※本記事は2022年4月27日に公開されたCybereasonのブログ『いよいよ施行された改正個人情報保護法、おさえておくべきポイントは？』から抜粋・再編集しています。

2005年4月に施行された個人情報の保護に関する法律、いわゆる『個人情報保護法』。
現行の法令に対し改正が行なわれ、2022年4月から『改正個人情報保護法』として施行されました。個人情報・個人データに関して取り扱いがある場合は、改正内容に応じた措置が必要になります。

この記事では、改正個人情報保護法に適応するためのポイントを解説します。

2022年4月施行 改正個人情報保護法に適応するためのポイント

2022年4月に施行された改正個人情報保護法において、企業がしなければならない対策は大きく次の6つとされています。

1. 漏えいの報告・本人通知の手順整備
2. 外国の第三者への提供有無の確認
3. 安全管理措置の公表
4. 保有個人データの開示請求に対する準備
5. 個人情報の利活用適正化
6. 個人情報の利用状況および提供先の確認

次項から変更点についてそれぞれ解説します。

漏えいの報告・本人通知の手順整備

個人情報の漏えいが発覚した際の報告や本人への通知は、改正前は“努力義務”とされていましたが、今回の改正により“義務化”になっています。

個人の権利利益を害するおそれが大きい、漏えい等の事態が発生した場合等に、個人情報保護委員会への報告及び本人への通知が義務化されます。

出典：個人情報保護委員会『改正個人情報保護法対応チェックポイント』『令和２年改正個人情報保護法 政令・規則の概要』『個人情報の保護に関する法律についてのガイドライン（通則編）』

報告対象の事案としては次の4つのケースです。

①要配慮個人情報の漏えい
②財産的被害が発生するおそれがある場合
③不正アクセス等故意による漏えい
④1,000人を超える漏えい

上記に該当する漏えいが起こった際、あるいは漏えいしたおそれがある際は、漏えいした個人情報の項目や件数、原因、再発防止を図るための措置などを、速報・確報の2段階で個人情報保護委員会に報告する必要があります。
速報は3～5日以内、確報は30日以内（③は60日以内）という期限も設定されていることから、速やかな状況把握ならびに報告体制をつくることが重要です。

特に③の不正アクセスに関しては、手動でアクセスログを確認するといった方法では大幅な調査時間を要してしまうため、リアルタイムで不正を検知できるシステムの導入なども検討する必要があると考えられます。

外国の第三者への提供有無の確認

グローバル化に伴い、日本に在住する国民の個人情報を、海外の企業や事業者が取得・管理するケースが増えています。これにより、改正後は次のように義務付けが追加されています。

画像出典：個人情報保護委員会『改正越境移転ルールの施行に向けて』

外国にある第三者への個人データの提供時に、提供先の第三者における個人情報の取扱いに関する本人への情報提供の充実等が求められます。

出典：個人情報保護委員会『改正個人情報保護法対応チェックポイント』『改正越境移転ルールの施行に向けて』

具体的には、次のような対応が必要です。

▼あらかじめ本人の同意を得て個人データを提供する場合

画像出典：個人情報保護委員会『改正越境移転ルールの施行に向けて』

▼個人情報保護委員会が定める基準に適合する体制を整備している者に対して個人データを提供する場合

画像出典：個人情報保護委員会『改正越境移転ルールの施行に向けて』

なお、外国の第三者への“提供”とは、物理的な提供以外も含まれ、ネットワークの利用により、個人データを利活用できる状態にあれば提供にあたるとされています。

安全管理措置の公表

個人情報の取得にあたっては、これまで事業者の名称や利用目的、開示請求の手続き、苦情の申し立て先などが公表事項として定められていましたが、改正により『安全管理のために講じた措置』についても公表が義務化されました。

どのような安全管理措置が講じられているかについて、本人が把握できるようにする観点から、原則として、安全管理のために講じた措置の公表等が義務化されます。 外国において個人データを取り扱う場合、当該外国の個人情報の保護に関する制度等を把握した上で、安全管理措置を講じる必要があります。

出典：個人情報保護委員会『改正個人情報保護法対応チェックポイント』『令和２年改正個人情報保護法ガイドライン（案）について』『個人情報の保護に関する法律についてのガイドライン（通則編）』

