2022年4月1日に施行された改正個人情報保護法によって、企業が個人情報を取り扱う上で新たな要件が追加されました。
個人情報保護法改正は、個人情報保護の観点からも、企業の信頼性を維持するためにも、非常に重要なものとなっています。
この記事では改正のポイントと企業に求められることについてご紹介します。

【2022年4月1日施行】改正個人情報保護法とは？

個人情報とは、個人に関する情報で、氏名、住所、生年月日、電話番号、メールアドレス、クレジットカード番号、運転免許証番号など、その人を特定できる情報や、その人に関する情報を指します。また個人情報には、顧客や社員のデータなどの企業や組織が保有する情報、医療や学籍などの特定の分野に関する情報、SNS上で公開された情報なども含まれます。個人情報は、その性質上、個人のプライバシーや人権にかかわる重要な情報であるため、適切な取り扱いが求められます。

個人情報保護法は、個人情報の有用性に配慮しながら、個人の権利や利益を守ることを目的として2003年5月に制定され、2005年4月に全面施行されました。

2015年9月には個人情報の適正な活用・流通の確保、グローバル化への対応などを目的に、将来の国際的動向の変化や情報通信技術の進歩、新ビジネスの創出などを見越して、3年ごとに実態に見合った形で法律を見直すことが盛り込まれた改正法が公布され、2017年5月に施行されました。今回の法改正はこの3年ごとの見直し規定に沿った初の改正となります。

2022年4月1日に施行された「改正個人情報保護法」は、個人の権利保護の強化や個人情報取り扱い事業者の責務の追加、データの利活用の促進などが新たに盛り込まれ、個人情報を取り扱う事業者に対してより厳しい規制と責任が課されています。詳しくは改正のポイントでご紹介します。

改正個人情報保護法に導入された新定義

改正個人情報保護法に導入された新しい定義は以下の3つです。

• 個人識別符号
• 要配慮個人情報
• 匿名加工情報

個人識別符号

個人情報を特定するために使用される符号のことです。例えば、指紋認識データ、顔画像データ、住民基本台帳番号やマイナンバーなどが該当します。

要配慮個人情報

個人情報のうち、特にプライバシーや人権に関わる情報のことです。例えば、病歴や精神疾患の有無、信条や宗教などが該当します。要配慮個人情報については、法律で特別な保護が求められています。

匿名加工情報

個人情報を匿名化し、個人が特定できないように加工した情報のことです。個人情報保護法では、匿名加工情報は個人情報とは扱われません。ただし、匿名加工情報でも、複数の情報を組み合わせることで、再び個人を特定できる場合があるため、情報管理には注意が必要です。

個人情報取扱事業者とは

「個人情報取扱事業者」とは、法人・個人問わず、個人情報をデータベース化して事業の目的のために利用する者を指します。
例えば、金融機関、医療機関、通信事業者、ECサイト、広告代理店などが該当します。また、営利・非営利の別は問わないため、個人事業主やNPO法人、自治会等の非営利組織もこれに該当します。
個人情報取扱事業者は、個人情報保護法に基づき、適切な個人情報の取り扱いを義務付けられており、個人情報の取得、利用、提供、管理、廃棄などについて厳格な規制が課せられます。

改正前は事業活動に利用している個人情報の件数が5,000人分以下の事業者（小規模取扱事業者）は個人情報取扱事業者に該当せず、法に定める義務の対象外とされていましたが、改正により小規模取扱事業者も義務の対象となりました。

出典：東京都「個人情報保護法の概要」

【2022年4月1日施行】改正個人情報保護法の目的

ここでは、行政機関である個人情報保護委員会が示す改正目的をご紹介します。

国民の個人情報への意識の高まりや技術革新を踏まえた個人情報の保護と利活用のバランス

スマートフォン、SNSといった生活を豊かに便利にするもの普及・拡大により、さまざまなシーンや場所で個人・法人問わず個人情報が取り扱われています。そのため、プライバシー侵害といった国民一人ひとりの個人情報を守る意識が社会全体に広がっています。また、人工知能やビッグデータの技術が進化することで、個人情報がより精細に収集・分析される可能性があります。このような技術革新に対応するため、個人情報保護法は改正され、技術の進展に対応した個人情報の取り扱いが求められます。

