2020年6月に交付された「令和2年改正個人情報保護法」が、2022年4月に全面施行されます。このニュースはすでに知っているものの、具体的にどのような対策を取るべきかわからない企業も多いのではないでしょうか。そもそも、2022年4月の改正でどこが変わるのかを知っておかないと、今後のビジネスにおいて足をすくわれる事態に見舞われるかもしれません。そこで今回は、個人情報保護法とは何かを説明するとともに、法改正の背景・経緯や、従来の内容との違いについて解説していきます。
そもそも個人情報保護法とは?
「個人情報保護法」とは、個人情報を取り扱う民間事業社が遵守すべき義務などを定めた法律です。正式な法律名は「個人情報の保護に関する法律」で、2003年5月に交付され、2005年4月に全面施行されました。
個人情報保護法は、社会の情報化が急速に進んだことにより、個人の権利や利益が侵害される危険性が高まったことを受けて交付・施行されました。そのなかで、個人情報に関するさまざまな事柄や、個人情報を扱う「個人情報取扱事業者」について定義しています。さらに、個人情報取扱事業者と国や地方自治体が個人情報を扱う場合に負う責務についても定め、個人情報の有用性に配慮しながら個人の権利利益を保護することを目的にしています。
その後、情報通信技術がさらに発展するとともに、民間事業社のグローバル活動化が進んだことによって、個人情報の利用や活用が広まっていくこととなりました。そこで、個人情報の定義をより明確化し、企業活動のグローバル化にも対応した「改正個人情報保護法」が2015年9月に交付され、2017年5月に全面施行されました。
この改正では、時代背景に合わせて個人情報の定義がより拡大され、さらに個人情報取扱事業者についても、より正確性のある個人情報の取り扱いが求められるようになりました。特に大きく変わったのは、従来は取り扱う個人情報の数が5000人以下の事業者にしか適用されなかった同法が、この改正よってすべての事業者に適用されたことです。
2017年5月に改正個人情報保護法が施行された際、個人情報に対する国際的な動向や情報通信技術の革新を反映するために、同法を3年ごとに時代に即した内容に見直すことが規定として盛り込まれていました。今回の2022年4月施行の改正個人情報保護法は、個人情報が多用に利活用される時代になったことで反映すべき事項が明確になり、それに応じて内容が改正されています。
2022年4月の改正で何か変わったのか
2022年4月の改正個人情報保護法には、6つの「改正ポイント」があります。それぞれについて概要を解説しましょう。
ポイント1:個人の権利保護
特に違反行為がない場合でも事業者に対して個人情報利用の停止や消去を請求できるようになりました。また、保有個人データについては、請求者はデジタルデータでの提供を含めた開示方法を指定できるようになり、収集された自分の個人情報がほかの事業者へどのように提供されているのか、事業者に対してその記録の開示を求めることが可能となります。なお、保有個人データについては、改正前は6か月以内に消去される「短期保存データ」を含まない規定でしたが、期間を問わずすべて保有個人データとみなされることになりました。
「個人情報」「保有個人データ」「個人データ」の定義は以下のとおりです。
ポイント2:事業者の守るべき責務の追加
個人情報取扱事業者に、個人データを漏えいした場合の報告義務が生じることになりました。また、個人情報の不適切な利用の禁止が明文化され、違法・不当な情報の扱いは法律違反になりました。
ポイント3:企業の特定分野を対象とする認定団体を選定可能に
従来、個人情報保護法では個人情報の保護を図るために個人情報保護委員会のほか、特定の民間の「認定個人情報保護団体」を活用した「認定団体制度」を推進してきました。この制度について、企業の特定分野(部門)を対象とする団体を認定することが可能となります。これによって、民間認定団体が個人データの扱いに対して独自ルールを規定し、特定の事業者を積極的に指導することができます。
ポイント4:データ利活用の促進
ビッグデータの活用やAIによる情報処理に伴って、個人情報および個人データの取り扱い規制にも変化が求められることとなりました。個人データの利用と活用を促進するため、「仮名加工情報」が創設され、より柔軟に個人データを扱うことができるようになりました。
