが大切です。

 

社員への周知と意識改革

このブログを読んでくださっている方には、

「個人情報保護法改正のことを初めて聞いた」
「今までは法改正の内容がよくわからなかった」

 

という方もいるかと思います。

普段の業務であまり法律に関わりのない社員の方ではより一層難しいかと思いますので、まずは個人情報保護法が改正されること、また具体的なポイントに絞って簡単に説明、理解を促すことが必要です。

 

個人情報保護員会の方でもそういったニーズがあることを察知してか、具体的なポイントがまとまった資料もありますのでぜひ見てみてくださいね。
シンプルにまとまっていて、とてもわかりやすいです。
個人情報の保護に関する法律等の一部を改正する法律(概要)

とはいえ、いきなり聞き慣れない法改正の話をされても「ぽかーん」となる方もいらっしゃるでしょう。私もいきなりプログラミングの話とかされても、何も理解できないです笑

ですので、本記事を参考にして頂いたり、

・近年はメールの誤送信のような「うっかりミス」だけでなく、サイバー攻撃による個人情報漏洩などリスクも複雑化している。
・Cookieを始めとするトラッキング技術にも、規制が入っている。
・一度、個人情報漏洩をしてしまうと信頼、金銭と多大な損失が起きる

など、社会情勢や身の回りの環境も踏まえ説明すると良いかと思います。
また、社員一人ひとりの日々の職務に照らし合わせ、自身の業務中に発生しやすいリスクという切り口でお話すると自分事化して聞いてくれるのではないでしょうか。

 

自社内のマニュアルを整備し、運用ルールを周知する

地味ですけど、大きな費用もかからないのでめちゃくちゃ重要なポイントです。

・社員の業務マニュアル整備
・リモートワークにおけるパソコンの持ち出しに関するチェック
・1ヶ月1回のパスワードの徹底
・E-ラーニングの実施
・入退室の管理
・メール送信時のチェック

など、ヒューマンエラー(人的ミス)の領域や、アナログなセキュリティ対策できる部分はたくさんありますので、まずは身近なところから始め、意識改革とルールの安定稼働を目指しましょう。

 

 

最悪の情報漏洩時の対策もしておく

個人情報漏洩はうっかりミスだけでなく、デジタル領域からも漏洩することもあります。
特に、近年はサイバー攻撃が増えていることもあり、セキュリティ対策をしている会社様も多いかと思いますが、それでも完全に防ぐことはできません。

「もし、情報漏洩をしてしまった時にどのように対応しますか?」

と言われると、

「どうしたらいいかわからない・・・」とい方も多いかと思います。

 

そのため、サイバー保険で金銭や専門コンサルタントを準備しておくのも手です。
PCでのログ確認・原因調査、メディア対応、コールセンターの設置と普段の業務ではしていないことも多く出てきますので、リスク対策として保険会社にアウトソースするのはいかがでしょう。
と、私が保険マンであるので一つご提案だけさせていただきます笑

でも真面目な話、個人情報の漏えい事故時に困らないためにも事故時の準備をしておくことは大切です。本日の本題ではないので、詳しく知りたい方はぜひお問い合わせくださいね。

 

まとめ

いかがでしたでしょうか。

個人情報保護法は「①個人情報の保護強化」「②企業の個人データの活用促進」のバランスを図るための法律なので、今後も社会情勢や技術の進歩に合わせて都度変更されるでしょう。

その度、従業員に説明をしたとしても「法改正とか難しくよくわからない!」と煙たがる人も出てくるかと思いますが、企業運営する上では切っても切れない重要なことです。

特にお客様の大切な個人情報となると、漏えい事故が起きた時には訴訟にもつながりかねません。まずは本記事で紹介させていただいた内容からでもぜひ取り組んでみてください。

 

みんなが気になる「お金」「保険」にまつわる情報発信!
>無料相談のご予約はこちら

無料相談のご予約はこちら

企業様からご家庭まで。生命保険から損害保険まで。お客さまにマッチした保険をご提供します。保険の新規加入、ご相談をご希望の方はお気軽にご連絡ください。

CTR IMG