改正個人情報保護法では、こうした「国民の個人情報への意識の高まり」と「技術革新」を踏まえた上で、個人情報の保護と利活用のバランスをとることを目的としています。

越境データの流通拡大に伴う新たなリスクへの対応

国境を越えたクラウドサービスなどでの利用、海外事業者サービスの利用によって扱われるデータの流通拡大は、個人情報漏えいや不正アクセス、AIや機械学習による個人情報の分析といったさまざまなリスクがあります。個人情報保護法の改正には、こうしたリスクに対応する目的があります。

そのほか、本人の請求権の強化や個人情報取り扱い事業者の債務追加などにより個人情報保護を手厚くする一方で、仮名加工情報の新設など情報の利活用を簡単にし、イノベーションを促進する規定も定められています。
直近では、急速に普及している生成AIサービスの利用に関して、個人情報保護委員会は、個人情報の適正な取扱いが保護され、個人の権利利益が保護されるよう注意喚起を行っています。

次に個人情報保護法改正のポイントについて見ていきましょう。

個人情報保護法改正の主なポイント

ここでは、2022年改正の主なポイントをご紹介します。

情報漏えいなどの報告、本人通知の義務化

情報漏えいや個人情報の不正利用などの重大な事故が発生した場合、個人情報を保有する事業者は速やかに当該事故の内容を本人に通知することが義務付けられました。また、行政機関にも報告する必要があります。

改正前の個人情報保護法では、情報漏えいや不正利用などの重大な事故が発生した場合、個人情報を保有する事業者に本人通知の義務はありませんでした。ただし、事業者は可能な限り速やかに対応することが求められていました。

この改正によって、個人情報保護法における個人情報の保護強化が図られ、事業者にはより一層の個人情報保護の意識と対策が求められます。

外国にある第三者への個人情報提供

改正前は、外国にある第三者への個人情報提供について、原則本人の同意がなければならないとされていました。しかし、改正により「あらかじめ外国にある第三者への提供を認める旨の本人の同意」がある場合、個人情報取扱事業者は外国にある第三者に対して個人データを提供することができるようになりました。ここでいう外国にある第三者とは個人データを提供する個人事業取扱事業者と当該個人データによって識別される本人以外の者を指し、外国政府などもこれに当てはまります。そのため、例えば外資系企業の日本法人が外国にある親会社に個人データを提供する場合、当該親会社は「外国にある第三者」に該当します。

また外国の第三者への個人情報を提供する要件としていくつか事項が追加されました。
個人情報を外国にある第三者に提供を認める旨の本人の同意を得ようとする場合、下記3点を本人に提供することが必要です。（個人情報保護法28条2項、個人情報保護法施行規則17条2項）

• 個人情報の移転先の所在国の名称
• 適切かつ合理的な方法により得られた移転先の外国における個人情報の保護に関する制度に関する情報
• 第三者が講じる個人情報保護の措置に関する情報

この情報を提供する方法は以下のものがあります。

• 電磁的記録の提供
• 書面の交付
• その他の適切な方法

またWebサイトに掲載された情報を本人に閲覧させる方法も、「適切な方法」に該当すると考えられます。
日本国内の個人情報を取り扱う外国事業者も、罰則によって担保された報告徴収・命令および立ち入り検査の対象となります。

保有する個人情報の開示方法

保有する個人情報の開示方法について、具体的には以下の内容が盛り込まれています。

• 開示請求の受付
• 開示方法の多様化
• 開示時の保護措置
• 開示要請に対する回答期限の短縮

個人情報を保有する企業は、個人情報を開示するよう依頼があった場合、迅速かつ適切な方法で対応する必要があります。また、開示する方法は、電子データや書面など、請求者が希望する方法で行わなければなりません。

開示に対する回答期限は、従来の2週間から1週間に短縮されました。

個人情報の利用停止、消去等の請求

個人情報の利用停止、消去等の請求についても拡充されました。改正前は、個人情報の利用の停止・消去ができるのは、目的外利用・不正取得の場合に限定されていましたが、改正後は個人情報が不正に取り扱われている場合、本人からの請求によりその情報の利用停止や消去を請求することができます。

具体的には、以下のような場合に請求できます。

• 個人情報が不正に収集・利用された場合
• 個人情報が目的外に利用された場合
• 個人情報が不正に提供された場合

第三者提供の停止ができるのは、第三者提供義務違反の場合に限定されていましたが、
改正後は以下の場合にも利用停止・消去請求ができるようになりました。

• 個人情報を利用する必要がなくなった場合
• 個人情報保護委員会への報告義務のある、重大な漏えい等が発覚した場合
• 本人の権利または正当な利益が害されるおそれがある場合

