2020年6月に「個人情報の保護に関する法律等の一部を改正する法律案」が公布され、2022年春の全面施行に向け、政令やガイドライン等の検討が行われている。個人情報を扱うすべての事業者が対象になるため、対応を協議している企業も多いのではないだろうか。
今回のインサイトでは、法改正により発生する義務や現行法との違い、企業が対応すべき事項を3回に分けて解説する。第1回は、改正個人情報保護法の施行に伴い企業が対応すべき点について、ポイントを絞って解説する。
2020年6月に「個人情報の保護に関する法律等の一部を改正する法律案」が公布され、2022年春の全面施行に向け、政令やガイドライン等の検討が行われている。個人情報を扱うすべての事業者が対象になるため、対応を協議している企業も多いのではないだろうか。
今回のインサイトでは、法改正により発生する義務や現行法との違い、企業が対応すべき事項を3回に分けて解説する。第1回は、改正個人情報保護法の施行に伴い企業が対応すべき点について、ポイントを絞って解説する。
改正個人情報保護法には、大きく「消費者の保護」と「データの利活用」という観点がある。それぞれにおける主な変更点は下表の通りである。
今回は実務担当者向けにポイントを絞って解説しているため、詳しい法解釈やその他の変更点については、別途、専門家の見解や判例も参照いただきたい。
なお、「仮名加工情報」とは、ビッグデータ等の利活用を促進するために今回の法改正によって新設された条項で、他の情報と照合しない限り特定の個人を識別することができないように、個人情報を加工して得られる情報のことを指す。「仮名加工情報」については、次回詳しく解説する。
今回は企業が取り組むべき「消費者の保護」への対応について解説する。
企業が改正個人情報保護法の対応に当たり重要なことは、「テクノロジー」「人・組織」「プロセス」「規範・法律」という4つの観点から網羅的に対応策を検討することだ。これは当社が提供する ABeam Security® のソリューションでも提唱している概念で、この4つの観点から情報セキュリティ対策を講じることで、網羅性と確実性をもった対応が可能になる。
なお、上図の「規範・法律」エリアにある「法・規制」は本来法律のことを指すが、改正個人情報保護法自体が「法・規制」に該当するため、今回は企業内部のガバナンスを担保するための「規約・規程」と捉えていただきたい。
改正個人情報保護法の施行に伴って整備すべき4つの項目に対して、具体的なポイントと対応策の一例を挙げる。
①セキュリティアクシデント発生時に報告・通知をする仕組みの整備
個人データの漏えい等が発生した際の個人情報保護委員会への報告と本人への通知が努力義務から義務化に変更となり、より厳格になったことで、以下の対応が必要となる。
横にスクロールしてご確認ください
対応の観点 | 対応ポイント | 対応例 |
---|---|---|
テクノロジー | 報告・通知が迅速に出来るようシステムが整備されていることがポイントとなる。 |
|
人・組織 | 報告・通知に関する規程、ポリシー、フローや手順書が組織内に浸透しており、報告・通知に係る各種役割や権限が明確になっていることがポイントとなる。 |
|
プロセス | 報告・通知のフローや手順が整備されており、明文化されていることがポイントとなる。 |
|
規範・法律 | 報告・通知対象となる条件や報告内容を把握し、その内容が組織の規程やルールに反映されていることがポイントとなる。 |
|
②保有個人データを電子データで提供できる仕組みの整備
本人から個人データの開示請求があった際の対応として、これまでの書面での開示から、本人が指定した方法での開示が求められることになるため、以下の対応が必要となる。
横にスクロールしてご確認ください
対応の観点 | 対応ポイント | 対応例 |
---|---|---|
テクノロジー | 保有個人データを指定通りの方法で開示可能なシステムが整備されていることがポイントとなる。 |
|
人・組織 | 保有個人データの開示に関する規程、ポリシー、フローや手順書が組織内に浸透しており、各種役割や権限が明確になっていることがポイントとなる。 |
|
プロセス | 保有個人データの開示要求の受付から提供までのフローや手順が整備されており、明文化されていることがポイントとなる。 |
|
規範・法律 | 保有個人データの開示要求への対応義務について把握し、その内容が組織の規程やルールに反映されていることがポイントとなる。 |
|
③保有個人データの利用停止および削除が確実に行われる仕組みの整備
現行法でも定められているが、改正法では利用停止および削除に対応しなければならない範囲が広がり、個人情報取扱事業者に対する要件が厳しくなることから、以下の対応が必要となる。
横にスクロールしてご確認ください
対応の観点 | 対応ポイント | 対応例 |
---|---|---|
テクノロジー | 削除・利用停止要求があった本人のデータが、どこにあるかを漏れなく把握できるようシステムが整備されていることがポイントとなる。 |
|
人・組織 | 削除・利用停止要求に関する規程、ポリシー、フローや手順書が組織内に浸透しており、各種役割や権限が明確になっていることがポイントとなる。 |
|
プロセス | 削除・利用停止のフローや手順が整備されており、明文化されていることがポイントとなる。 |
|
規範・法律 | 削除・利用停止要求に対応しなければならない条件を把握し、その内容が組織の規程やルールに反映されていることがポイントとなる。 |
|
④個人データの利用が適正であるかを事前および定期的にチェックする仕組みの整備
具体的にどのような利用の仕方が不適正に当たるかはまだ明らかになっていないが、不適正利用に該当しないよう、以下の対応が必要となる。
横にスクロールしてご確認ください
対応の観点 | 対応ポイント | 対応例 |
---|---|---|
テクノロジー | 個人データの利用に際し、不適正利用に該当しないかチェックしその証跡を残すことができるシステムが整備されていることがポイントとなる。 |
|
人・組織 | 保有個人データの利用に関する規程、ポリシー、フローや手順書が組織内に浸透しており、各種役割や権限が明確になっていることがポイントとなる。 |
|
プロセス | 個人データの利用に際し、不適正利用に該当しないかチェックできる仕組みを準備しておくことがポイントとなる。 |
|
規範・法律 | 不適正利用に該当する条件を把握し、その内容が組織の規程やルールに反映されていることがポイントとなる。 |
|
今回は、2022年春に全面施行を予定している改正個人情報保護法において、企業が対応すべきポイントを解説した。改正法では、消費者の権利が強化され、新設された条項もあるため、全面施行までに対応を完了させるには時間があまり残されていない。
これまでに公開されているガイドラインやこれから公開される政令を読み解き、必要な対応事項を社内で協議・検討するとともに、必要に応じて知見のある専門家に依頼し、早急に対応を進めることが望ましい。
(免責事項)
当社は、本内容の正確性・妥当性を保証するものではありません。本内容は、法的アドバイスの提供を目的としたものではなく、本内容の情報によって何らかの損害が発生した場合においても弊社は一切の責任を負わないものとします。
相談やお問い合わせはこちらへ