お知らせ・コラム
個人情報保護法改正に向けた情報漏えいリスクへの備え
時代の変化に伴い様々な法律が制定・改正されている中、2021年以降も多くの施行、施行予定の法律があります。
企業経営者の皆さまや法改正が業務に大きく影響する人事労務担当の皆さまが「知らなかった」では済まされない事態に陥らないために、あらためて確認していきたいと思います。
【目次】
1.個人情報保護法の改正(2022年4月施行)
2.改正のポイント
3.今回のまとめ
個人情報保護法の改正(2022年4月施行)
2015年改正個人情報保護法における「3年ごとの見直し」に関する規定に基づき、個人情報保護委員会において関係団体・有識者からのヒアリング等による実態把握や論点整理を実施し、個人情報に対する意識を高め、技術革新を踏まえた保護と利用のバランス、越境デ-タの流通増大に伴う新たなリスクの観点から2020年6月12日に「個人情報の保護に関する法律等の一部を改正する法律」が公布され、法定刑の引上げ(2021年12月施行)を除いて2022年4月1日に全面施行が予定されています。
改正のポイント
改正法の内容とポイントは以下のとおりとなっています。
1.個人の権利の在り方
・個人の利用停止・消去等の請求権の要件が、「不正取得等の一部の法違反」の場合だけでなく、「個人の権利または正当な利益が害されるおそれ」がある場合にまで緩和
・現行では原則書面による交付とされている保有個人データの開示方法について、電磁的記録を含めて本人が指示できる
・個人デ-タの授受に関する第三者提供記録について本人が開示請求できる
・保有個人デ-タに6か月以内に消去する短期保存デ-タを含め、開示・利用停止等の対象とする
・オプトアウト規定(本人の求めがあれば事後的に停止することを前提に、提供する個人デ-タの項目等を公表した上で本人の同意なく第三者に個人デ-タ提供できる制度)の個人デ-タの範囲を限定し、「不正取得されたデータ」「オプトアウト規定により提供された個人デ-タ」についても対象外とする
2.事業者の守るべき責務の在り方
・漏えい等が発生し、個人の権利を害するおそれがある場合に委員会への報告及び本人への通知を義務化
≪報告対象≫
①要配慮個人情報
②財産的被害が発生するおそれがある場合
③不正アクセス等故意によるもの
④1,000人を超える漏えい等
・違法又は不当な行為を助長する等の不適正な方法により個人情報を利用してはならない旨の明確化
※委員会への報告は事態の発生を認識した後の速やかな「速報」と30日(不正アクセス等故意によるものは60日)以内の「確報」の二段階
3.事業者による自主的な取組を促す仕組みの在り方
・認定団体制度について、対象事業者のすべての分野(部門)を対象とする現行制度に加えて企業の特定分野(部門)を対象とする団体を認定できるようにする
4.デ-タ活用に関する施策の在り方
・イノベ-ション促進の観点から、氏名等を削除した「仮名加工情報」を創設し、内部分析に限定する等を条件に開示・利用停止請求への対応等の義務を緩和
≪加工基準≫
①氏名等の特定の個人を識別できる記述等
②個人識別符号
③財産的被害が生じるおそれのある記述 の削除・置換を求める
・提供元では該当しないが、提供先において個人デ-タとなることが想定される情報の第三者提供について、本人同意が得られていること等の確認を義務付け
≪提供元における本人同意の確認方法≫
提供先からの申告
≪提供元における記録義務≫
①提供年月日
②第三者の氏名等
③個人関連情報の項目等 を記録し、原則3年保存
5.ペナルティの在り方
・委員会による命令違反・委員会に対する虚偽報告等の法定刑の引上げ
・データベ-ス等不正提供罪、委員会による命令違反の罰金について、法人と個人の資力格差等を勘案し、法人に対して罰金刑の最高額を引上げ(法人重科)
6.法の域外適用・越境移転の在り方
・日本国内にあるものに係る個人情報等を取扱う外国事業者を罰則によって担保された報告徴収・命令対象とする
・外国にある第三者への個人デ-タの提供時に、移転先事業者における個人情報の取扱いに関する本人への情報提供の充実等を求める
≪本人同意に基づく越境移転の同意取得時に本人に提供すべき情報≫
①移転先の国名
②適切かつ合理的な方法で確認された当該国の個人情報保護制度
③移転先が講ずる処置 について情報提供を求める
≪体制整備要件に基づく越境移転における移転先が講ずべき「必要な措置」≫
①移転先における個人デ-タの取扱い状況及びそれに影響を及ぼしうる移転先国の制度の有無の定期的な確認
②適正な取扱いに問題が生じた場合の対応(適正な取扱いの継続的確保が困難な場合の個人デ-タ提供停止) を求める
※個人情報保護委員会HP「個人情報の保護に関する法律等の一部を改正する法律」概要資料「個人情報の保護に関する法律施行令及び個人情報保護委員会事務局組織令の一部を改正する政令」「個人情報の保護に関する法律施行規則の一部を改正する規則」概要資料より
今回のまとめ
特定非営利活動法人日本セキュリティ・ネットワ-ク協会が発行している2018年の「情報セキュリティインシデントに関する調査報告書」のデータ【速報】によると、情報漏えい人数561万3,797人、インシデント件数443件、想定損害賠償総額2,684億5,743万円となっており、漏えい原因トップ10の1位は紛失・置忘れ、2位は誤操作、3位は不正アクセス、4位は管理ミス、5位は盗難、6位は設定ミス、7位は内部犯罪・内部不正行為、8位は不正な持ち出し、9位はバグ・セキュリティホ-ル、10位はその他となっております。
このような調査結果をみても、企業における情報漏えい事故対策は今や必要不可欠なものになりつつあるといえるのではないでしょうか?社内規定・体制の整備、業務の見直しやセキュリティの導入・強化等も有効ではありますが、すべてを未然に防ぐことは困難です。損害保険には、個人情報や企業情報の漏えい事故が発生した際の争訟費用や損害賠償金だけでなく、初期対応を効果的に行うためのコンサルティング費用、不正アクセス等のサイバ-攻撃に起因する漏えいやデジタル・フォレンジックなどの原因調査費用、保険会社によってはコンピュ-タネットワ-ク中断による逸失利益や第三者によるサイバ-犯罪で被る財産上の損害を国内に限らず補償できるものもあります。
【サイバ-リスク簡易診断サービス】を行っている保険会社もありますので、情報漏えいにおけるリスク対策として、このようなサービスも損害保険とあわせて活用してみてはいかがでしょうか?
ご興味がある方はお近くの代理店までお気軽にご相談くださいませ。
個人情報漏えい保険についてのお問い合わせは株式会社保険ポイントまでご相談ください。弊社リスクコンサルタントがわかりやすく丁寧にご案内いたします。
TEL>052-684-7638
お電話、メールどちらでもお待ちしております。