2022年4月施行のappi改正について徹底解説!
個人情報保護法改正が発表され、2022年4月の施行が行われました。改正内容や動向は、個人情報を取り扱っている企業は注意をはらう必要があります。
そこで、この記事では、個人情報保護法について、改正されるポイントから注意点まで抑えておくべきポイントを解説します。
目次
個人情報保護法(appi)について
個人情報保護法は、企業が顧客情報など、個人情報を扱う必要性に関して認識し、配慮しながら、情報を所有されている個人の権利を保護する目的の法律で、appiと略されます。要するに、個人情報に関する権利や企業が守るべき責務について提示をしています。
個人情報漏洩は、消費者はもちろんですが、企業にとっても重大な問題であり、自社への安心感や信頼感を失うきっかけとなってしまいます。
個人情報保護法(appi)改正について
2005年に成立した個人情報保護法(appi)ですが、2015年までは改正なしで施行されていました。しかし昨今、個人情報に対する意識が高まり、IT技術が進化したことが要因で、2015年に初めて改正されました。2015年以降、3年毎に見直すことが決定され、2020年4月から2回目の改正が成立しました。
個人情報保護委員会の改正理由は以下の通りです。
・「いわゆる3年毎見直し」に関する規定に基づいて、関係団体や有職者からのヒアリング等を行い、実施状況の把握や論点的観点からの整理を実施
・自身の個人情報に対しての意識の高まり、技術革新を踏まえた保護と利活用のバランス、越境データの流通増大に伴う新たなリスクへの対応等の観点から、個人情報保護法の改正を行って、以下の措置を講ずることとしたもの
(引用元)
個人情報の保護に関する法律等の一部を改正する法律
(概要)https://www.ppc.go.jp/files/pdf/200612_gaiyou.pdf
仮名加工情報について
2020年の個人情報保護法改正によって、新しく「仮名加工情報」が新設されました。仮名加工情報とは個人を識別可能な情報を削除、または情報を何かに置き換えて加工した情報のことを指しています。他の情報と何らかの方式で照合させ、外部には漏れずに個人が特定出来るという仕組みです。
仮名加工情報でデータの利活用
仮名加工情報という概念の登場は、消費者の個人情報が守られると同時に、企業側も個人情報を活用しやすくなる方針とも言えます。これまでは個人情報漏洩を防ぐことを目的とし、「匿名加工情報」を多くの企業が使用してきました。しかし、情報の加工程度を判断する難しさや企業が活用するためのデータ精度の観点から企業側の取り扱いづらさが課題としてありました。
そこで企業側のデータ利活用の精度を向上しつつ、個人情報も同時に保護可能な手段として仮名加工情報が登場したということです。匿名だけでなく仮名化されている情報であれば、加工前の個人情報と同等のレベルでのデータ有用性が確保出来るため、高い精度でデータ分析が可能です。
一方で、仮名加工情報はあくまでも流出してはならない個人情報に分類されます。そのため、原則として第三者への情報の提供は禁止となっています。ここで大事なポイントは、企業内では利活用可能ですが、第三者へ提供することを想定した情報変換方法ではないということです。
appi改正の注意点8選
2022年4月、appi改正の施行において、日本国内の企業(個人情報取り扱い事業者)が対応が必須であると考えられる注意点8選を以下で紹介します。
①個人データ安全管理措置に「外的環境の把握」が追加
・改正ポイント
安全管理措置の内容に「外国人において個人データを取り扱う場合、当該外国の個人情報の保護に関する制度等を把握したうえで、個人データの安全管理のために必要かつ適切な措置」が追加された
・行うべき対応
自社が海外で取り扱っている個人情報を徹底的に調査し、当該外国の個人情報に関する制度、法律を確認、把握した上で、講ずべき個人情報の安全管理措置を検討することです。
②学術研究において適用除外の規定の精微化
・改正ポイント
