IT技術の進歩とともに取り扱う個人情報の量が増加し、個人情報保護法も3年ごとに見直すことが要求されています。
2020年には取り扱い方法やペナルティが改正され、2022年から改正個人情報保護法が施行となりました。
今回は、2022年から施行される改正個人情報保護法のポイントについて、弁護士の横山経通先生の意見を基に解説していきます。
弁護士:横山 経通(よこやま つねみち)
所属事務所:森・濱田松本法律事務所
プロフィール:https://www.mhmjapan.com/ja/people/staff/540.html
個人情報保護法とは?
個人情報保護法とは、氏名や生年月日、住所、顔、会社などの「個人が特定できる情報」の取り扱い方法を定めた法律です。
個人情報の保護以外にも、個人情報を有効に活用することも目的とし、個人情報の取得や利用に対するルールが定められています。
詳しくはこちら
仮名加工情報の新設で個人情報活用の幅が広がる!
2022年4月施行の改正個人情報保護法の施行により、これまでの「統計情報」や「匿名加工情報」に加え、新たに「仮名加工情報」が定義されました。
匿名加工情報と仮名加工情報は、どちらも個人を識別できないように加工した情報ですが、
加工方法に違いがあります。
- 「匿名加工情報」は、個人情報を復元できないようにした加工情報
- 「仮名加工情報」は、他の情報と照合しない限り、特定の個人を識別できないようにした加工情報
です。
仮名加工情報は、例えば「氏名・性別・生年月日・利用履歴」といった個人データから、
氏名だけを削除し、そのデータだけでは個人が特定できなくしたものです。
近年では、Webを使った集客や広告を運用する企業が増加しており、取り扱う個人情報の量も増えています。
その中で、事業者の中で氏名を仮名化して、マーケティング分析に個人情報を活用する事例がみられたことが背景にあります。
日本以上に個人情報の取扱いが厳しいEUにおいて、個人情報を取扱うことは前提としたうえで、
規制を緩めた取扱いを認める「仮名化」が規定されました。
国際的にも、その流れを踏襲する流れになっていることが、仮名加工情報の新設につながっています。
仮名加工情報の新設は、大量の個人情報を取り扱う企業に対し、情報利用の幅を広げることにつながります。
その反面、仮名加工情報は第三者に提供することはできません。
匿名加工情報と仮名加工情報、ふたつの加工情報の特性や禁止事項を理解し、
個人情報保護法を遵守して、安全性を確保できる管理体制を整えたうえで、加工情報を取り扱いましょう。
漏えいした場合は報告と通知が必要
(情報漏えいの報告及び通知が義務化)
改正個人情報保護法により、個人データの漏えいが発生した場合の報告義務及び通知義務が追加されました。
背景として、Webを使った集客やサービス提供が進んだことで、情報のデジタル化も進み、不正アクセスにより情報が漏えいするケースが増えてきたことが挙げられます。
これまでの個人情報保護法では、報告義務がないことから、積極的に情報漏えいを報告しない事業者も存在していました。
そのため、監督機関であるはずの個人情報保護委員会が実態を把握できず、
適切に対応できない可能性があることから、漏えいの報告及び通知が義務化される運びになりました。
漏えいの報告対象となるのは以下の事例です。
【報告対象となる事例】 | 【具体的な事例】 |
(1)要配慮個人情報が含まれる個人データの漏えい | ・従業員の健康診断結果を含んだ個人データが漏えいした |
(2)不正利用により財産的被害が生じるおそれがある個人データの漏えい | ・決済可能なWebサービスのIDとログインパスワードが漏えいした |
(3)不正の目的をもって行われたおそれがある個人データの漏えい | ・不正アクセスにより個人データが漏えいした
・コンピューターウイルスにより個人データが暗号化され、復元できなくなった ・個人データが記載された書類が盗難された |
(4)個人データにかかる本人の数が1,000人を超える漏えい | ・システムの誤操作及び設定ミスにより、1,000 人以上の個人データがインターネット上で公開された |
