知らなかったでは済まされない改正個人情報保護法。気をつけるべきポイントと社内の集約管理
<目次>
・個人情報の管理、大丈夫ですか?
・覚えるべき改正個人情報保護法の知識と、改正箇所・新設箇所
・個人情報の管理の方法とは? 不正入手に要注意
・情報漏えい対策はセキュリティの集約から。企業におけるセキュリティポリシー
個人情報の管理、大丈夫ですか?
2022年4月1日より個人情報保護法が改正されました。改正個人情報保護法の対象は、1名以上の個人情報を取り扱っている企業です。つまり、ほぼすべての企業が改正個人情報保護法の対象になります。
では、あなたの会社は個人情報をしっかりと管理できているのでしょうか? 業務内容が銀行や人材会社ではないのだから、自社では個人情報を取り扱っていないと認識している方は要注意です。
個人情報とは
名刺も個人情報になります。
個人情報は氏名・性別・生年月日・職業・家族関係・メールアドレスをはじめ、写真・動画・音声・インターネットや電話帳など、個人が特定できる関連情報を指します。
あなたの業務や事業では、お客様とのやり取りでメールを使用しますし、お客様の名前や性別、職業などが判明しているでしょう。これらの情報は自然と保持していることになります。こういった無意識のうちに取り扱っている個人情報に対して、再度意識を向けて組織として対策を取っていきましょう。
では、その対策とはどのようなものなのか。
個人情報保護法の情報が頭の中にインプットされていれば、違法となる範囲を理解し、法的な罰則を受ける危険性が大幅に低くなります。
プライバシーポリシーの記載に同意するチェックマークをよく見かけるでしょう。
また、個人情報を扱う際の基本的なルールは、「使用目的をきちんと説明する」「勝手に目的外に使わない」「しっかり保管する」などがあり、今まで個人情報を扱ってきた企業にとっては常識的なことばかりでしょう。しかし、この機会に個人情報の取扱いのポイントを改めてご確認ください。改正された個人情報保護法の変更点や、あなたの当たり前と思っていた内容や認識が違っているかもしれません。
個人情報保護法の内容を学んでおけばよかった…と後の祭りになってしまう前に知識をつける対策を取りましょう。
覚えるべき改正個人情報保護法の知識と、改正箇所・新設箇所
改正個人情報保護法:改正箇所
では、個人情報保護法の改正された箇所や新設された箇所を、分かりやすくご紹介します。
① 改正された箇所:漏えい等報告・本人通知の義務化(法第26条関係)
■ 改正前:個人情報保護委員会に報告し、本人に通知するよう努める。
■ 改正後:漏えい等が発生した場合に、個人の権利利益を害する恐れが大きい事態については、個人情報保護委員会への報告及び本人への通知を義務化。
② 改正された箇所:外国にある第三者への提供(法第23条、24条関係)
■ 改正前:本人の同意、基準に適合する体制を整備した事業者、日本と同等の水準国という要件
■ 改正後:外国にある第三者への個人データの提供時に、本人に対し移転先事業者における個人情報の取扱いに関する情報提供の充実等を求める。
・移転先の所在国の名称
・当該外国における個人情報の保護に関する制度
・移転先が講ずる個人情報の保護のための措置
本人からの同意書取得時には、これらの情報提供が必要になりました。また、二つ目の「制度」に関しては、日本の個人情報保護法との違いを認識できる情報を提供しなければいけません。
③ 改正された箇所:保有個人データの開示方法(法第33条関係)
■ 改正前:保有個人データの開示方法は、書面による交付が原則。
■ 改正後:保有個人データの開示方法は、電磁的記録の提供(CD-ROM等の媒体の郵送、電子メールによる送信、Webサイトでのダウンロード等)を含め、本人が指示できる。
④ 個人データの利用の停止・消去等の請求(法第35条関係)
■ 改正前:利用停止や消去等の請求ができるのは一部の個人情報保護法違反の場合に限定。
■ 改正後:利用停止・消去等の請求権について、一部の個人情報保護違反の場合に加え、個人の権利又は正当な利益が害される恐れがある場合にも拡充。
・利用する必要がなくなった場合(キャンペーン実施の際の個人情報)
・重大な漏えい等が発生した場合(個人情報保護委員会への報告や本人通知の義務がある漏えい等の事態)
・本人の権利、または正当な利益が害される恐れがある場合(ダイレクトメールの送付停止)
これらの事項があります。
⑤ 公表等事項の充実(法第32条関係)
■ 改正前:事業者の名称、利用目的、開示請求等の手続き、苦情申し出先等を公表事項として規定。
■ 改正後:安全管理のために講じた措置(公表等により支障を及ぼす恐れがあるものを除く)を公表等する義務がある事項として追加。
改正個人情報保護法:新設された箇所
不適切利用の禁止
例えば、当該事業者の違法な行為を助長する恐れが想定されるにも関わらず、当該事業者に個人情報を提供してしまった場合などが当てはまります。
個人関連情報
個人関連情報の第三者提供規制
個人関連情報とは、生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものです。例えば、Cookie等の端末識別子を通じて収集されたサイト閲覧履歴などが該当します。
個人関連情報を第三者に提供する場合は、提供先(B社)において個人データとして取得することが想定されるとき、提供元(A社)に第三者提供に関して本人同意が得られていることの確認を義務付けします。
仮名加工情報