個人情報の第三者提供を本人の同意なく行うことが可能な場合として、学術研究機関等に関する事項が追記されました。改正前は、学術研究機関等が学術研究を目的として個人情報を取り扱う場合等に関して、包括的な適用除外が規定されて来ましたが、各種義務を定める条項において例外規定として規定する精微化が行われました。
・行うべき対応
改正前の条文についてプライバシーポリシー等に転記している場合は、修正または追記を検討することです。
③個人情報関連情報提供時における同意取得が義務化
・改正ポイント
提供先が個人関連情報を個人データとして取り扱う事を目的に、取得することが考えれる場合には、提供先で本人同意が得ることが出来ているかどうか確認しなければならない義務が定められました。
・行うべき対応
自社が個人関連情報を提供している場合、提供先が個人データとして取得することが想定される場合には、提供先から提供先が同意を得ていることを制約する書面を確認する等、確認方法を設ける必要があります。同時に、個人関連情報の提供についての契約書面等において、提供先の同意取得義務に関しての条項等の追記を行うべきでしょう。
また、自社がcookie等の個人関連情報を第三者から個人データとして取得をする時、プライバシーポリシー等について本人から同意を取得するための条項を追記すべきです。他にも同意取得の流れを整備することを検討するべきでしょう。
④外国にある第三者への個人情報提供時の情報提供が義務化
・改正ポイント
EUまたは英国以外の外国における第三者の提供は、法23条(27条)1項の場合を除いて本人同意取得、第三者が基準適合体制を精微していることを要します。
①同意取得による場合、該当する外国の名称、個人情報保護制度の情報、該当する第三者が講ずる個人情報保護を目的とした措置の情報を提供しなければならない義務が定められました。
②第三者が基準適合体制を整備していることを根拠とした場合、該当する第三者における相当措置の継続的な実施を確保するため、必要な措置を講ずるとともに、本人の求めに応じて必要な措置の情報を提供する義務が定められました。
・行うべき対応
該当する場合、自社が①か②いずれの根拠に基づいて個人情報を提供するのか整理し、確認した上で、プライバシーポリシー等の修正や追記を行いましょう。①に基づく場合は該当する第三者による相当措置の実施状況等を定期的、継続的に(年1回もしくはそれ以上の頻度で)確認する等の措置を講ずる体制を整えるべきでしょう。また、本人の求めがあった場合に提供する「必要な措置に関する情報」で準備しておくべきでしょう。
⑤オプトアウト手続きが厳格化
・改正ポイント
オプトアウトにより提供を受けた個人データ(二重オプトアウト)偽りその他の不正の手段により取得した個人データをオプトアウトにより提供することが禁止されました。
・行うべき対応
二重オプトアウトによる個人データの提供を行っている企業は、ビジネスモデルの変更を要します。なおオプトアウトを行う際、本人に通知するか容易に知り得る常態に置く事項が追加されている点に留意しなければなりません。
⑥漏洩報告が義務化
・改正ポイント
個人情報の漏洩等が発生し、個人の権利を侵害する恐れが大きいものとして規定される一定の場合は、個人情報保護委員会への申告と本人への通知が法的義務となりました。
・行うべき対応
社内における規定や運用、プライバシーポリシー等の修正や追記が必要でしょう。
⑦共同利用を行う場合の通知等事項が追加
・改正ポイント
本人に通知するか容易に知ることが出来る状態に置くべき事項として、新たに「共同利用する個人データの管理責任者の住所、法人である場合の代表者名」が追加されました。
・行うべき対応
上記の内容をプライバシーポリシー追記など修正が必要でしょう。
⑧保有個人データに関する公表事項が追加
・改正ポイント
公表等事項において、以下の事項が追加されました。
〇事業者の住所、法人である場合の代表者名
〇本改正で追加された開示等(第三者提供記録の開示請求等)に応じる手続保有個人安全管理措置