参考:改正個人情報保護法 施行規則 6条の2
個人情報保護委員会へ報告する事項は以下になります。
【報告する事項】 | 【報告する内容】 |
(1)概要 | 当該事態の概要について、発生日、発覚日、発生事案、発見者、規則第6条の2各号該当性、委託元及び委託先の有無、事実経過等を報告する。 |
(2)漏えい等が発生し、又は発生したおそれがある個人データの項目 | 漏えい等が発生し、又は発生したおそれがある個人データの項目について、媒体や種類(顧客情報、従業員情報の別等)とともに報告する。 |
(3)漏えい等が発生し、又は発生したおそれがある個人データに係る本人の数 | 漏えい等が発生し、又は発生したおそれがある個人データに係る本人の数について報告する。 |
(4)原因 | 当該事態が発生した原因について、当該事態が発生した主体(報告者又は委託先)とともに報告する。 |
(5)二次被害又はそのおそれの有無及びその内容 | 当該事態に起因して発生する被害又はそのおそれの有無及びその内容について報告する。 |
(6)本人への対応の実施状況 | 当該事態を知った後、本人に対して行った措置(通知を含む。)の実施状況について報告する。 |
(7)公表の実施状況 | 当該事態に関する公表の実施状況について報告する。 |
(8)再発防止のための措置 | 漏えい等事案が再発することを防止するために講ずる措置について、実施済みの措置と今後実施予定の措置に分けて報告する。 |
(9)その他参考となる事項 | 上記の(1)から(8)までの事項を補完するため、個人情報保護委員会が当該事態を把握する上で参考となる事項を報告する。 |
参考:個人情報保護法ガイドライン(通則編)
改正により、速報は3~5日、確報は30日以内と、報告期日が明確にされました。
事業者は、漏えいさせないよう安全管理の体制を整備しておくことが必要です。
EUでの個人情報の取り扱い
個人情報を取り扱う場合、2018年5月にEUで施行されたGDPR(EU一般データ保護規則)にも注意が必要です。
GDRRは、EU加盟国にアイスランド・ノルウェー・リヒテンシュタインを加えた「欧州経済地域(EEA)」に適用される法令です。
例えば、EEA居住者が日本企業のWebサイトを利用する場合、
日本企業はGDRRを遵守する必要があります。
EEAに支店を持つ日本企業は、
現地従業員の個人情報をGDRRに遵守した管理をしなければなりません。
この対象には企業の規模は関係ありません。中小企業や零細企業も対象となります。
GDRRは、日本の個人情報保護法以上に厳格で、漏えいしたときの72時間以内の通報義務や巨額の罰金刑があります。
2019年にはGoogleが約62億円の罰金を科されました。
Webを活用した事業は、世界中とつながることでビジネスチャンスが広がる反面、
個人情報の取り扱いには世界標準の管理が求められています。
個人情報を取り扱う本質は変わらない
個人情報保護法とは「個人が特定できる情報」の取り扱い方法を定めた法律です。
今回の改正により、新たに「仮名加工情報」が定義されました。
仮名加工情報は、他の情報と照合しない限り特定の個人を識別できないようにした加工情報です。
仮名加工情報の新設により、情報利用の幅を広げることにつながるでしょう。
今回の改正では、個人データの漏えいが発生した場合の報告義務及び通知義務も追加されています。
個人情報保護委員会の命令に違反した場合は、最大1億円の罰金になる可能性もあるため、
事業者は、漏えいさせないよう安全管理の体制を整備しておくことが必要です。
また、「欧州経済地域(EEA)」に適用されるGDRRにも注意が必要です。
Webサービスの普及により、ビジネスのチャンスは世界中に広がりました。
世界中の地域や人々が対象になる以上、GDRRも遵守する必要があります。
しかし、正しく個人情報を取り扱ってさえいれば問題ないはずです。
日本であれEEAであれ、個人情報を取り扱うことの本質は同じです。
改正個人情報とGDRRを理解し、自社の個人情報を正しく取り扱いましょう。