また、改正個人情報保護法では、企業側が請求に応じなかった場合や不服がある場合、個人情報保護委員会に申し立てることもできます。

公表等事項の充実

改正前には個人情報の取り扱いに関する内部規程（事業者の名称、利用目的、開示請求の手続きなど）を策定することが推奨されるにとどまっていましたが、改正後は安全管理のために講じた措置（公表等により支障を及ぼす恐れがあるものは除く）を公表することが義務付けられました。

安全管理のために講じた措置の例として、個人データを適正に取り扱うため、関係法令・ガイドライン等の遵守等についての基本方針を策定することが挙げられます。
また、公表等により支障を及ぼす恐れがあるものについては、個人データが記録された機器等の廃棄方法、個人データ管理区域の入退室管理方法などが挙げられます。

これにより、個人情報を公表する場合でも、事業者が適切な管理を行い、個人情報に関する問い合わせに適切に対応することが期待されます。

不適切な利用の禁止、ペナルティの強化

今回の改正により、目的以外での利用や取得した範囲を超えて利用するなど、違法な行為等によって個人情報を利用してはいけないことが明確化されました。
不適切な利用の例として、企業の採用選考において性別や国籍などの属性により本人に対して差別的取り扱いをするために個人情報を利用することなどが当てはまります。

また、行為者が措置命令違反した場合、1年以下の懲役もしくは100万円以下の罰金が科されます。報告義務違反についても、30万円以下の罰金から50万円以下の罰金に変更されます。

第三者への個人関連情報の提供規制

「個人関連情報」とは、生存する個人に関する情報のことです。たとえば、Cookie等の端末識別子を通じて収集された、ある個人のwebサイトの閲覧履歴やある個人の商品購買履歴等を指します。また、個人情報、仮名加工情報および匿名加工情報のいずれにも該当しないものです。

この個人関連情報を第三者に提供する際には、個人情報の提供元が第三者提供に対して本人の同意が得られているかの確認が義務付けられました。

仮名加工情報

「仮名加工情報」とは、他の情報と照合しない限り特定の個人を識別できないように個人情報を加工した情報のことを指し、今回の改正より新たに設けられました。
個人情報を加工することにより一定の安全性を確保することが狙いであり、個人情報を仮名加工情報に変換することで、以下の義務が適用から除外されます。

1. 利用目的の変更の制限
2. 漏えい等の報告・本人への通知
3. 開示・利用停止等の請求対応

上記は仮名加工情報の作成例となります。氏名や旅券番号・クレジットカードといった個人情報を識別することができる記述・個人識別符号や、不正に利用されることで財産的被害が生じる恐れのある記述を削除又は置換することで個人情報を仮名加工情報に加工することができます。

こうして、仮名加工情報に加工することで本人の同意を得ずに利用目的の変更ができ、漏えい等報告・本人通知や開示請求対応の義務などの対象外となります。そのため、仮名加工情報に加工することでより有効的にデータを活用することが可能です。
しかし、仮名加工情報はあくまでも社内での利活用を基本としていて、第三者への提供はできません。仮名加工情報の取り扱いについても、個人情報と同様に適切な取り扱いが求められ、安全管理措置を講ずる義務があります。

また、仮名加工情報と似ている「匿名加工情報」というものもあります。
匿名加工情報とは、特定の個人を識別することができず、加工元の個人情報を復元することができないように加工された個人情報です。仮名加工情報と匿名加工情報とは取り扱いルールが異なりますので、確認しておきましょう。

出典：個人情報保護委員会
「マンガで学ぶ個人情報保護法　第11話」
「匿名加工情報制度について」

個人情報保護法改正によって企業に求められること

個人情報保護法改正によって、企業には以下のような取り組みが求められています。

1.個人情報の取り扱い方法を再検討する

個人情報が不当に利用される恐れがある場合に、本人による利用停止・データ削除、第三者提供禁止請求ができるため、今一度個人情報の利用について整理する必要があります。
企業は、個人情報を取り扱う際に、その目的に合わせて最小限の情報を取得すること、不正アクセスやコンピュータウイルス感染等による情報漏えいを防ぐために適切なセキュリティ対策を講じることなど、個人情報の取り扱いについて再検討しましょう。
また、取得した個人情報を第三者へ提供している場合、「いつ、だれに、どのように提供したか」という第三者提供のトレーサビリティも記録しておくことが必要です。

2.書面以外の開示方法に対応できるようにする

改正により、個人情報に関する開示請求や修正・削除請求への対応が義務付けられています。開示する方法は請求者の求めに応じて対応しなければならないため、企業はこれらの請求に対応できる体制づくりが求められます。電子化を進めるとともに、開示請求への対応ルールなども定めておくと良いでしょう。

