改正個人情報保護法の対応ポイント第1回 法改正の変更点と企業が対応すべき事項とは

インサイト
2022.03.29
  • セキュリティ
1055505982

2020年6月に「個人情報の保護に関する法律等の一部を改正する法律案」が公布され、2022年春の全面施行に向け、政令やガイドライン等の検討が行われている。個人情報を扱うすべての事業者が対象になるため、対応を協議している企業も多いのではないだろうか。
今回のインサイトでは、法改正により発生する義務や現行法との違い、企業が対応すべき事項を3回に分けて解説する。第1回は、改正個人情報保護法の施行に伴い企業が対応すべき点について、ポイントを絞って解説する。

法改正で何が変わるのか?

改正個人情報保護法には、大きく「消費者の保護」と「データの利活用」という観点がある。それぞれにおける主な変更点は下表の通りである。

改正個人情報保護法の「消費者の保護」と「データの利活用」それぞれにおける主な変更点

今回は実務担当者向けにポイントを絞って解説しているため、詳しい法解釈やその他の変更点については、別途、専門家の見解や判例も参照いただきたい。

なお、「仮名加工情報」とは、ビッグデータ等の利活用を促進するために今回の法改正によって新設された条項で、他の情報と照合しない限り特定の個人を識別することができないように、個人情報を加工して得られる情報のことを指す。「仮名加工情報」については、次回詳しく解説する。
今回は企業が取り組むべき「消費者の保護」への対応について解説する。

法改正への対応の考え方

企業が改正個人情報保護法の対応に当たり重要なことは、「テクノロジー」「人・組織」「プロセス」「規範・法律」という4つの観点から網羅的に対応策を検討することだ。これは当社が提供する ABeam Security® のソリューションでも提唱している概念で、この4つの観点から情報セキュリティ対策を講じることで、網羅性と確実性をもった対応が可能になる。

図1  ABeam Security® が提唱する情報セキュリティ対策における4つの観点(Security Quadrant) 図1  ABeam Security® が提唱する情報セキュリティ対策における4つの観点(Security Quadrant)

なお、上図の「規範・法律」エリアにある「法・規制」は本来法律のことを指すが、改正個人情報保護法自体が「法・規制」に該当するため、今回は企業内部のガバナンスを担保するための「規約・規程」と捉えていただきたい。

法改正への対応ポイント

改正個人情報保護法の施行に伴って整備すべき4つの項目に対して、具体的なポイントと対応策の一例を挙げる。

①セキュリティアクシデント発生時に報告・通知をする仕組みの整備
個人データの漏えい等が発生した際の個人情報保護委員会への報告と本人への通知が努力義務から義務化に変更となり、より厳格になったことで、以下の対応が必要となる。

横にスクロールしてご確認ください

対応の観点 対応ポイント 対応例
テクノロジー 報告・通知が迅速に出来るようシステムが整備されていることがポイントとなる。
  • 個人データ取扱プロセスにおけるログ取得・保全とレポーティング機能に関する対応を再精査する。併せて、関連システムとのログ整合性も対象とし、再精査する
人・組織 報告・通知に関する規程、ポリシー、フローや手順書が組織内に浸透しており、報告・通知に係る各種役割や権限が明確になっていることがポイントとなる。
  • 報告・通知の遂行に組織として十分な能力とリソースが割り当てられているか確認するとともに、誰がログを確認し誰が報告・通知をするのか等、関連規程類を周知するため説明会を開催する
  • 報告・通知プロセスの担い手(ログ確認者、報告者等)が遂行に十分なスキルを有しているか確認するとともに、フローや手順を浸透させるため勉強会を開催する
プロセス 報告・通知のフローや手順が整備されており、明文化されていることがポイントとなる。
  • ログの確認手順や報告・通知のフローを整備し、明文化する
  • 迅速な報告・通知が行えるよう各種ひな型を用意する
規範・法律 報告・通知対象となる条件や報告内容を把握し、その内容が組織の規程やルールに反映されていることがポイントとなる。
  • 報告・通知が必須である旨を規程やルールに記載する
  • いつまでに、どのような情報を報告・通知すべきかを規程やルールに記載する

②保有個人データを電子データで提供できる仕組みの整備
本人から個人データの開示請求があった際の対応として、これまでの書面での開示から、本人が指定した方法での開示が求められることになるため、以下の対応が必要となる。

