お知らせ・コラム
施行直前!改正個人情報保護法の注意点
個人情報が多様に利活用される時代になり、リスク対応が急務になっていることを背景に、「個人の権利利益の保護」、「技術革新の成果による保護と活用の強化」、「越境データの流通増大に伴う新たなリスクへの対応」「AI・ビッグデータ時代への対応」などを目的として2020年6月に公布された令和2年改正個人情報保護法が、2022年4月から全面施行されます。もちろん中小企業も例外ではありません。直前ではありますが、あらためて企業として注意すべき点について確認しておきましょう。
【目次】
1.改正のポイント「改正個人情報保護法」
2.報告義務と罰則
3.今回のまとめ
改正のポイント「改正個人情報保護法」
改正ポイントは大別すると(1)個人の権利(2)事業者の守るべき責務(3)事業者による自主的な取組を促す仕組み(4)データ利活用に関する施策(5)ペナルティ(6)法の域外適用・越境移転の6つです。
個人の権利では、自分の個人情報が他の事業者へどのように提供されているのか、記録の開示を事業者に対して求めることが可能になり、個人による自身の個人情報の利用停止・消去等の請求権が拡大され、事業者に対応が求められる範囲が拡大されます。
違法または不当な行為を助長・誘発する可能性がある個人情報の利用が禁止されるとともに、重大な漏洩等が生じた場合には国と個人に報告が求められることとなり、外国の事業者に個人データを提供する場合には、本人からの同意を取得し、移転先事業者の所在国の名称や当該外国における個人情報の保護に関する制度などの情報提供が必要になります。
事業者には個人データの扱いに関する自主ルールの策定が期待され、安全管理のために講じた措置を公表する必要があります。また、提供先で個人データになることが想定される情報の提供には本人の関与が求められることとなります。
また、法人・個人に関わらず命令違反や虚偽申告をした場合の法定刑が引き上げられ、法人には最高1億円の罰金が課せられる一方で、事業者のイノベーションを促進するため、「仮名加工情報」制度が創設され、利用を内部分析に限定するなどを条件に事業者の義務が緩和されます。
※中小企業省ミラサポplus「改正個人情報保護法が22年4月から全面施行されます」より
報告義務と罰則
今回の改定は、先に触れた通り事業者の責務の追加を行う改定となっています。「個人情報取扱事業者」に対し、新たに以下の2つが義務付けられています。
◆漏えい時の報告義務
◆不適正な利用の禁止
報告義務の対象となるものは「個人の権利利益を害するおそれが多いものとして個人情報保護委員会規則で定めるもの」とされており、
○要配慮個人情報(病歴や犯罪歴、信条などのセンシティブな個人情報)が含まれる個人デ-タの漏えい等、または漏えいのおそれ
○不正利用により財産的被害が生じるおそれのある個人デ-タ(クレジットカ-ド情報や決済機能のあるウェブサ-ビスのログイン情報等)の漏えい、または漏えいのおそれ
○不正目的をもって行われた可能性がある個人デ-タの漏えい、または漏えいのおそれ
○1,000人以上の個人データの漏えい等、または漏えいのおそれ
などです。
注意すべき点は、「滅失」「毀損」についても漏えい等として報告義務が発生する点です。サイバ-攻撃によりバックアップを取っていない個人情報が削除や破損された場合についても報告義務が生じる、ということです。
また、漏えいだけでなく漏えいのおそれについても報告義務が生じるため、不正アクセスの痕跡が見つかった段階で報告が必要となります。
個人情報保護委員会・本人への報告についても、報告方法や報告内容、期限等が設けられているため、報告が必要な事故や事故のおそれが発生した際に迅速に対応できるように準備しておくとよいでしょう。
さらに、これまで明文化されていなかった「違法・不当な行為を助長・誘発するおそれがある方法によって個人情報を利用する」ことを禁止することが明文化されています。
2020年12月12日より既に適用されていますが、個人情報保護法違反による法人への罰則が強化されているため、こちらもあらためて注意が必要です。
◆法人への罰金刑の引上げ
「個人情報取扱事業者」「認定個人情報保護団体」が個人情報保護委員会に対して報告を怠った場合、虚偽の報告を行った場合の罰金額が30万以下➡50万以下へ引上げ
◆措置命令違反に対する法定刑の引上げ
個人情報保護委員会が行った個人情報保護に関する勧告及び命令に違反した場合の法定刑が6か月以下の懲役又は30万円以下の罰金➡1年以下の懲役又は100万円以下の罰金(法人等は1億円以下の罰金)へ引上げ
今回のまとめ
個人情報や企業情報の漏えい事故が発生した場合、損害賠償金等の金銭的な損失だけでなく、取引先を失う、風評被害により顧客離反や企業イメージが低下する、といった様々なリスクが予想されます。紙ベースの情報を紛失・盗難・誤廃棄する、といったリスクは0にはならないものの確実に減少していますが、不正アクセス等のサイバ-攻撃による被害は年々増加し続けています。セキュリティ対策はもちろんですが、万が一の漏えい事故に備えて社内規定やマニュアルの作成・整備と従業員への周知徹底に加えて、保険で備えておくことも有効です。個人情報や企業情報の漏えい、サイバ-攻撃が気になるという方はお近くの保険代理店に相談してみてはいかがでしょうか?
個人情報に関わるリスクに対する保険の事なら株式会社保険ポイントへぜひご相談ください。弊社リスクコンサルタントがわかりやすく丁寧にご案内いたします。
TEL>052-684-7638
お電話、メールどちらでもお待ちしております。