情シスの改正個人情報保護法対応
世の中はちょうど今頃、改正電子帳簿保存法やインボイス制度で盛り上がっておりますが、実はその陰に隠れるように(?)個人情報保護法の改正も施行されます。
どこのベンダーもほとんどが電帳法やインボイスで売り込みやセミナーを打ち出していますが、今回は影薄めな個人情報保護法について触れることにします。
PマークやらJIS Q 15001やら運用担当の情シスさんは是非参考にしてください。
※以下の記事は2022年1月中旬の情報をもとに作成しています。
施行日
改正個人情報保護法は令和4年(2022年)4月1日施行(効力を発揮する日)の予定です。
対象組織
一般に個人情報保護法というと1つしかないイメージですが、実は下記の3つあります。
- 個人情報保護法
- 独立行政法人等個人情報保護法(独立行政法人が対象)
- 行政機関個人情報保護法(行政機関が対象)
今回の改正は1番目の個人情報保護法ですので、独立行政法人や行政機関所属の情シスの方は今回の記事では関係ありません。
しかしながらこの3つは将来的に統合の方向で動いているらしいので、状況には注意しておきましょう。
なお、かつて運用されていた個人情報取扱事業者の件数条件(個人データ5000件以上)は今回の改正前からすでに撤廃されています。
ほぼすべての法人企業は個人情報取扱事業者とみなされるため注意しましょう。
改正内容と情シスの対応
ここからは具体的な改正内容と、情シスがとりうる対応についてまとめていきます。
個人情報漏洩が発生し個人に被害が発生するおそれがある場合に委員会への通知を義務化
これまで個人情報漏洩が発生した場合の個人情報保護委員会への通知はあいまいな部分があったり明確に義務とはされていませんでしたが、この度の改正により義務化されます。
義務を果たさずに通知しなかった場合は是正勧告や命令の対象となる場合があります。
また、個人に被害が発生していなくともそのおそれがある場合でも通知の対象となります。
情シスの対応
まず通知が義務化されていますので、仮に社内規定に『漏洩発生時は○○件以上の場合に個人情報保護委員会に届け出る』みたいな条文がある場合は改正しましょう。
文言はそのまま『漏洩した情報の個人の権利利益を害するおそれがある場合に届け出る』という形がよいかと思います。
しかしながら”どういうケースに報告義務があるのか”が悩ましいところです。
これについては委員会のガイドラインが待たれるところですが、少なくとも漏洩の対象となる人数だけで判断すべきではないとの論点が示されています。
このことから、おそらく人数よりも漏洩した情報の内容に依存するかもしれません。
例えば個人の名前とメールアドレスと所属企業の情報が漏洩した場合は、その個人に標的型攻撃メールが送られるのではないか、という権利利益を害するおそれがあると言えるでしょう(個人見解)。
一方で名前と電話番号のみである場合に、テレアポは来るかもしれませんが何らかの権利利益が害されるかどうかは一考の余地ありのような気がします(もちろん個人見解)。
保有個人データの開示方法を本人が指定できるように
これまで個人データの本人が開示請求する場合は事前の取り決め無い場合は書面による方法とされています。
改正後は事前の取り決め無くとも委員会が定める方法による開示方法を指定できるようになります。
この開示方法には電子的な手段(メール、CD、DVD、USBメモリ等)が含まれます。
狙いとしては、例えば100件の開示請求をして紙で渡されても処理に手間がかかったり動画のような紙では表現できない個人データを容易に開示できるようにするためです。
なお、開示請求の手段を実現するために多額の費用が発生する場合は書面でも可となっています。
情シスの対応
CDやDVDなどの媒体はいつでも準備できますが、個人データ開示用のメールアドレスは準備してもよいかもしれません。
また、これも同じく規定などに媒体の想定が書面しかない場合は『書面以外に委員会の定める方法で開示する』という変更が必要かもしれません。
社内の承認フローが紙媒体前提としたものであればフローの改善も並行して行いましょう。
大幅なシステム改修は必要ないと思いますが、個人情報データベースを格納しているシステムにどのようなエクスポート機能があるのかは確認しておいてもよいでしょう。
罰則の強化
データベース等不正提供罪、委員会による命令違反の罰金が引き上げられます。
特に法人企業に対しては従来50万円以下または30万円以下の罰金とされていましたが、1億円以下の罰金と大幅に引き上げられます。
情シスの対応
これに関して情シスが何かをするということは差し当たっては無いでしょう。
ただし、有事の際に不正行為に及ぶと最高1億円の罰金ということは頭の片隅に入れておくと身が引き締まるでしょう。
第三者提供の記録を開示請求の対象に
第三者提供の記録とは、保有する個人データを第三者に提供する場合に提供する側と提供を受ける側が記録することです。
これまで、この第三者提供の記録は開示対象になっていませんでしたが、今回の改正により対象となります。
対象となることで開示請求をする本人は、自分自身の個人情報がどこから提供されどこに提供したのかを追跡することができるようになります。
情シスの対応
そもそも第三者提供の記録をとらずに、個人データを第三者に提供している事実があるかどうかを再確認するよう担当部署に依頼しましょう。
仮に本来は第三者提供の記録を取らなければならない仕組みや業務が動いている場合、その業務フローで提供の記録を取り委員会に届け出ましょう。
