情報セキュリティで抑えるべき基礎知識～個人情報保護法とは～

企業にとって、個人情報の適切な管理は、法令遵守だけでなく、信頼獲得のためにも重要な課題となっています。しかし、個人情報をめぐる法規制は複雑で、対応を誤るとペナルティを受けるリスクがあります。

特に2020年の改正により、個人情報保護法は大幅に強化されており、個人情報の取り扱いに一層の注意が必要です。

本記事では、個人情報保護法の概要や改正のポイントを解説すると共に、企業が個人情報を適切に保護し、法令遵守と信頼獲得を両立するための方策について考察します。個人情報をめぐる最新動向を知り、自社の対策を見直すきっかけとしてください。

個人情報保護法の概要

個人情報保護法は、個人情報の適正な取り扱いを定めた法律です。ここでは、個人情報保護法の概要について説明します。

個人情報保護法とは

個人情報保護法は、個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とした法律です。2003年に制定され、2005年4月に全面施行されました。 この法律は、個人情報を取り扱う事業者に対して、個人情報の適正な取得、利用、管理などを義務付けています。また、個人情報の保護に関する施策を総合的に推進するための機関として、個人情報保護委員会を設置しています。その後、デジタル技術の進展やグローバル化など、社会情勢の変化や個人情報に関する意識の高まりなどに対応するため、これまでに3度の大きな改正が行われました。

個人情報の定義

個人情報保護法における個人情報とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができる情報のことです。これには、他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含みます。生年月日や電話番号などは、それ単体では特定の個人を識別できませんが、氏名など他の情報と組み合わせることで特定の個人を識別できるため、個人情報に該当すると考えられます。また、メールアドレスもユーザー名やドメイン名から特定の個人を識別できる場合は、それ単体でも個人情報に該当します。

ほかに、番号、記号、符号など、その情報単体から特定の個人を識別できる情報で、政令・規則で定められたものを「個人識別符号」といい、個人識別符号が含まれる情報は個人情報となります。個人識別符号の例を挙げると、身体の一部の特徴を電子処理のために変換した符号で、顔、指紋、虹彩、声紋、歩行の様態、手指の静脈、掌紋の認証データなどです。ほかに、パスポート番号、運転免許証番号、基礎年金番号、マイナンバー、保険者番号など個人に割り振られる公的な番号も個人識別符号に挙げられます。

要配慮個人情報とは

要配慮個人情報とは、公開されることで、本人が不当な差別や偏見などの不利益を被らないようにその取扱いに特に配慮すべき情報をいいます。以下の個人情報は「要配慮個人情報」として取り扱いには特に配慮が必要です。

このような「要配慮個人情報」の取得には、原則としてあらかじめ本人の同意が必要です。

個人情報取扱事業者の義務

個人情報取扱事業者は、個人情報保護法に基づき、以下のような義務を負います。

• 個人情報の利用目的の特定と公表・通知義務
• 個人情報の取得に際しての利用目的の通知・公表義務
• 個人情報の適正な取得義務
• 個人データの安全管理義務
• 従業者の監督義務
• 委託先の監督義務
• 第三者提供の制限義務
• 個人情報の開示、訂正、利用停止等の請求への対応義務
• 苦情処理義務
• 仮名加工情報取り扱いに関する義務
• 匿名加工情報取り扱いに関する義務
• 個人関連情報取り扱いに関する義務

個人情報取扱事業者は、これらの義務を遵守するために、社内規程の整備、従業員教育、安全管理措置の実施など、組織的な取り組みを行う必要があります。

個人情報保護委員会の役割

個人情報保護委員会は、個人情報の保護に関する基本方針の策定、個人情報保護法の執行、個人情報の保護に関する施策の策定・実施などを行う機関です。 具体的には、以下のような役割を担っています。

• 個人情報保護に関する基本方針の策定
• 個人情報保護法の執行（立入検査、指導・助言、勧告・命令など）
• 個人情報の保護に関する施策の策定・実施
• 個人情報の保護に関する広報・啓発活動
• 個人情報の保護に関する国際協力
• 認定個人情報保護団体の監督

