fbpx

情報セキュリティにまつわる
お役立ち情報を発信

2022年の個人情報保護法(jisq15001)改正に伴うプライバシーマーク取得の変化について徹底解説!


2022年4月に改正個人情報保護法が全面施行されました。
それに伴うプライバシーマーク取得に関する変化、既にプライバシーマークを取得している企業が行うべきことについて解説します。

2022年の個人情報保護法(jisq15001)改正で何が変わった?

2022年4月の改正個人情報保護法が全面施行されて様々な変化がありました。
従来の個人情報保護法(jisq15001)との違いを解説します。

個人の権利保護が強化

改正個人情報保護法により個人の権利保護が強化されました。

具体的には以下の4点です。

  • 短期の保有データの「保有個人データ」化
  • 保有個人データの開示請求手続きのデジタル化
  • 保有個人データの消去、使用停止及び第三者への提供停止の請求要件の緩和
  • 個人データの提供に際する第三者提供記録の開示請求が可能に

*保有個人データとは…個人データのうち、個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有するもの。

参照:個人情報保護委員会「個人情報」「個人データ」「保有個人データ」とは、どのようなものですか。

事業者の責務の追加

「情報漏洩時の報告義務」、「不適正な利用の禁止」の二つが事業者の責務として追加されました。
個人情報保護法(jisq15001)改正以前であれば、個人情報漏洩発生時の個人情報保護委員会への報告する法的義務はありませんでした。海外では個人情報漏洩発生時には個人情報保護委員会へ報告することが義務付けられている国が多いため、今回の改正で海外の水準に事業者の責務を引き上げた形になります。
2022年の個人情報保護法(jisq15001)改正に伴い、違法・不法行為を助長するような方法による個人情報の利用が明文化されました。
個人情報取扱事業者はこれらの責務の追加に対し、十分に留意する必要があるでしょう。

事業単位での認定個人情報保護団体を認める

個人情報保護法(jisq15001)改正以前は事業者のすべての事業における個人情報の取り扱いを対象とする団体の認定を行っていましたが、改正後は事業者の特定の事業における個人情報の取り扱いを対象をする団体の認定を行えるようになりました。
事業単位での認定団体を認めることによって認定団体の活用が進み、専門性を活かした個人情報保護の取り組みが促進されることが期待されます。

*認定個人情報保護団体とは…業界・事業分野ごとの民間による個人情報の保護の推進を図るために、自主的な取り組みを行うことを目的として、個人情報保護委員会の認定を受けた法人のこと。

参照:個人情報保護委員会「認定個人情報保護団体制度の概要」

「仮名加工情報」制度の新設

*「仮名加工情報」とは…他の情報と照合しない限り特定の個人を識別できないように加工した個人に関する情報のこと。

参照:個人情報保護委員会「仮名加工情報 定義」

個人情報保護法改正以前は個人を識別できないような仮名加工情報であっても事業者は「利用目的の特定」、「情報取得時の本人に対する利用目的の通知、公表」、「目的以外の利用禁止」、「データ内容の正確性の確保」という対応をしなければなりませんでした。
改正後は仮名加工情報であれば個人情報漏洩のリスクが低く、データの利活用の側面から「仮名加工情報」制度が新設されました。
これにより、個人情報と比較して仮名加工情報に関する事業者への義務が緩和されました。

法令違反に関する罰則の強化

「報告義務違反・措置命令の罰則における法定刑の引き上げ」、「法人に対する罰金刑の引き上げ」の二つの項目で罰則の強化がなされました。

具体的な教科内容は以下の通りです。

  • 措置命令違反の罰則:6か月以下の懲役または30万円以下の罰金→1年以下の懲役または100万円以下の罰金
  • 個人情報データベース等の不正流用:1年以下の懲役または50万円以下の罰金→1年以下の懲役または50万円以下の罰金
  • 報告義務違反の罰則:30万円以下の罰金→50万円以下の罰金

報告義務違反・措置命令の罰則の強化によって命令違反や虚偽報告といった行為の抑止が見込まれます。
また、法人に対する罰金刑も大幅に引き上げられているため、情報に対する取り扱いの意識向上が必要でしょう。

プライバシーマーク制度って何?

ここまで個人情報保護法(jisq15001)改正の概略について説明してきましたが、ここからは改正後のプライバシーマークの取り扱いについて解説していきます。
プライバシーマーク制度とは個人情報保護法(jisq15001)の要求事項を満たした個人情報の保護措置に取り組んでいる事業者に対し、プライバシーマークを付与し、事業の活動の際にプライバシーマークの使用を許可する制度のことです。
公正な第三者視点が個人情報の取り扱いが適切である事業者に対してプライバシーマークを付与する制度であるため、プライバシーマークが適切な個人情報の取り扱いをしている事業者であるかどうかを判断する際の目印になります。

個人情報保護法(jisq15001)改正を受けて何をするべき?

2022年の個人情報保護法(jisq15001)改正に伴い、プライバシーマークを取得している企業は何をするべきかを解説します。

マネジメントシステムの見直し

2022年の個人情報保護法(jisq15001)改正をうけて、プライバシーマークを取得している事業者は従来の個人情報の取り扱いからの大きな指針変更の必要はありません。しかし、自社の情報の取り扱いに関する基準と個人情報保護法(jisq15001)改正との差分によって社内ルールの見直しが必要でしょう。

自社のプライバシーマーク関連文書の修正

2022年4月以降は新たな「個人情報保護法(jisq15001)」に基づいてプライバシーマーク付与の審査が行われるため、プライバシーマークを取得している事業者は次回のプライバシーマークの申請までに自社のプライバシーマーク関連文書の修正が必要でしょう。
2022年の個人情報保護法(jisq)改正によるプライバシーマーク関連文書の修正のポイントは「個人の権利」、「仮名加工情報の取り扱い」、「事業者の責務」、「事業者への罰則」の4点です。

個人情報保護法(jisq15001)改正に伴う対応は実績のある外部の企業への依頼がおすすめ!

プライバシーマークを取得している事業者は個人情報保護法(jisq15001)改正に伴う対応が必要となることがわかりました。次回審査まで時間があるとしても、2022年4月以降は新基準での個人情報の取り扱いが必要です。ただ対応するのではなく、外部環境(情勢)を考慮しつつ、自社に即した対応が望ましいです。そこでこれらの対応を実績、ノウハウのある企業に相談しつつ執り行うことをお勧めします。

まとめ

個人情報保護法(jisq15001)改正内容とそれに伴い必要となる対応について解説しました。個人情報保護法(jisq15001)の改正に関する知見、それに基づくプライバシーマークの運用の整備といった専門的な知識を持つコンサルティング会社に相談することでプライバシーマークに際する課題を一律に解決できるでしょう。

株式会社UPFには、業界No.1を誇る実績に基づく、プライバシーマーク(Pマーク)取得支援・教育のノウハウがございます。
プライバシーマークの取得、教育実施でお悩みの企業様・ご担当社様は、どうぞお気軽にお問い合わせください。

お問い合わせはこちらから。
株式会社UPFについて詳しくはこちらから。

この記事を書いた人

株式会社UPF

株式会社UPF

東京都中央区に本社を構える株式会社UPFです。 日本全国を対象にPマーク(プライバシーマーク)とISMS(ISO27001)の新規取得コンサルティング、取得後の運用支援事業を展開しております。 プライバシーマークについてのお問い合わせ・ご相談は→03-6661-0846セキュリティーコンサルティング事業部まで

同じテーマの記事はこちら

すべて見る