すでに第三者提供の記録をしっかりとっている場合は、記録の取り方が書面に依存していれば電子の手段に変更することをお勧めします。
前述のとおり開示の手段は電子媒体も対象になっていますので、これを機会に記録方法を電子化するとよいでしょう(そもそも膨大な記録から請求のあった個人データを探すことが大変でしょう)。
また、何らかの個人データ管理システムから自動的に第三者提供するような仕組みがある場合、いつどこへ提供されたのか(またはいつどこから提供を受けたのか)が記録されていて、簡単に取り出せるようになっているかも要チェックです。
仮名加工情報の創設
これまでの保護法では、個人を識別できる情報を削除したり戻せないよう加工した情報を匿名加工情報として扱い、個人データよりも取り扱いや安全管理措置が緩和される制度がありました。
改正法では似たような制度として仮名加工情報が新設されます。
仮名加工情報は匿名加工情報とよく似ており、個人データから個人を識別可能な情報を削除したり加工することで得られますが、匿名加工情報との違いは元の個人を識別可能な個人データに戻せることです。
仮に以下のような個人データがあったとしましょう。
※個人データは個人情報テストデータジェネレータ様を使わせていただきました。
| 氏名 | 住所 | 電話番号 | 会員ID |
| 神崎 昌也 | 愛知県津島市大縄町4丁目2番10号 | 0536-65-5967 | 1 |
| 前島 太郎 | 大阪府大阪市淀川区西中島2-2-305 | 06-6503-7888 | 2 |
| 田中 敦史 | 東京都中央区築地1丁目3番地5号 | 03-4636-8837 | 3 |
| 山本 幸恵 | 東京都杉並区下高井戸1-1-508 | 03-8102-2828 | 4 |
ここから匿名加工情報を作るとこのようになります。
| 氏名 | 住所 | 電話番号 | 会員ID |
| A | 愛知県津島市 | 0536-**-**** | * |
| B | 大阪府大阪市 | 06-****-**** | * |
| C | 東京都中央区 | 03-****-**** | * |
| D | 東京都杉並区 | 03-****-**** | * |
※これだけの情報量では住所が一意なので元の個人データに復元可能ですが、あくまで大量の個人データの一部と考えてください。
仮名加工情報ではこのようになります。
| 氏名 | 住所 | 電話番号 | 会員ID |
| A | 愛知県津島市大縄町 | 0536-65-5967 | 1 |
| B | 大阪府大阪市淀川区西中島 | 06-6503-7888 | 2 |
| C | 東京都中央区築地 | 03-4636-8837 | 3 |
| D | 東京都杉並区下高井戸 | 03-8102-2828 | 4 |
仮名加工情報はそれ単体で個人が特定できなければOKです。そういう意味では匿名加工情報よりは制限が緩和されていると考えることができます。
住所の一部を削除していますが、これは住所と電話番号の組み合わせによって個人が特定される可能性があるためです。
このように組み合わせて個人が特定できる場合は特定できないように加工が必要です。
一方、会員IDなどはそれ単体では個人を識別することは難しく、住所や電話番号と組み合わせたとしても個人の特定には至らないと考えられます。
仮名加工情報が創設された狙いは企業内の情報分析活動を活発化するためです。
これまで匿名加工情報であれば個人の許可なく作成することができましたが、上記のように情報分析に使うには情報が少なすぎてしまいます。
これを解決するため仮名加工情報であれば情報の分析に活用することができます。
ただし仮名加工情報は第三者提供してはならない、事前に仮名加工情報の取得と利用目的について公表しなければならないとされています。
情シスの対応
個人データベースから仮名加工情報を作成して何らかのデータ分析する場合は、事前にホームページなどで仮名加工情報を取得することと目的を公表しましょう。
まとめ
今回の個人情報保護法改正により大幅なシステム改修や準備は必要なさそうというのが私の見解です。
開示請求の手段が書面以外も可能になったり、委員会への漏洩の通知が明確に義務化されることは念頭に置いておきましょう。
すでに開示請求を受けることが日常業務としてある場合は、デジタル化に対応することで請求者に対して安心感も与えることができるでしょう。
PマークやJIS Q 15001認証を受けている場合は主に規定や業務フロー関連で改正が必要かもしれません。
参考資料
個人情報の保護に関する法律等の一部を改正する法律(概要)(個人情報保護委員会)
https://www.ppc.go.jp/files/pdf/200612_gaiyou.pdf
改正法に関連する政令・規則等の整備に向けた論点について(漏えい等報告及び本人通知)(個人情報保護委員会)
https://www.ppc.go.jp/files/pdf/201030_shiryou-1.pdf
個人情報保護法 いわゆる3年ごと見直し制度改正大綱(個人情報保護委員会)
https://www.ppc.go.jp/files/pdf/seidokaiseitaiko.pdf
令和2年個人情報保護法改正(アンダーソン・毛利・友常 法律事務所)
https://www.amt-law.com/asset/pdf/bulletins10_pdf/200714.pdf