個人情報保護法とは、個人情報、つまり個人の特定やプライバシーに関する情報に伴う権利や利益を守ることを目的とした法律です。現行の個人情報保護法には3年ごとの見直しが行われるようになっており、令和2年に改正され4年に施行されることが注目されています。
この記事では、個人情報保護法について、改正の背景や中諸企業が注意すべき点、セキュリティ対策のポイントまでを詳しく解説します。経営者や個人情報を扱う部署の方はぜひ参考にしてください。
個人情報保護法とは、個人情報に伴う個人の権利や利益を守ることを目的とした法律です。氏名や生年月日、性別、住所などの、個人の特定やプライバシーに関する情報が個人情報にあたります。
個人情報は、サービスの質の向上や業務効率化のために、医療や行政、ビジネスなどの分野で広く活用されています。しかし、情報化社会の急速な発展に伴い、個人情報を収集・活用することにより個人の権利・利益が侵害されるリスクが高まりました。また個人情報保護に関する諸外国の法制定の影響も受けたことから、個人情報保護法は平成15年5月に交付・平成17年4月に全面施行されるに至りました。
その後、情報通信技術の進展やグローバル化に伴う社会情勢の変化、個人情報に対する社会的な関心の高まりなどによって、個人情報保護法は3度大きく改正されています。
出典:個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」
個人情報保護法には、平成29年に現行法となって以降、3年ごとに法律を見直すという内容が盛り込まれています。これは、目まぐるしく変化する国際的な動向や技術の進歩を個人情報保護法に反映させ、実態に見合った形で法律を運用するためです。そして令和2年には、3年ごとの見直しの規定に基づき、初めて個人情報保護法の改正が行われました。
令和2年の個人情報保護法改正の背景には、個人情報に該当するおそれのある情報の範囲が拡大したことがあります。技術革新により、これまで個人の識別には利用できなかった情報が、個人を識別できるものとして機能するようになったためです。高度情報化社会の進歩は、個人情報保護への対応のあり方にも大きな影響を与えていると言えます。
令和2年に改正された個人情報保護法は、令和4年に全面施行される予定です。
個人情報保護法の改正は、中小企業にも影響を与えます。よくニュースなどで個人情報流出などが問題となっていますが、個人情報を取り扱う上で注意すべきは流出についてのみではありません。予期せぬトラブルを回避するためにも、中小企業も個人情報保護の改正内容を知っておく必要があります。
ここからは、個人情報保護の改正項目に関して中小企業が注意すべき点や知っておくべきポイントについて解説します。
個人情報保護の改正によって、事業者が守るべき責務が追加されました。旧法では個人情報の不適正な利用の禁止について明文化されていませんでしたが、改正後の法律では「違法な行為を助長するおそれ」がある行為をはっきりと禁止しています。
これによって、「違法な差別などが誘発されるおそれがあるにもかかわらず、公表されている個人情報をデータベース化して公開する行為」などが違法になりました。例えば、官報で公表されている破産者の氏名などをデータベース化してインターネットに公開した場合、差別を誘発するおそれがあるため個人情報保護違反にあたります。
改正後の個人情報保護法では、個人情報漏洩・流出などのトラブルが発生した場合、個人情報保護委員会への報告と本人への通知が義務づけられるようになりました。トラブル発生時の対応について、改正前は企業ごとの個別対応に委ねられていましたが、改正後は「トラブルが発生するおそれがある」だけでも報告の対象となります。
改正後の法律では、例えば決済機能があるWebサイトのID・パスワードなど、個人の財産的被害が生じるおそれがある情報の流出についても報告義務が生じます。
本人は、個人情報取扱事業者に対し、自身の個人情報についてデータの請求が可能です。しかし事業者の保有個人データの量は膨大なため、書面による交付が適さない場合もあります。また、動画や音声など、そもそも書面による交付自体が適していない個人情報もあるでしょう。
令和2年の法改正では、個人情報のデジタル開示の請求が可能になりました。基本的には請求者がデジタルデータの提供を含む開示方法を指定できるため、事業者はデジタル開示請求への対応体制を事前に築いておく必要があります。
個人情報に関する事業者への抑止力を強化するために、法改正後は個人情報保護法に違反した場合の罰則が強化されました。例えば、個人情報保護委員会からの命令に違反した法人に対する罰金は、30万円以下から1億円以下に大幅に引き上げられています。
また、法人と個人の資金力の差を考慮して、法改正後は、法律違反者が法人である場合は個人よりも重いペナルティを課す内容に変更になりました。
個人情報保護法の改正によって、中小企業を含む事業者には守るべき責務が増え、個人情報保護法違反をした場合の罰則も強化されました。そのため中小企業でも、個人情報の管理をより一層徹底する必要があります。
ここからは、中小企業が個人情報保護のために行うべき情報セキュリティ対策を、3つのポイントに分けて紹介します。
個人情報保護法を守るためには、個人情報とは何かをしっかりと把握しておくことが必要不可欠です。
個人情報保護法第2条第1項では、個人情報は以下のように定義されています。
1 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号 のいずれかに該当するものをいう。
(1) 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第 2 号において同じ。)で作られる記録をいう。以下同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
(2) 個人識別符号が含まれるもの |
引用:個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」
個人情報とは、文字通り生存する「個人に関する情報」のことです。氏名や住所、生年月日など、ほかの情報との照合が容易で、個人の識別や特定が可能な情報のことを指します。
また、特定の人物の身体や財産、職種、肩書など、個人の事実や評価を表すすべての情報が個人情報と言えるため、これらの情報の取り扱いにも注意が必要です。
事業活動の一環として中小企業も個人情報を取り扱う機会が増えている現在では、企業の規模に関係なく、堅固な情報漏洩対策を行う必要性が高まっています。
情報漏洩の原因は、ウイルス感染や不正アクセスによる外部の脅威が原因であるものから、誤表示・誤送信、紛失といった人的ミスなどさまざまです。しかし、過去に発生した情報漏洩事例の中には、管理者の意識次第で回避できたものも多くあります。ミスによる情報漏洩を防ぐためにも、社内情報の持ち出しや端末の放置の禁止、適切な廃棄処理の徹底など、個人情報取扱事業者としての基本的な対策を確実に行いましょう。
また、万が一情報漏洩が発生した場合や、情報漏洩の可能性が懸念される事態に陥った場合は、個人で判断するのではなく早急に報告させるよう徹底することも大切です。
中小企業が個人情報保護を確実に行うためには、全従業員に個人情報の適性管理の重要性を認識させる必要があります。そのために、個人情報に関する明確な取扱規定やルールを作って社内に浸透させましょう。個人情報の取り扱いに対して一人ひとりの意識が変われば、うっかりミスによる情報漏洩や誤破棄などの可能性を下げられます。
また、実感の伴わないルールや業務に対する慣れは、従業員の個人情報の取り扱いに対する意識を低下させます。定期的に個人情報に関する研修を行い、従業員に個人情報の適性管理の重要性を再認識させることも有効なセキュリティ対策となるでしょう。
個人情報保護法は、情報通信技術の発展やグローバル化、社会的な関心の高まりなどを背景に改正が重ねられ、現行法でも3年に一度の見直しが行われる形となっています。令和2年改正では、違法な行為を助長するおそれがある行為への規制や、トラブル発生時の通知義務などの変更点があり、中小企業でも注意が必要な点が多々あります。
企業の担当者は、今後も個人情報保護法の動向を注視しつつ、社内でのルール作りや情報漏洩対策を積極的に行いましょう。