メニュー
ブログ

ブログ

Blog

【2022年4月改正】個人情報保護法のポイントと、中小企業の対策について!

2022.04.09 最終更新日:2022.04.09 保険情報

みなさん、こんにちは!営業の福田です。

4月に入り、新年度が始まりますね!私の子供ももう6年生になり、小学校最後の学年になりました。コロナ禍でなかなか思い出作りが難しいとは思うのですが、最後の1年間楽しい思い出を沢山作って欲しいと親として願っています。

そんな新年度ですが、4月1日より個人情報保護法の改正が行われたのはご存知ですか?この改正は中小企業を含む全ての事業者の方々が対象になります。「うちは個人情報を取り扱ってないから関係ない」と思っていたら要注意です。

その点も含めて、今回は「個人情報保護法案」の基本的な内容や2022年4月改正内容についてポイントをご紹介します。

 

個人情報保護法とは

皆さんは自分の個人情報を「どの企業や団体」に「どのぐらい」わたしているか把握してますか?クレジットカードや保険契約など紙ベースでの記入はもちろん、インターネットでのECサイトや会員登録など、個人情報を入力する場面は多岐にわたります。

そんな個人情報を渡す側の「利用者や消費者」が安心できるように、また、個人情報を取得する側の「企業や団体」が、個人情報を適切に管理し、有効活用できるように、個人情報の取り扱いについて遵守すべき義務を定めた法律です。

個人情報保護法が成立された背景は、インターネットが急速に普及し、個人の権利利益の侵害の危険性が高まったこと、国民のプライバシーに対する意識が高まったことがあります。

そして国際的な法制定が進んだこともあり、国内では2003年に公布・成立後、2005年に施行されることになりました。日本における個人情報保護法は、国内外の政策・技術・産業の状況を踏まえた上で、3年毎に検討を行い、必要に応じて改正される決まりになっております。

その3年ごとの法制度の改正が今年2022年4月に施行されました。

今回の改正は、昨今の国民の個人情報に対する意識の高まりに加え、技術革新を踏まえた「個人の権利利益の保護」、「情報活用の強化」、「AI・ビッグデータへの対応」等が大きな目的となってます。

個人情報取扱事業者とは

では、個人情報取扱業者とは、どのぐらいの規模で、どのような業者が対象になるのでしょうか?

それは「個人情報を取り扱うすべての事業者」です。

2017年の個人情報保護法の改正までは、取り扱っている個人情報の数が5,000人分以下の事業者は個人情報保護法の対象外となっていましたが、この改正により個人情報を取り扱うすべての事業者が法の対象になりました。

「いや、うちは個人情報を1件も取り扱ってないよ。パソコンとかも利用してないし」と言う事業者様は稀だと思いますが、その様な事業者様も個人情報取扱事業者に該当する可能性があります。

「個人情報取扱事業者」とは、個人情報保護法第2条第5項において、「個人情報データベースなどを事業の用に供している者」と定義されています。少し難しいですね。これを2つに分けて説明します。

まず、「個人情報」から説明します。個人情報とは生存する個人に関する情報のことで、氏名、生年月日などのデータによって特定の個人を識別出来る情報、または個人識別符号を含む情報のことを指しています。(主に顧客情報だけではなく、従業員情報も個人情報です)

そして「データベース」ですが、個人情報を紙、電子問わずデータベース化(検索できるように体系的に整理)して利用しているすべての事業者です。

これって、ほぼすべての事業者に当てはまりませんか??こうなると「私の会社は関係ない」ではなく「私の会社も個人情報取扱事業者だ」という意識を持って、基本的な対策だけでも対応するのが大切です。

個人情報保護法では、それらの事業者(個人情報取扱事業者)が個人情報を取扱いする上で、守るべき4つの基本ルールを規定しております。

取得・利用
⇒個人情報を取得した場合は、その利用目的を本人に通知、又は公表する(あらかじめ利用目的を公表している場合を除く。)

保管(安全管理措置)
⇒漏えい等が発生しないよう安全に管理する

提供
⇒個人情報を本人以外の第三者に渡すときは、原則として、あらかじめ本人の同意を得る

開示請求等への対応
⇒本人からの請求に応じて、個人情報を開示、訂正、利用停止等すること

出典:個人情報保護法ハンドブック(令和4年4月)
https://www.ppc.go.jp/files/pdf/APPI_handbook_for_company2022.pdf

