EXOセキュリティ活用術

個人情報保護法に基づく企業の個人情報管理

個人情報保護法改正のポイントと企業が取るべき対応策、管理体制の重要性を解説します。
EXOセキュリティ's avatar
EXOセキュリティ
Sep 21, 2023
個人情報保護法に基づく企業の個人情報管理
Contents
個人情報保護法とは?個人情報 – 個人識別番号など個人情報 – 要配慮個人情報改正個人情報保護法 – 2022年4月■改正内容ポイント1.本人の権利保護強化2.事業者への責務追加3.特定分野を対象とする団体の認定団体 制度創設4.データ利活用の促進5.法令違反に対するペナルティ強化6.外国事業者に対する報告徴収・立入検査などの罰則追加■報告義務があるのは、具体的にどんな状況?どんなとき?企業内の個人情報管理方法■本人の同意が必要■個人情報の利用目的通知・公表■個人情報管理

皆さん、こんにちは。

EXOセキュリティサポートセンターです。

最近、企業で個人情報の流出や、管理不備によって
セキュリティ事故が発生することが連日ニュースになっています。

多くの企業がこれによって数百億単位の投資を逃したり、
数十億の過料を払わなければならない状況に置かれたりもしました。

国内だけでなく世界的にも個人情報保護法が強化され、企業内の個人情報の管理が重大な話題となっています!
今日は、変化しつつある個人情報保護法の内容から、企業が対応する方法までご紹介します。

 

個人情報保護法とは?

法人ではなく、生きている個人の情報を保護する法令で、氏名、住民登録番号及び映像などを通じて、
個人を特定できる情報を保護することをいいます。
個人情報の主体は人でなければならず、法人または団体の情報は該当しません。

個人情報 – 個人識別番号など

旅券番号、マイナンバー、免許証番号、その他DNA、指紋など、
個人の識別のために個人ごとに一つずつ付与される情報で、重要度が高い情報となっております。

本人と特定できる映像や音声なども個人情報に分類されます。

個人情報 – 要配慮個人情報

思想、信念、人種および宗教観、健康診断結果、病歴、犯罪経歴、遺伝情報、身体・知的・精神障害など、
不当な差別や偏見を生じさせるような可能性のある情報、私たちのプライバシーを侵害する恐れがある情報。
これらの情報を取り扱う場合は、事前に本人の同意を得る必要があります。

個人情報保護法は社会が次第にデジタル化され、次第に強化される傾向に流れています。

米国では連邦個人情報保護法案 ADPPA (American Data Privacy and Protection Act)を連邦法として発議され、
欧州連合では一般データ保護規則が制定されているGDPR (General Data Protection Regulation) をすでに施行しています。
このようなグローバル傾向を受け、日本の個人情報に対する規定や法案も強化される方向に進んでいます。

改正個人情報保護法 – 2022年4月

国内でも持続的に個人情報保護に関する法律は強化されています。
3年ごとに検討、必要に応じて改正されることになっている日本の個人情報保護法ですが、
最近では、2022年4月に下記5つの視点によって改正されました。

①    個人の権利利益保護

②    外国事業者によるリスク変化への対応

③    保護と利用のバランス

④    AI・ビッグデータ時代への対応

⑤    国際的潮流との調和

■改正内容ポイント

1.本人の権利保護強化

保有個人データ」の定義変更

→6ヶ月以内に消去する短期保存データも「保有個人データ」の対象。

2.事業者への責務追加

 個人情報の漏洩によって個人の権利利益が侵害される場合、
「本人の通知」だけでなく「個人情報保護委員会への報告」も義務付け。(不正アクセス被害等の場合も含む)

3.特定分野を対象とする団体の認定団体 制度創設

情報保護が行う個人情報保護委員会が認定する民間の「認定団体」の拡張。

→企業の特定分野・部門を対象とする団体も「認定団体」として登録可能。

4.データ利活用の促進

 他の情報と照合しない限り特定の個人を識別できないようにする「仮名加工情報」の新設。

→加工が簡単で詳細な分析も可能なので、情報の利活用によるイノベーション促進が期待できる。

5.法令違反に対するペナルティ強化

 企業規模に関係なく、個人情報の利活用を行っているすべての事業者対象に、罰金額を引き上げ。

6.外国事業者に対する報告徴収・立入検査などの罰則追加

海外企業であっても日本在住の人(国籍問わず)の個人情報を取り扱っていれば、報告徴収や立入検査の対象、罰則も適用。

■報告義務があるのは、具体的にどんな状況?どんなとき?

・財産的被害が発生するおそれがある場合

 クレジットカード番号やインターネットバンキングのID・パスワード情報など

・故意による漏洩

 二次被害が発生する恐れのある不正アクセスや従業員による持ち出しなど

・大規模な情報漏洩

 内容が個人情報でなくても一定数以上の大規模な漏洩(※1000人基準)

・「おそれ」がある場合

漏洩の懸念があり漏洩が確定していない段階

企業内の個人情報管理方法

これからは必ず気をつけなければならない個人情報保護、どうすればうまくできるでしょうか?

本人の同意が必要

本人の同意なしによる第三者への個人データ提供は禁止。

個人情報の利用目的通知・公表

個人情報を取得する際には、利用目的を明示する必要があります。

個人情報管理

必ず個人データを安全に管理し、従業員や委託先も監督。

個人情報暗号化 : 個人識別番号は必ず暗号化して保管

悪性コード防止 :企業向け悪性コード防止ソリューションを業務に参加するすべてのPCにインストール

印刷時保護措置 :個人情報印刷時、印刷記録及びウォーターマーク挿入等の保護措置

アクセス統制 : 異常な流入、非認可アクセスを防止する統制ソリューションが必要

個人情報流出に対する被害は日増しに増え、法の規制はさらに厳しくなっています。
複雑な個人情報流出を一度に処理してくれるオールインワンPCセキュリティサービス
EXOセキュリティで安全なPCセキュリティを実現してみてはいかがでしょうか。

 

よろしければ、下記記事も合わせてご参考になさってくださいませ。

https://exosp.net/personal_data_protection/

お問い合わせは、こちらから↓

■メールでのお問い合わせ          :[email protected]

■チャットボットでのお問い合わせ :https://exosecurity.channel.io

Share article

EXOセキュリティブログ

RSS·Powered by Inblog