3.プライバシーポリシーを明確化する

個人情報保護法改正では、個人情報を取得する際には、その利用目的を明示することが義務付けられています。そのため、個人情報取得の際に開示するプライバシーポリシーも見直しが必要です。
たとえば、お客様の情報を取得する際に明示する利用目的について「広告配信のために利用します」と書かれているだけでは不十分と考えられます。本人（お客様）が合理的に予測・想定できるように、「お客様のホームページ閲覧履歴や購買履歴を分析して、趣味・嗜好に応じた商品を広告表示します。」等のように利用目的を記載する必要があります。

4.万が一に備えた対応フローの見直し

個人情報が漏えいした場合、個人情報保護委員会と本人に対して報告が義務化されました。また報告の際には、漏えいが発生した個人情報の内容や漏えいの原因、今後の再発防止策などについても報告する必要があります。

そのため万が一に備えた対応フローの見直しが必要です。
企業は改めて個人情報の漏えいが起きた際の対応について、社内ルールを定めて、対応フローを明確化しておきましょう。

ALSOKが提供するサイバーセキュリティサービスで個人情報の適切な取扱いをサポート

「ALSOK IT資産管理」

IT資産管理とは、社内でどのようなIT資産が利用されているのかを明確に把握し、常にソフトウェアを最新の状態にする、修正パッチを随時適用するなどの対策を指します。
「ALSOK IT資産管理」は、社内リソースでは実現が難しいIT資産管理のシステム導入から運用まで全面サポートするサービスです。パソコンやモバイル端末だけではなく、プリンター、仮想化環境も一元管理できます。もちろん、セキュリティパッチの適用やソフトウェアのバージョン管理などセキュリティ対策も万全です。

また、USBメモリ・HDDへのファイルコピー禁止など外部メディアの抑制や、テレワーク時を含めた操作ログの取得が可能です。収集したデータを用いて月次の運用レポートを作成し、分析にご活用いただけます（オプション含む）。テレワーク中に使用するパソコンの管理ツールとしてもおすすめです。

リーズナブルな価格で、IT資産管理システムの導入から運用管理までALSOKがサポートいたします。

「ALSOK UTM運用サービス」

情報漏洩や不正アクセスに対するセキュリティ体制を整えたい場合におすすめなのが「ALSOK UTM運用サービス」です。
UTMとは統合脅威管理のことを指し、ファイヤーウォール・アンチウイルス・不正防御・コンテンツフィルタリングなど、さまざまなセキュリティ機能を統合した装置を指します。

UTMとALSOK 独自の管理・監視システムを連携させることで、ネットワークの不正利用を24時間365日監視します。外部からの接続状況や不正通信などのデータを、毎月レポートの形で確認できるため、効果的な分析にもつながるでしょう。

「出入管理・入退室管理システム」

出入管理・入退室管理とは、部外者やセキュリティ上リスクのある人物を、オフィスに入らせないための対策です。電気錠で扉や通用口を自動施錠し、社員証等の認証カードを持つ者しか入室できないように制限することが一般的です。
カメラ付き遠隔操作器を使用すれば、操作した人物の画像を保存することができるため、他人の認証カードを使った不正入室を抑止できます。また、顔認証システムを活用すれば、予め顔写真が登録された人物以外は認証しないため、不正入室を防止し、ハンズフリーで出入することができます。

警備・オンラインセキュリティ「ALSOK-G7」

ALSOKの機械警備「ALSOK-G7」は、オフィスに設置したセンサーが異常を感知すると、最も近くにいるガードマンが駆けつけ、適切な処置を行います。状況に応じて各関係機関とも連携し、被害の拡大を防ぎます。警備用に設置した防犯カメラやカメラを内蔵したセンサーなどのリアルタイム映像をお客様のパソコンやスマートフォンから確認することができ、自宅や離れた場所からオフィスの状況を確認できます。また、「出入管理・入退室管理システム」と連動することで、警備を解除しないと入室できないようにすることも可能なため、効率的にセキュリティを強化します。

「ALSOK ITレスキュー」

パソコンが起動しない、インターネット接続ができない、コンピュータウイルスに感染してしまったなどのパソコンに関するトラブルを解決します。電話1本で24時間365日いつでもガードマンが駆けつけ対処します。情報システム担当者の負担を軽減し、機械警備などと合わせてALSOKが業務をサポートします。

まとめ