上記のルールを把握して、個人情報の取扱いについて意識を高めるだけでも重要です。上述した個人情報保護法の基本的な説明や、守るべきルールについては下記の「個人情報保護法ハンドブック」を是非ご一読下さい。

では次に、2022年4月改正の内容についてポイントを簡単に説明します。

 

2022年4月改正 6つのポイント

今回の改正は6つの改正があります。

  • 本人の権利保護
  • 事業者の責務追加
  • 自主的な取組推進
  • データ活用推進
  • 法定刑の引上げ
  • 法の域外適用

特に注意が必要なのが②事業者の責務追加、⑤法定刑の引上げです。

 

事業者への責務追加

今までは、個人情報の漏洩が発生した場合、個人情報保護委員会への報告や本人の通知は「努力義務」となっておりました。

しかし、今回の改正により、一定の基準を満たす個人情報の漏えいが発生した場合は、個人情報保護委員会への報告、および漏洩した被害者(本人)への通知が「義務化」されました。

では、「一定の基準を満たす個人情報の漏えい」とは具体的にはどの様な内容になるのでしょう?それが以下のとおりです。

  1. 要配慮個人情報の漏えい、滅失若しくは毀損またはその恐れがある場合
  2. 財産的被害が発生するおそれがある場合
  3. 不正アクセス等故意によって漏えい等が発生した場合
  4. 漏えい被害者が1,000人超える場合

これがなかなか大変で、上記1~3については、1件でも漏洩してしまったら、報告の義務が発生します。

個人情報保護委員会への報告は、速報ベースで3~5日以内、報告内容は原因や再発防止策などが必要となります。

本人(漏えいした被害者)への通知は、定められた期限は無いですが可及的速やかな対応が求められます。ただし本人への通知が困難(連絡が取れない)場合は、問い合わせ窓口などの代替措置で対応が可能です。

※報告内容や期間については下記の資料を参考にしてください。

 

法定刑の引上げ

平たく言うとペナルティの強化です。今回の改正により2点のペナルティが強化されました。

措置命令、報告義務違反の罰則強化
今までは、仮に個人情報保護委員会の措置命令に違反した場合は、6ヶ月以下の懲役または30万円以下の罰金、報告義務違反した場合は30万円以下の罰金でした。

これが今回の改正により措置命令の場合1年以下の懲役または100万円以下の罰金、虚偽報告した場合は50万円以下の罰金に引き上げられました。

 

法人における罰金刑の引き上げ
今までは行為者も法人も変わらず同じ懲役刑、罰金刑となっていました。

しかし法人と個人の資力格差などを鑑みて、法人に対して罰金刑が引き上げられました。今までは30万円以下の罰金でしたが、今回の改正により1億円以下まで引き上げられました。

この事から個人情報漏洩というのは相当重く受け止める必要があるとわかります。

とはいえペナルティは結果論ですので、事前に個人情報漏洩をしないような体制づくり、対策が必要です。

 

参考:令和2年 改正個人情報保護法について
https://www.ppc.go.jp/files/pdf/r2kaiseihou.pdf

 

中小企業がすべき対策とは

第一に、社内教育による社員のセキュリティ意識の向上が挙げられます。情報漏えいの原因は、社内の問題であることが多いです。そのため、情報漏えいを防ぐうえで、従業員の情報に対する認識を改めさせることは必要です。

これは不正アクセス以上に、紛失・置き忘れが漏えいの原因となっていることからも明らかです。一人ひとりの意識付けを行なうだけでも、防ぐことのできる事故は多いと言えます。

