2022年4月、改正個人情報保護法が施行されました。
情報セキュリティ委員会を会社で構えていない企業は、情報システム部門がその役割を担っていることが多いと思います。

しかしながら、、、
『法律の専門家じゃないから、理解するのがしんどいんだよね...』
『ググっても、やたらと詳細に書かれすぎててピンと来ない...』
と肩を落としている方も多いのでは無いでしょうか？

そこで今回は、そんな情報システム部門の皆様がこれさえ押さえておけば大丈夫！！
という改正個人情報保護法の5ポイントを解説していきます。

個人情報保護法の改正目的

まず、個人情報保護法がなぜ改正されたのかについて解説します。
そもそも個人情報保護法とは、2005年に施行された、個人の権利や利益を保護し、個人情報を有効活用するために制定された法律です。

法律が改正される背景として、「現行の法律が時代に追いつかなくなってしまう」ことが
挙げられます。

消費者の好みや行動によって表示を変えるリコメンド型の広告や、住んでいる地域や今いる場所によって表示させる広告など、今となっては当たり前のように行われている広告手法やマーケティング手法ですが、個人情報保護法が制定されていた時には全く想定されていなかったでしょう。

ましてや、今はビッグデータとそれをもとに機械学習を繰り返すAIの時代です。
いかに消費者のデータを集めるのかが企業としての競争力を保つ上での鍵となっています。

これから数年後には、今現在でも想像がつかないような技術が生まれていることでしょう。
こうした背景の中、定期的に個人情報保護法を見直す動きが進められております。

そして今回（2022年版の改正）、行政機関である個人情報保護委員会は以下の5つを改正の主目的としています。

◇個人の権利利益の保護：「個人の権利利益を保護する」ために十分な措置を講じること
◇保護と利用のバランス：経済成長と個人情報保護のバランスを保つこと（2015年改正時から継続）
◇国際的潮流との制度調和：国際的な連携に配慮しつつ、十分な保護も行うこと
◇外国事業者によるリスク変化への対応：国を超えたサービス利用が活性化する中での保護
◇AI・ビッグデータ時代への対応：AI・ビッグデータ活用が主流の中での個人情報保護

※個人情報情報保護委員会：令和2年 改正個人情報保護法について

情シスが押さえるべき法改正の5ポイント

上記の理由で行われた今回の改正ですが、情報システム部門の皆様が押さえなければならないポイントは、以下表の5点です。

▽罰則の強化

個人情報保護委員会からの命令に反した際や、委員会へ虚偽の報告を行った際のペナルティが旧法よりも強化されました。

たとえば個人情報保護委員会の措置命令に違反した場合、旧法では法人に対して30万円以下の罰金が課せられていましたが、改正後は1億円以下の罰金へと大きく引き上げられました。
また、不正な利益を享受するべく、個人情報データベースなどを不当に提供したケースでも、50万円以下から1億円以下への罰金へと引き上げられております。

▽本人の権利拡大

個人情報を持つ本人の権利も拡大しております。
旧法では、個人情報保護法に違反するケースにおいてのみ、本人による利用停止及び、消去の請求権が行使できました。

しかし改正後は、漏えいの発覚など、権利や利益が失われかねないケースという不確定の場面にまでと、権利を行使できる範囲が拡大されています。

▽情報漏えい時の報告義務化

個人情報の漏えい発生時の報告義務も追加されております。

企業活動を行う中で、情報漏えいなど個人の権利や利益が侵害されかねない事態が発生した時、個人情報保護委員会に報告を行うこと、本人へ通知することなど、これまで努力目標だった点が義務化されました。

▽個人情報開示方法の拡大

個人情報の開示方法が本人の選択した方法での請求が可能となりました。

これまでは、個人情報の開示が求められた場合、原則として書面による公布のみが行われていましたが、請求の際、デジタルデータや書面、その他個人情報を取り扱っている事業者が定めている方法も含めて選択できるようになりました。