ポイント5:ペナルティ(法定刑)の強化
法人に対する罰金刑の上限額が引き上げられました。個人情報保護委員会の命令違反や、委員会への虚偽報告についてのペナルティが厳しくなりました。虚偽の報告があった場合には30万円以下の罰金、従業員が不正な利益を図る目的で個人データを不正に利用した場合には1年以下の懲役または50万円以下の罰金などが科されます。
ポイント6:外国事業者への罰則追加
日本国内に居住する人の個人情報を扱っている外国事業者についても、個人情報保護法への違反があれば、報告徴収や立入検査といった罰則の対象となりました。
個人情報保護法改正の影響
これらの改正ポイントから、個人情報を取り扱う企業はどのような対策を講じる必要があるのでしょうか。
まず、罰則規定の強化から、いままで以上に個人情報保護への意識を高めた事業活動が必要になるのは間違いありません。個人情報の不適切な利用がないことはもちろんですが、情報漏えい時に報告する義務があることからも、個人情報を扱う担当者はもとより社内全体に向けた法遵守の意識改革が必要です。
また、保有する個人データについて開示の要求があれば即座に対応しなければならなくなります。その際は、デジタルデータによる開示にも対応する必要があり、その体制の構築が求められるでしょう。
開示請求だけでなく、個人情報・個人データの利用停止や消去が求められることもあり、その際には事業継続に影響が出るリスクもあります。場合によっては、第三者提供停止が請求されることもあり、その際には自社のみならず提携事業者への影響が及ぶこともあります。業務を停滞させないためにも、まずは個人情報保護法に違反しないことに心がけつつ、そういった開示請求があった場合や漏えいの報告時に、それらを粛々とこなせるプロセスの確立も必要です。場合によっては、社内ポリシーの見直しが必要になるでしょう。
まとめ
個人情報の保護、情報漏えいの防止に配慮しながら活用できる業務ツールが
「Dropbox」です。クラウドストレージおよびコラボレーションツールとして社内外のあらゆる情報を共有できます。顧客データやリードリストのような、個人データに該当する情報を保存して活用している事業者も少なくありません。しかしそうなると、そのセキュリティ対策について気になるものです。
もちろん、Dropboxは万全のセキュリティ対策で情報漏えいを防ぎつつサービスを提供しています。
Dropboxは、データ保存にあたって各データを保存ブロックごとに256ビットの
AES(Advanced Encryption Standard)で暗号化しています。そのためユーザーへの不正アクセスやDropboxのサーバーに対する攻撃によっても、情報漏えいするリスクは極めて低いと言えます。また2段階認証が導入されており、有効にすることで不正ログインによるアクセスも困難にしています。
※Dropbox のセキュリティについて詳しく知りたい方はこちら
→ https://www.dropbox.com/ja/business/trust/security
さらにDropboxでは、ファイルを共有する場合にユーザーのフォルダ権限、アクセス権を強固に設定でき、それによってセキュリティを確保できるという機能も備えています。「所有者」「編集者」「閲覧者」と権限を切り分けることで、同じデータを共有するユーザーにおいても、データの変更や削除ができなくなります。
クラウドストレージなどのツールを利用していて、情報漏えいの一因となるのが人為的なミスです。ファイル共有をするためのリンクを第三者に漏えいしてしまうことで、個人データのような重要データの流出につながります。そういう事態を回避すべく、Dropboxでは共有リンクにパスワードを設定することが可能です。データを共有するチームのみであらかじめパスワードを決めておき、共有リンクを作成したときにそのパスワードを設定。共有リンクの連絡をメールやメッセージ、チャットなどで行う場合にも、パスワードについては記載しないでおけば、万が一第三者にそのリンクが漏れた場合でも、データの中身にはアクセスできないことになります。