また、情報が漏れない仕組みづくりも重要です。いくら意識向上を行ったところで、ヒューマンエラーは起こるときには起きてしまいます。

社内の決まり事やルーティーンとして、情報が漏れる可能性のあるルートを塞いでおくことは可能な限り実践しておく必要があります。

加えて、システムによる情報漏えいの防止も図る必要があります。いつ何時、悪意ある攻撃を受けるかわからない以上は、事前に対策を講じておかなければなりません。

この様な基本的な対策も含めて、前述した4つのルールに沿った10のチェックリストが以下のとおりです。

NOルールチェック項目ポイント
1取得・利用取り扱っている個人情報について、利用目的を決めていますか?目的は具体的に。○「新商品のご案内の送付のため」×「当社の事業のため」
2取得・利用その利用目的は、本人に通知するか公表していますか?取得の状況からみて利用目的が明らかなら、通知・公表は不要。
3保管(組織的安全管理措置)個人情報の取扱いのルールや責任者を決めていますか?個人情報の保管場所や漏えい発生時の社内の報告先は決まってますか?
4保管(人的安全管理措置・従業者監督)個人情報の取扱いについて従業員に教育を行っていますか?個人情報の保管場所等のルールは周知できていますか?
5保管(物理的安全管理措置)個人情報が含まれる書類や電子媒体について、誰でも見られる場所・盗まれやすい場所に放置していませんか?不要になった情報は適切に廃棄・削除することも大切
6保管(技術的安全管理措置)パソコン等で個人情報を取り扱う場合、セキュリティ対策ソフトウェア等をインストールして最新の状態にしていますか?ログイン時にパスワードを要求したり、ファイルにパスワードをかけることも大切。
7保管個人情報の取扱いを委託する場合、契約を締結する等、委託先に適切な管理を求めていますか?委託先にも安全管理を徹底してもらうということ。
8提供本人以外に個人情報を提供する場合、本人に同意をとっていますか?法令に基づく場合 (警察や裁判所からの照会等)や、 委託に伴う提供には同意不要。
9提供本人以外に個人情報を提供したり、本人以外から個人情報を受け取る際、相手方や提供年月日等について記録を残していますか?法令に基づく場合 (警察や裁判所からの照会等)や、 委託に伴う提供には記録不要。
10開示請求等本人から自分の個人情報を見せてほしいと言われたり、訂正してほしいと言われた際には、対応していますか?開示等の請求に対応する人は決まっていますか?

出典:【中小企業向け】はじめての個人情報保護法~シンプルレッスン~(令和4年4月)
https://www.ppc.go.jp/files/pdf/simple_lesson_2022.pdf

 

個人情報漏洩したら?もしもの時のサイバー保険

さて、今回は2022年4月に改正させる個人情報保護法案について説明しましたが、もし個人情報が漏洩したら?どうなるのでしょうか?

先に説明したとおり、今回の改正により一定の基準を満たす個人情報の漏えいが1件でも発生してしまったら、報告義務が発生してしまいます。

報告の仕方や原因調査、再発防止策の作成を決められた期間内に終わらせるには、事前に相談できる先や、専門業者を選定しておく必要があります。

また、漏洩時は個人情報保護法に基づいた罰金刑とは別に、漏えい被害者である本人への賠償も発生する可能性があります。

事業者の皆様は、この様な事態に相談できる先や専門業者や、対応や賠償に掛かる費用を確保していますでしょうか?

なかなか自前でそれらの仕組みや費用を常に確保するのは困難だと思います。

そんな時にサイバー保険がお役に立ちます。

賠償責任に対応できるのはもちろんですが、報告義務に対応する為に、付帯サービスが役に立ちます。

個人情報漏洩をしない為の対策をすることはもちろんですが、万が一発生してしまった場合の対応の準備をしておくと更に心強いですよね!

詳細の内容につきましては個別でご案内することも出来ますし、定期的にオンラインセミナーも開催しております。ぜひご活用くださいませ。

 

サイバー攻撃の対策に必要な「知る・守る・備える」オンラインセミナー ~基本的な対策とサイバー保険の活用方法~ | 葛飾区亀有の頼れる保険代理店の株式会社セフティー (safety-i.com)

 

弊社では皆様のお役に立てるメルマガを毎月1回配信しております。

ご希望の方は下記よりご登録ください!

企業のリスクを題材としたメールマガジンの申込はこちら
https://www.gripletter.jp/regist_newsletter.php?dname=Safety-i

 

 

ご相談はこちら

ネットでご契約
電話でのご相談
営業時間 平日9時~18時 土曜9時~12時(日祝休み)
WEBからのご相談