個人情報保護委員会は、個人情報の適正な取り扱いを確保するために、事業者に対する指導・監督を行うとともに、個人情報の保護に関する施策を総合的に推進しています。

個人情報保護法の改正点

2020年の個人情報保護法改正では、様々な点が見直されました。ここでは、その主要な改正点について詳しく解説します。

2020年改正の背景

近年、デジタル技術の急速な発展に伴い、個人情報の利活用が飛躍的に拡大しています。一方で、個人情報の不正利用や大規模な情報流出事故など、プライバシーに関するリスクも高まっています。 こうした状況を受け、個人の権利利益の保護と、個人情報の適正な利活用のバランスを図るべく、2020年に個人情報保護法が改正されました。改正法は2022年4月に全面施行されており、企業はその対応が求められています。

主な改正内容

2020年の改正では、主に以下のような内容が盛り込まれました。

• ペナルティの強化
• 域外適用の明確化
• 仮名加工情報の創設
• 個人情報の漏えい等報告の義務化
• オプトアウト規制の強化
• 利用停止請求権等の個人の権利の強化

これらの改正により、個人情報保護法は大幅に強化され、企業にはより高度なプライバシーガバナンスが要求されるようになりました。以下、主要な改正点を詳しく見ていきましょう。

ペナルティの強化

改正個人情報保護法では、法令違反に対する罰則が大幅に強化されました。具体的には、個人情報保護委員会の命令に従わない場合の罰金が、従来の30万円以下から100万円以下へと引き上げられました。 また、個人情報データベース等不正提供罪が新設され、不正な利益を図る目的で個人情報データベース等を提供した者は、1年以下の懲役または50万円以下の罰金に処されることとなりました。法令遵守への企業の意識を高める狙いがあります。

域外適用の明確化

改正前の個人情報保護法では、日本国内で個人情報を取り扱う事業者のみが規制の対象とされていました。しかし、改正法では、国外においても日本人の個人情報を取り扱う事業者に対し、法の適用が及ぶことが明確化されました。 これにより、国境を越えたデジタルビジネスを展開する企業は、日本の個人情報保護法を遵守する必要が生じました。国外企業も法の適用対象となることで、日本人の個人情報がより手厚く保護されることが期待されています。

仮名加工情報の創設

改正個人情報保護法では、「仮名加工情報」という新しい類型の情報が創設されました。仮名加工情報とは、他の情報と照合しない限り特定の個人を識別できないように加工した情報のことを指します。 仮名加工情報の利用は、一定の制約の下で、個人の同意なく可能とされています。これにより、ビッグデータの分析など、パーソナルデータの幅広い活用が促進されることが見込まれます。一方で、不正な再識別のリスクに留意し、適切な管理が求められます。

個人情報保護法遵守のための対策

個人情報保護法の遵守は、企業にとって重要な責務です。ここでは、個人情報保護法を遵守するための具体的な対策について解説します。

個人情報保護方針の策定

個人情報保護方針は、個人情報保護法遵守の基本となる重要な文書です。この方針を策定することで、企業としての個人情報保護に対する姿勢を明確にすることができます。 個人情報保護方針には、個人情報の取得方法、利用目的、安全管理措置、苦情対応等について明記する必要があります。また、この方針は社内外に公表し、全従業員に周知徹底することが求められます。

個人情報の適切な取得と利用目的の特定

個人情報を適切に取得し、利用目的を特定することは、個人情報保護法遵守の基本中の基本です。個人情報を取得する際には、適法かつ公正な手段を用いる必要があります。 また、取得した個人情報の利用目的を可能な限り特定し、本人に通知または公表しなければなりません。利用目的の範囲内でのみ個人情報を取り扱うことが求められ、目的外利用は原則禁止されています。

安全管理措置の実施

個人情報の漏えい、滅失、毀損を防ぐため、企業には安全管理措置の実施が義務付けられています。具体的には、以下のような措置が考えられます。

• 個人情報へのアクセス制限
• 個人情報の暗号化
• 不正アクセス防止のためのセキュリティ対策
• 個人情報の持ち出し制限
• 委託先の監督

これらの措置を確実に実施することで、個人情報の適切な管理を図ることができます。

従業員教育の重要性

個人情報保護法の遵守には、従業員一人ひとりの意識と理解が不可欠です。そのため、全従業員を対象とした教育・啓発活動が重要となります。 教育内容としては、個人情報保護法の概要、社内規程の説明、具体的な注意点などが考えられます。定期的な研修の実施や、日常業務の中での注意喚起により、従業員の個人情報保護意識を高めていくことが求められます。