横にスクロールしてご確認ください

対応の観点 対応ポイント 対応例
テクノロジー 保有個人データを指定通りの方法で開示可能なシステムが整備されていることがポイントとなる。
  • 組織内で取扱っている個人データの管理方法や管理場所を再確認し、実現可能な提供方法を精査する
  • 要求時に開示方法が指定できるよう要求フォームを変更する
人・組織 保有個人データの開示に関する規程、ポリシー、フローや手順書が組織内に浸透しており、各種役割や権限が明確になっていることがポイントとなる。
  • 個人データ開示の遂行に組織として十分な能力とリソースが割り当てられているか確認するとともに、誰がデータを抽出し誰が抽出内容を確認するのか等、関連規程類を周知するため説明会を開催する
  • 個人データ提供プロセスの担い手(データ抽出者等)が遂行に十分なスキルを有しているか確認するとともに、フローや手順を浸透させるため勉強会を開催する
プロセス 保有個人データの開示要求の受付から提供までのフローや手順が整備されており、明文化されていることがポイントとなる。
  • 開示要求の受付から提供までのフローを整備し、明文化する
  • 個人データ提供時のひな型を用意する
規範・法律 保有個人データの開示要求への対応義務について把握し、その内容が組織の規程やルールに反映されていることがポイントとなる。
  • 個人データの電子データでの開示要求が可能であり、要求があった際には対応する義務がある旨を規程やルールに記載する

③保有個人データの利用停止および削除が確実に行われる仕組みの整備
現行法でも定められているが、改正法では利用停止および削除に対応しなければならない範囲が広がり、個人情報取扱事業者に対する要件が厳しくなることから、以下の対応が必要となる。

横にスクロールしてご確認ください

対応の観点 対応ポイント 対応例
テクノロジー 削除・利用停止要求があった本人のデータが、どこにあるかを漏れなく把握できるようシステムが整備されていることがポイントとなる。
  • 組織内で取扱っている個人データの管理方法や管理場所を再確認し、削除・利用停止すべき個人データが容易に特定可能か再精査する
  • 利用停止対象とした個人データが利用されないよう制御できているか等、利用停止を考慮したシステムとなっているか再精査する
人・組織 削除・利用停止要求に関する規程、ポリシー、フローや手順書が組織内に浸透しており、各種役割や権限が明確になっていることがポイントとなる。
  • 削除・利用停止の遂行に組織として十分な能力とリソースが割り当てられているか確認するとともに、関連規程類を周知するため説明会を開催する
  • 削除・利用停止プロセスの担い手(データ削除実行者、確認者等)が遂行に十分なスキルを有しているか確認するとともに、フローや手順を浸透させるため勉強会を開催する
プロセス 削除・利用停止のフローや手順が整備されており、明文化されていることがポイントとなる。
  • 削除手順や、委託先を含めて確実に削除されたことを確認する手順を整備し、明文化する
  • 利用停止手順や、停止されたことを確認する手順を整備し、明文化する
規範・法律 削除・利用停止要求に対応しなければならない条件を把握し、その内容が組織の規程やルールに反映されていることがポイントとなる。
  • どのような場合に削除または利用停止に対応しなければならないかを規程やルールに記載する

④個人データの利用が適正であるかを事前および定期的にチェックする仕組みの整備
具体的にどのような利用の仕方が不適正に当たるかはまだ明らかになっていないが、不適正利用に該当しないよう、以下の対応が必要となる。

横にスクロールしてご確認ください

対応の観点 対応ポイント 対応例
テクノロジー 個人データの利用に際し、不適正利用に該当しないかチェックしその証跡を残すことができるシステムが整備されていることがポイントとなる。
  • どのような利用が適正または不適正になるかを整理し、正当な権限者による事前審査および定期点検とその証跡を残すワークフローのシステム化が可能か精査する
人・組織 保有個人データの利用に関する規程、ポリシー、フローや手順書が組織内に浸透しており、各種役割や権限が明確になっていることがポイントとなる。
  • 個人データの適正な利用に組織として十分な能力とリソースが割り当てられているか確認するとともに、関連規程類を周知するため説明会を開催する
  • 個人データ取扱プロセスの担い手が遂行に十分なスキルを有しているか確認するとともに、リテラシー向上のため勉強会を開催する
プロセス 個人データの利用に際し、不適正利用に該当しないかチェックできる仕組みを準備しておくことがポイントとなる。
  • 個人データの利用に際し、適切な利用であるかを事前審査および定期点検する仕組みを整備し、明文化する
規範・法律 不適正利用に該当する条件を把握し、その内容が組織の規程やルールに反映されていることがポイントとなる。
  • 個人データを利用してよい基準やどのような利用であれば適正かを規程やルールに記載する

まとめ

今回は、2022年春に全面施行を予定している改正個人情報保護法において、企業が対応すべきポイントを解説した。改正法では、消費者の権利が強化され、新設された条項もあるため、全面施行までに対応を完了させるには時間があまり残されていない。
これまでに公開されているガイドラインやこれから公開される政令を読み解き、必要な対応事項を社内で協議・検討するとともに、必要に応じて知見のある専門家に依頼し、早急に対応を進めることが望ましい。

(免責事項)
当社は、本内容の正確性・妥当性を保証するものではありません。本内容は、法的アドバイスの提供を目的としたものではなく、本内容の情報によって何らかの損害が発生した場合においても弊社は一切の責任を負わないものとします。

Contact

相談やお問い合わせはこちらへ