▽3年ごとの法改正

今回の改正で新たに決まったものではありませんが、2019年1月に示した「3年ごと見直しに係る検討の着眼点」に即し、3年ごとにその時の社会情勢の変化を踏まえた内容に個人情報保護法は改正されていきます。

つまり、2025年には、また法律が変更されるということであり、情報セキュリティを扱う立場としては、常に念頭に置いておかなければなりません。

※情報漏えい対策について詳しくはこちら

情シスでの法改正対策

上述した法改正の5ポイントを踏まえ、セキュリティを担当している情報システム部門ではどのような対策を講じるべきでしょうか？

取り組むべき主な対策は以下の5点です。

▽個人情報の活用状況の整理、確認
▽外国事業者に対する規定の変更
▽情報開示請求への対応準備
▽情報漏えい発生時の報告フローの策定
▽プライバシーポリシーの改訂、作成

▽個人情報の活用状況の整理、確認
まずは、会社で活用している個人情報を、漏れなく整理する必要があります。
また、企業でのデータ取り扱い方が従来通りの方法では不可になるケースもあるため、新法
に抵触していないか、隈なくチェックする必要があります。

チェックを行った後、新法の基準に適していない箇所が発見された場合は、すみやかに情報の取扱いフローを定め、全社での共通認識にしていく必要があります。

▽外国事業者に対する規定の変更
外国事業者に対する情報提供に関しても新たなルールに適応しているかの確認ならびにルールの整備も必要です。

旧法では、外国にある第三者へ個人データを提供するケースにおいて、相手側の企業に日本法を遵守する内容の契約を締結することが義務付けられていました。
それが新法では、移転の契約が行われた後も、毎年一度、相手側の企業がその契約を十分に守り体制を構築しているかの確認まで行うことを義務付けられました。

▽情報開示請求への対応準備
情報開示請求が起こった際の対応も準備しなければなりません。
上で触れたとおり、デジタルデータなど情報開示の選択肢が増えたためです。

そのため、保有している個人情報の電子化はもちろん、開示が請求された際のフローもしっかりと決めておかなければなりません。
また、データの利用停止や消去を求められる可能性もあるため、その対応も迅速に行えるよう体制を整えておく必要があります。

▽情報漏えい発生時の報告フローの策定
もし仮に情報漏えいが起こってしまった際の報告ルールや手順についても準備が必要です。

上述の通り、個人情報漏えいなどのトラブル発生時に、個人情報保護委員会と本人の双方への報告が義務付けられました。
万が一そういったトラブルが発生してしまった際のフローを整備する必要があります。

▽プライバシーポリシーの改訂、作成
プライバシーポリシーや個人情報に関する社内規定を、新法に則ったものに改訂、もしくは作り直す必要があります。
また、今回の改正に伴い、個人データをやりとりしている取引先との契約内容の変更をしなければならないケースもあるため、法務関係のチェックも必須対応事項となります。

まとめ

今回、個人情報保護法の改正に伴い、会社のセキュリティを担当する情報システム部の皆様が押さえるべきポイントを解説してきました。

改正のポイントは以下の5点です。
▽法令違反に対する罰則の強化
▽本人（個人情報によって識別される個人）の権利強化
▽情報漏えい発生時の報告義務化
▽個人情報の開示方法拡大
▽3年ごとの法制度見直し（2019年公表） 

今回の改正で対応範囲や罰則の取り決めが変更されたことによって、これまでは問題にならなかったことが法律に抵触してしまう可能性も否定できません。

改正ポイントをしっかりと把握して自社の仕組みや規定の変更など、万が一の対策を講じて、万全の体制つくりに生かしてもらえればと思います。

■関係記事

・エンジニア派遣と正社員の徹底比較！採用者にとってのコスパは！？それぞれのメリットは！？

・本気で現状を打破したい情シスの方以外は見ないでください “DX時代の情シス”とは？

・情シス部門におけるキャリアパス形成の秘訣とは？

※この記事は、公開時点の情報をもとに作成しています。