個人情報漏えい時の対応

万が一、個人情報の漏えいが発生した場合、迅速かつ適切な対応が求められます。漏えい事案が発生した際の対応手順を予め定めておくことが重要です。 具体的には、以下のような対応が必要となります。

1. 事実関係の調査
2. 影響範囲の特定
3. 原因究明と再発防止策の検討
4. 関係者への連絡・公表
5. 個人情報保護委員会等への報告　

※個人情報保護委員会の権限が事業所管大臣に委任されている分野における個人情報取扱事業者は、委任先省庁等に報告します（委任先省庁を通じて個人情報保護委員会に報告されます）。
これらの対応を迅速に行うことで、被害の拡大を防ぎ、信頼の回復を図ることができます。

以上、個人情報保護法遵守のための具体的な対策について解説しました。企業には、これらの対策を確実に実施し、個人情報の適切な保護に努めることが強く求められています。

個人情報保護法違反の事例と注意点

個人情報保護法に違反した場合、企業には様々な罰則が科せられます。ここでは、個人情報の不適切な取り扱い事例や漏えい事故の事例を交えながら、違反した場合の罰則について解説します。

個人情報の不適切な取り扱い事例

個人情報の不適切な取り扱いには、以下のような事例が挙げられます。

• 個人情報の目的外利用や第三者提供
• 個人情報の不正な収集や利用
• 個人情報の安全管理措置の不備
• 個人情報の漏えい、滅失、毀損

例えば、顧客から収集した個人情報を本人の同意なく、マーケティング目的で利用したり、外部業者に提供したりすることは法律違反となります。また、個人情報を適切に管理せず、従業員のミスや不注意によって情報が漏えいした場合も、企業の責任が問われます。

個人情報漏えい事故の事例

近年、大企業での個人情報漏えい事故が相次いでいます。ある大手通信会社では、契約者の氏名や住所、電話番号などの個人情報が外部に流出し、大きな社会問題となりました。 また、ネット通販大手では、システムの不具合により、他の顧客の個人情報が閲覧可能な状態となる事故が発生。信用失墜やブランドイメージの低下など、企業に与える影響は計り知れません。

違反した場合の罰則

個人情報保護法に違反した場合、企業には以下のような罰則が科せられる可能性があります。

1. 1年以下の懲役または100万円以下の罰金
2. 個人情報保護委員会からの勧告や命令
3. 損害賠償請求や信用失墜などの民事上の責任

法律で定められた安全管理措置を怠ったり、個人情報の不正な取得・提供を行ったりした場合は、懲役刑や罰金刑が科せられることもあります。さらに、個人情報保護委員会から業務改善の勧告や命令を受けたり、情報漏えいによる被害者から損害賠償を請求されたりするリスクもあるのです。

コンプライアンス意識の徹底

個人情報保護法違反を防ぐためには、企業としてコンプライアンス意識を徹底することが重要です。 具体的には、以下のような取り組みが求められます。

• 個人情報保護方針の策定と周知徹底
• 個人情報の適切な取得・利用・提供
• 個人情報の安全管理体制の整備
• 従業員への教育・啓発活動の実施

企業は個人情報保護に関する方針を明文化し、全従業員に周知徹底する必要があります。また、個人情報の取り扱いに関するルールを定め、適切に運用していくことが求められます。 加えて、情報セキュリティ対策の強化や、従業員への定期的な教育・訓練も欠かせません。一人ひとりがコンプライアンス意識を持ち、法令遵守を徹底することで、個人情報保護法違反のリスクを未然に防ぐことができるのです。

まとめ

個人情報保護法は、企業にとって情報セキュリティ対策の根幹をなす重要な法律です。個人情報の適切な取り扱いを確保するためには、技術的対策と組織的対策を適切に組み合わせ、継続的な改善を図ることが求められます。

情報漏えいによる信用失墜やブランドイメージの低下は、企業に取り返しのつかない損害を与えかねません。個人情報保護法を遵守することは、企業の社会的責任であると同時に、自社の存続にも関わる重要な経営課題なのです。

エス・ピー・ネットワークでは、企業の情報セキュリティ対策をサポートしています。情報セキュリティに関する課題やお悩みがありましたら、お気軽にご相談ください。詳しいサービス内容は以下のURLをご覧ください。

→ SPNの不正アクセス・情報漏えい対応サービス

→ 資料のダウンロードはこちら