個人情報保護法改正、間近に迫る
改正個人情報保護法では、事業者へのメリットもある一方で、特に法人への罰金刑が大幅に引き上げられます。法改正の背景から、お勧めのソリューションまでを詳説します。
迫る個人情報保護法改正
見直される受益とリスク管理のバランス
住基ネット導入を契機に2003年に成立した個人情報保護法は、デジタル化やグローバル化などめまぐるしく移り変わる時勢を反映して、2015年以降3年ごとに改正されており、2022年4月からも新しい改正法が施行されます。ビジネスにおける個人情報の価値増大と情報保護の重要性、受益とリスク管理のバランスへの苦慮がみてとれる内容になっています。
以前、本サイトピックアップ記事でも取り上げましたが、改正法施行が間近に迫ってきたことを受け、法改正の背景をおさらいしつつ特に注意すべき改正点に絞ってご説明します。
個人情報の重要性が高まる背景
マーケティングはマスからデジタルへ
ほぼすべてのマーケティング施策をWeb上で完結させる大胆な戦略で成功を収めたテスラ社やAmazonの例を挙げるまでもなく、AI・ビッグデータを利活用したデジタルマーケティングの重要性は、近年、急速な高まりをみせています。図らずも、オフラインでの施策に壊滅的な打撃を与えた新型コロナ禍が、その決定打になりました。顧客との接点をデジタルに求めざるを得なくなったことで、SFA(Sales Forces Automation)への取組、BtoBにおける対面からWebセミナーへのシフトは、完全に一般化したといえるでしょう。
マーケティングのトレンドがマスからデジタルに移ったいま、企業の生命線は顧客情報・リード(見込み客)情報を如何に効率的に獲得するかにかかっています。同時に、情報セキュリティも無視できない問題です。企業が個人情報を漏洩させた例は枚挙にいとまがなく、2021年の下半期に限っても、多くの流出事件が起きています。
| 企業 | 流出状況 | 原因 |
|---|---|---|
| 運輸N社 | 個人情報29万人分紛失 | ヒューマンエラー |
| アパレルR社 | 個人情報24万7,600人分流出 | 不正アクセス |
| 電機メーカーM社 | 子会社から情報流出 | 不正アクセス |
| 自動車メーカーT社 | 系列子会社に同意なく情報譲渡 | 不適切な取扱い |
| A病院 | 患者情報流出 | 不正アクセス |
| 警察庁 | 個人情報流出 | 不正アクセス |
| オンラインストアY | クレジットカード情報流出1,300人超 | 不正アクセス |
| 薬品メーカーⅭ社 | 個人情報25,000件流出 | 不正アクセス |
| 通信会社N社 | 個人情報800万件流出 | 不正アクセス |
個人のインターネット利用率が九割に迫るいま、あらゆるユーザーにとって、また、事業者にとっても、これらはけっして他人事ではありません。いったん同じ状況に陥れば、ユーザー側はプライバシーを失い、事業者側は信用の失墜や多額の損害賠償など、致命的な代償を支払うことになります。
こうした背景をもとに、改正個人情報保護法では事業者側の責務、個人情報取り扱いの在り方が厳格に定義しなおされています。
改正個人情報保護法3大ポイント
事業者が最低限押さえるべき要点
改正個人情報保護法の主な改正ポイントは以下の3点。いずれも事業者の責務や対応範囲の拡大が盛り込まれた内容になっています。ぜひ正確に押さえておきたいところです。
個人の権利が大幅に強化
個人情報を提供したユーザーは、自身の個人情報の利用停止・消去、また、他の事業者へどのように提供されているのか、記録の開示を事業者に求めることができます。
データ利活用に関する施策の在り方
改正個人情報保護法では、ユーザー保護を厳格化する一方で、事業者のイノベーション促進へも大きく歩み寄った内容になっています。具体的には、仮名加工情報制度の創設です。
仮名加工情報とは、他の情報を組み合わせないかぎり特定個人を識別できないよう加工された情報のことです。利用目的を公表すれば、事業者内部限定ではあるものの、ビッグデータ分析などへの利活用が可能になります。
具体例を挙げれば、医療や製薬の分野で、個人情報を研究データとして活用するようなシチュエーションが想定されます。もちろん一般企業でもマーケティングの大きな手掛かりとなるでしょう。
仮名加工情報については、ユーザー本人の権利行使と個人データ漏洩などの報告対象外となっています。事業者側への大幅な緩和措置といえるでしょう。
事業者へのペナルティ強化
一方で、今回の法改正における事業者の責務拡大とペナルティ強化についても見逃せません。
取得した個人情報について重大な漏洩等が生じた場合、事業者は国と当該ユーザーに対してすみやかに報告することが求められます。また、外国の事業者に個人情報を提供する場合にはユーザー本人の同意を取得し、移転先の事業者の所在国などの情報提供が必要です。
命令違反や虚偽報告へのペナルティについても、特に法人への罰金に関して下記のとおり大幅に引き上げられています。
表 改正個人情報保護法における法人への罰金刑
| 改正前 | 改正後 | |
|---|---|---|
| 措置命令違反 | 30万円以下 | 1億円以下(!) |
| 不正提供 | 50万円以下 | 1億円以下(!) |
| 虚偽の報告 | 30万円以下 | 50万円以下 |
情報セキュリティ対策は万全ですか?
マーケティングの主軸がデジタルへシフトするにつれ、個人情報を取得する機会が今後ますます増えるのは間違いありません。法対応ははもちろんのこと、テレワークが急速に進む昨今、社内規定の整備や情報セキュリティ強化は、全事業者にとって喫緊の課題といえるのではないでしょうか。安全措置についてアピールできれば、ユーザーからの信頼獲得にも繋がります。
内田洋行ITソリューションズでは、情報セキュリティについて特に重く捉え、多くのソリューションをご提供しており、いずれもご好評を戴いています。また、改正個人情報保護法、また、その対策について詳細な資料も別にご用意しておりますので、ぜひ御社の情報セキュリティ対策にお役立てください。
