施行間近!改正個人情報保護法とは
人々の個人情報管理に対する意識の高まりや、技術の進歩に伴う保護と利活用のバランス、データ流通量の増大に伴う新たなリスクへの対応といった観点から、令和2年6月12日に「個人情報の保護に関する法律等の一部を改正する法律」が公布されました。
個人情報保護法とは
個人情報保護法は、個人の権利・利益の保護と個人情報の有用性とのバランスを図るための法律です。
情報技術の進展に伴い、個人情報を利用する場面は著しく増加しています。この背景から、個人情報を適正に取り扱うため、個人情報保護法では基本的な理念や政府による基本方針の作成、ほか個人情報保護に関する施策の基本となる事項を定めています。個人情報を取り扱う事業者の遵守すべき義務をあらかじめ定めることで、個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的としています。
情報漏えいの原因
NPO日本ネットワークセキュリティ協会(JNSA)の「2018年 情報セキュリティインシデントに 関する調査結果 ~個人情報漏えい編~ (速報版)」によると、個人情報漏えいの原因の上位約70%が「紛失・置き忘れ、誤操作、不正アクセス」ということがわかっています。
紛失や置き忘れ、誤操作などは意識付けやルールづくりなどで防ぐほかありませんが、悪意をもった不正アクセスによる情報漏えいについては、企業として対策を講じる必要があります。
参考:
NPO日本ネットワークセキュリティ協会(JNSA)「2018年 情報セキュリティインシデントに 関する調査結果 ~個人情報漏えい編~ (速報版)」
改正個人情報保護法6つのポイント
①個人の権利の在り方
今回の改正で本人が事業者に対して請求できる範囲が拡大します。自身の個人情報がどのように扱われているのかを事業者に問い合わせることが可能となります。
また、本人からの要求があれば情報を開示することを条件に事前の同意なく第三者に情報を提供するオプトアウトの情報も範囲が狭まります。これにより、第三者への個人情報の提供にさらに制限が加わります。
②事業者の守るべき責務の在り方
改正前は、事業者に対して個人情報の利用に対する全般的な規制はありませんでした。しかし、改正後は違法な行為を助長する可能性や誘発する場合は、個人情報の利用を禁止することができるようになります。
さらに、個人情報が漏洩した場合、漏洩したことによる被害が大きいケースでは、国と個人に対して申告をする必要があります。事業者はより一層慎重に個人情報を取り扱う必要がでてきました。
③事業者による自主的な取組を促す仕組みの在り方
個人情報保護の推進を図るため、認定された民間団体の認定個人情報保護団体は、これまで対象事業者のすべての分野を対象とするものでしたが、改正後は、企業の特定分野(部門)を対象とする団体を認定できるようになります。
④データ利活用に関する施策の在り方
改正前は、個人情報を加工して個人情報を利活用できるようにした概念としては「匿名加工情報」だけでしたが、改正後は「仮名加工情報」が加わります。一定の安全性を確保しつつ、個人情報の利活用を促進する観点から、新たに概念が導入されます。
⑤ペナルティの在り方
命令違反や虚偽報告など行った場合に発生するペナルティが厳罰化されます。不正に情報を提供した場合は、法人・個人に関わらず最高1億円の罰金が課せられます。
⑥法の域外適用・越境移転の在り方
改正前は、外国にある第三者に日本国内の情報を提供する際は、以下3点の条件がありました。
- 本人から外国の第三者に提供することにつき同意を取得する
- 外国にある第三者が規則が定める基準に適合する体制を整備する
- 外国にある第三者がPPCが日本と同等水準と認めた国(EU)に所在する
改正後は上記に加え、以下2点が加わります。
- 本人の同意取得時に移転先国の名称、個人情報保護に関する制度の有無等について本人に情報提供する
- 移転先事業者の取り扱い状況の定期的な確認と本人の求めに応じた情報提供の義務
セキュリティ対策ツールのご紹介
情報漏えい対策を検討する上で最初に行うべきは、現状の把握です。社内にどのような個人情報が保管されているのか、保管されている場所および端末はどこにあるのか等、継続的に確認しましょう。
特に、利用するシステムやツールが複雑になり社内で利用するIT機器が増えている企業は、管理台帳をつけて見知らぬ機器の持ち込みや不正アクセスを防ぐことが重要です。
本記事でご紹介するセキュリティ対策アプライアンス「iNetSec SF」は、社内ネットワークに繋がるパソコンやスマホ、複合機など様々な端末を見える化するセキュリティ対策製品です。不正なアクセスを防止することは勿論、社内のIT機器を管理する自動承認機能を搭載しており、端末管理の工数削減にも寄与します。