公表が必要な内容としては次の事項が挙げられます。

• 基本方針の策定
• 個人データの取扱いに係る規程の整備
• 組織的安全管理措置
• 人的安全管理措置
• 物理的安全管理措置
• 技術的安全管理措置

なお、公表内容については、「『個人情報の保護に関する法律についてのガイドライン（通則編）』に沿って安全管理措置を実施している」という内容は適切ではないとされているため、各社個別に判断する必要があります。

保有個人データの開示請求に対する準備

改正前は、6ヶ月以内に消去する個人データについては開示請求の対象外とされていましたが、改正により開示請求の対象になっています。

６か月以内に消去するデータについて、開示請求の対象となります。また、個人データを提供・受領した際の記録も開示請求の対象となります。開示方法については、本人が指示できるようになります。このほか、本人による保有個人データの利用停止・消去等の個人の請求権が拡充されました。

出典：個人情報保護委員会『改正個人情報保護法対応チェックポイント』

ただし、プライバシーマーク（Pマーク）を取得する要求事項である「JIS Q 15001個人情報保護マネジメントシステム」においては、従来より、6ヶ月以内に消去する個人データも開示請求に対応するよう定めが設けられていたため、Pマークの基準を遵守している場合は特段の対応は必要ないという見方もされています。

個人情報の利活用適正化

改正前は、個人情報を「適正に取得すべき」とされていましたが、改正後はこれに加えて「不適切な利活用の禁止」も義務化されています。

違法な行為を営むことが疑われる事業者に、違法又は不当な行為を助長するおそれが想定されるにもかかわらず、個人情報を提供すること等、不適正な方法により個人情報を利用することが禁じられることが明確化されます。

出典：個人情報保護委員会『改正個人情報保護法対応チェックポイント』『令和２年改正個人情報保護法ガイドライン（案）について』

不適切な利活用とは、違法または不当な行為を指し、具体的には次のような事項が該当します。

• 個人情報保護法その他の法令に違反する行為
• 直ちに違法とは言えないものの、個人情報保護法その他の法令の制度趣旨や公序良俗に反している等、社会通念上、適正とは認められない行為

該当するリスクがないかの確認ならびに、適正化を図ることが重要です。

個人情報の利用状況および提供先の確認

以下の図のように、A社で取り扱う分には個人データには該当しないものの、提供先となるB社では「個人データとして取得することが想定される」といった場合、B社への情報提供において本人の同意を得ることが義務化されています。

画像出典：個人情報保護委員会『令和２年改正個人情報保護法ガイドライン（案）について』

個人関連情報の第三者提供の制限等として、提供元では個人データに該当しないものの、提供先において個人データとなることが想定される情報の第三者提供について、本人同意が得られていること等の確認が義務付けられます。
個人関連情報には、端末識別子を通じて収集されたサイト閲覧履歴や、商品購買履歴、位置情報等が該当します（なお、これらの例でも、個人情報に該当する（特定の個人を識別できる）ものは、個人関連情報にはあたりません。）。

出典：個人情報保護委員会『改正個人情報保護法対応チェックポイント』

個人関連情報に該当する以下項目について、第三者への提供があるかどうかの確認ならびに提供がある場合は同意を得るための仕組みが必要です。

• Cookie等の端末識別子を通じて収集された、ある個人のウェブサイトの閲覧履歴
• ある個人の商品購買履歴・サービス利用履歴 
• ある個人の位置情報

まとめ

この記事では、改正個人情報保護法に適応するためのポイントについて解説しました。
個人情報保護委員会では、「まずはここから」として、今回取り上げたうち次の3つの対応を促進しています。

1. 漏えいの報告・本人通知の手順整備
2. 外国の第三者への提供有無の確認
3. 安全管理措置の公表

安全管理措置の公表について検討するとともに、漏えいの報告・通知や外国の第三者への提供については、あらためて不正アクセスへの対策をはじめとするセキュリティ強化が重要視されます。個人情報を守るためにも、迅速な対応が必要です。

速やかな状況把握と強固なセキュリティを実現する『Cybereason EDR』

『Cybereason EDR』は、ネットワークの常時監視をすることにより、不正アクセスを含むサイバー攻撃をリアルタイムで検知できるシステムです。
検知に留まらず、攻撃に関する詳細を管理画面上で容易に確認できるため、報告が義務化された速報・確報の公表にあたって迅速な情報収集を可能にします。
導入をお考えの方は、伊藤忠テクノソリューションズへご相談ください。