〇保有個人データの安全管理措置
・行うべき対応
プライバシーポリシー等への追記など修正を行う必要があるでしょう。ただし本人の求めに応じて遅滞なく回答する対応も可能となっています。
対策としてのログ管理ツール
最後に改正される個人情報保護法に向け、個人情報漏洩を対策するログ管理ツールについて解説します。
改正個人情報保護法の講ずべき安全管理措置の内容として下記5項目があります。
1組織体制の整備
2個人データの取り扱いにかかる規則に沿った運用
3個人データの取り扱い状況を確認する手段の整備
4漏洩等の事案に対応する体制の整備
5取り扱い状況の把握および安全管理措置の見直し
これらは義務である為に遵守する必要がある他、個人情報漏洩リスクへの対策ともなります。
そこで、ログ管理ツールは個人データの取り扱い状況を可視化することが出来ます。
まず、個人データの取り扱いに関する規則に従った運用を実施するための手法として、利用や出力状況、情報システムの利用状況等を記録、検証することが推奨されており、ログ管理はその手法の一例です。
また、漏洩等の事案に対応する体制の整備においては、事実関係の調査および原因の解明や個人情報保護委員会等への報告が定められているため、ログの解析が有用とされています。
組織形成の段階では、事案が発生した際の報告連絡体制の確立や責任の明確化などが例示されています。事案発生または長江の把握手段としては先のIPAによる調査にもあった通りログ管理に有用性があると言えます。
これら5項目のうち、目的以外の4項目を遵守する上でログ管理が有効であることに気が付いたのではないでしょうか。このように、改正個人情報保護法に従い、情報漏洩をしないことや直ちに対応出来る組織を作り出す為にはログ管理が重要だと言えます。
まとめ
この記事では、個人情報保護法(appi)改正の解説から2022年4月施行の改正の注意点、その対策としてのログ管理ツールを紹介しました。個人情報保護法の遵守が必要不可欠で、その注目度が高まっていることが理解できたのではないでしょうか。信頼を失う前に個人情報漏洩への対策を実施しましょう。
プライバシーマークは、取得することで個人情報管理が徹底されていることが証明でき、信頼を得る事が出来ます。この機会にぜひプライバシーマークの取得、更新を検討してみてはいかがでしょうか。
株式会社UPFには、業界No.1を誇る実績に基づく、プライバシーマーク(Pマーク)教育のノウハウがございます。
教育実施でお悩みの企業様・ご担当社様は、どうぞお気軽にお問い合わせください。
この記事を書いた人
株式会社UPF
同じテーマの記事はこちら
JIS Q 15001とは何か?Pマークとの関連性から活用メリットまで解説します
JIS Q 15001とはどのように活用されるものなのでしょうか。また、JIS Q 15001について調べると必ず目にするPマークはどのようなもので、JIS Q 15001とはどの […]
ISMAP管理基準とは?徹底的に解説!
日本初の情報セキュリティ評価制度ISMAPについてご存じでしょうか? 近年テレワークの拡大やDX化の促進によりクラウドサービスへの関心が高まっています。 本記事ではISMAPの概要 […]
ISMAPクラウドサービスリストとは?徹底的に解説!
日本初の情報セキュリティ評価制度ISMAPについてご存じでしょうか? まだまだ馴染みのない言葉だと思います。今後デジタル化がさらに加速する中で多くのクラウドサービスが開発されていく […]
isms認証とiso27001認証との違いを徹底解説!
情報セキュリティの管理を考える上で、無視できないのがISMS認証です。この名称を聞いたことがある人も多いのではないでしょうか。その他にはISO27001認証、Pマーク等、ISMS認 […]
ISMAPのメリット、登録方法まで徹底解説!
ISMAPは2020年6月から運用が始まっています。2021年3月に初めてISMAPのクラウドサービスリストが公開され、四半期ごとに更新されています。 この記事では、ISMAPの解 […]