仮名加工情報とは、他の情報と照合しない限り特定の個人を識別できないようにされた情報のことです。仮名加工情報の加工基準は、
① 特定の個人を識別することができる記述情報等の全部又は一部の削除又は置き換え。
例:氏名を仮IDに置き換え。
② 個人情報に含まれる個人識別符号の全部を削除または置き換え。
例:旅券番号の削除
③ 不正に利用されることにより財産的被害が生じる恐れのある記述等の削除又は置き換え。
例:クレジットカード番号の削除
仮名加工情報に加工することで、本人に合意を得ずに利用目的の変更ができます。また、漏えい等報告、本人通知や開示請求対応の義務は課されません。しかし、第三者へ仮名加工情報を提供してはいけません。
仮名加工情報の作成例
このように、個人情報保護法は改正・新設されました。
この内容を踏まえた上で、企業がとるべき4つの対策をご覧ください。
① あらかじめ同意を取り、
個人情報を取得する。
個人情報を取得する場合には、利用目的をできる限り特定すること、そしてその目的を通知・公表することが重要です。
例えば、とあるサービスを申し込む際、必ず読むことが求められる利用規約やプライバシーポリシーがあります。利用者にこのプライバシーポリシーをしっかりと読んでもらい、使用目的に対して同意を取るようにしましょう。
② 個人情報の管理を
しっかりする。
お客様の個人データを管理する際は、お客様の大事な財産だと思い安全に管理することが重要です。例えば、鍵の掛かっている倉庫や、PC、暗号化したメールなどでの管理が当てはまります。
情報漏えい等が生じない安全管理と、従業員や委託先にも安全管理を徹底させましょう。
③ 第三者に提供する際は
同意をとる。
原則本人の合意を得ている場合、第三者提供が可能です。また、本人の同意がない場合でも、災害など人命の保護に個人情報が必要で、本人の同意を得ることは困難といった場合には例外的に提供ができます。
第三者提供で個人データを提供・受領した際は「いつ・誰から・誰に・どのようなデータを提供・受領したのか」を記録して保存することが必要です。また、受領する際は、受領したデータが不正により取得されたものでないかの確認が必要となります。
④ 開示の手続きを
分かりやすくする。
お客様から開示請求があった場合、迅速に対応しましょう。開示請求の手続きの方法などをホームページ等で公表し、求めがあるのであれば遅滞なく対応する必要があります。
この対策の中で特に注意すべきは、2番の個人情報の管理です。
個人情報の管理をしっかりとしなければいけない理由は、悪意のあるソフトウェアやウイルスが蔓延しているためです。悪意あるソフトウェアやウイルスは、近年活発化し進化しているため、情報漏えいのリスクが非常に高くなっているのです。
では、「どのようにして個人情報が不正に入手されてしまうのか」、「個人情報はどのように管理すれば良いのか」をご紹介します。
個人情報の管理の方法とは?
不正入手に要注意
外部からの侵入者が、サーバや情報システムの内部へ入り込み、個人情報を流出させてしまうこともあります。使用するPCにはパスワードを設定し、外部へのメールは必ず暗号化しましょう。メールの暗号化とは、本文や添付ファイルの内容を他者に知られないように加工することです。メールの暗号化は専門のソフトウェアで可能です。
テレワークや外出先でフリーWi-Fiを使用することもあるでしょう。しかし、カフェや駅などで仕事をする際に使用するWi-Fiに注意してください。なりすましのWi-Fi(アクセスポイント)に接続してしまい、悪意を持って設置されている場合は個人情報を抜き取られる恐れがあります。そのため、極力フリーWi-Fiは使用しないようにしましょう。
そして、あなたも気づかないうちに入手しているかもしれない、不正アプリにも注意しましょう。不正アプリとは、端末内に入り込み利用者の望まない不正行為を働くアプリのことです。ネット上での投稿や広告でボタンを押していくうちにインストール画面に誘導されたり、ショートメッセージなどから誘導されたりします。
あなたが個人情報を取り扱っているということを再度認識し、個人情報の漏えいに十分気をつけましょう。
情報漏えい対策はセキュリティの集約から。
企業におけるセキュリティポリシー
怪しいフリーWi-Fiへの接続や不正アプリが従業員のPCに入ってしまっており、アンチウイルスソフトを勝手に切られてしまった場合、企業としては流出の事態を把握できません。
もちろん従業員の私物のPCの管理もできないため、個人情報を守るためには、「BYOD(※)」はなるべくやめた方が良いでしょう。社用のPCのセキュリティを企業が管理し、それ以外の機器を仕事で使わせないようにすることが重要です。
コウシンではアンチウイルス対策のDr.オフィスProtectで管理ポータルサイトから自社パソコンの管理が可能です。そしてオフィスの全体のネットワークを丸ごと定額保守するDr.オフィスSystanがあります。これらのシステムを利用すると、従業員のPCを最新のセキュリティ機能により保護することが可能です。
あなた自身も組織の一員として個人情報保護を意識し、流出という最悪の事態を未然に防ぐことが大事です。そのためには、オフィス全体を集約するネットワークシステムと、今回の記事に記載している内容を社員に共有し、個人情報保護法について理解していきましょう。
※: BYOD …個人が私物として所有しているパソコンやスマホを業務に使用する利用形態を指します。
参考:令和2年改正個人情報保護法リーフレット-個人情報保護委員会
“コスパ最強”の勤怠管理システム
