【2022年】個人情報保護法改正～知っておくべき6つのポイント【対策あり】

2022年4月、改正個人情報保護法が施行されました。
この法律はデジタル社会の進歩に対応するため3年ごとに見直しをするルールがありますが、今回の改正では

という２軸の狙いがあると捉えるわかりやすいかと思います。
今回は、普段聞きなれない方でも理解しやすいようにコメントもいれつつ、わかりやすくまとめてみました。

当然、法改正ではあるので企業の責任は重くなり、ペナルティも強化されますので、まずは内容の確認と今後のとるべきと対応を整理しておきましょう。

かくいう保険業界でも個人情報流出は起きています。
アフラック、130万人分の個人情報流出 チューリッヒは75万件

【本記事を読んでほしい人】

【本記事の内容】

※できるだけシンプルにまとめました

この記事を書いている私は損害保険プランナー。
日々、様々なリスクを抱えている中小企業様のリスクコンサルタントをしています。
私は弁護士さんではないので、法律の専門家でもなく法律業務は行えませんが、普段から法律に触れる機会も多いので、一般的な理解の解説として見て頂けますと幸いです。

できるだけ”わかりやすく”まとめましたので、最後まで見ていってくださいね。

個人情報保護改正の６つのポイント

2022年4月の個人情報保護法改正は大きく６つのポイントに分かれていますので、ポイントごとに内容を確認しましょう。
※実際の条文とは異なりますので、正しく詳しく知りたい方は個人情報保護委員会のサイトでご確認ください。

ポイント1：個人の権利を強化

マイナンバー制度も始まり、データで個人情報を取り扱い機会も増えたことでデータに関するルールが改正されました。
データ管理は便利な分、不正な情報取得や漏えいするリスクも高まる可能性があります。

そのため、例えば「この企業の商品は使わなくなったし解約しよう。個人情報も必要なくなるので消してもらおう」など、ユーザー側が企業にデータの消去を請求できるようになったのは、リスク軽減という視点でもすごくよい改正ポイントかなと思います。

ポイント2：事業者の守るべき責務の追加

個人情報の漏えい時には、本人への通知が義務化されることで、企業は言い逃れができなくなりますね。

もし本人の電話番号も住所も古くて通知ができない場合は、ホームページで問い合わせ窓口を設けるなどの代替案も良いようですが、いずれにしても公にする必要があります。
当たり前のことかもしれませんが、ルール化されたことで企業責任は今まで以上に重くなります。

ポイント3：企業の特定分野を対象とする認定団体を選定可能に

様々な事業を行っている会社は、対象事業者のすべての分野を対象とするものでしたが、個人情報を取り扱っている特定の事業（部門）単位で団体認定を受けられるようになりました。会社全体での対応ではない分、スピード感は出そうですね。

ポイント4：データ利活用の促進

ここがやや難しいポイントですが、主には企業側に関わる法改正です。

「仮名加工情報」は「他の情報と照合しない限り、特定の個人を特定できないように情報を加工して得た個人に関する情報」です。
こういった「仮名加工情報」は個人情報保護法の一定のルールの適用を免れるようになるので、企業側にとっては負担軽減になりそうですね。
冒頭でお伝えした「企業の個人データ活用の促進」という軸での改正ポイントです。

一方で、個人情報、仮名加工情報、匿名加工情報のいずれにも該当しない「個人関連情報」は制限が出てきます。
例えばWEB広告などでも活用されてる「Cookie」のような情報で、第三者に渡す際には本人の同意が必要になります。

「この人は洋服のページを見たから、洋服のWEB広告を出してみよう」といったようにネット社会に生きる私たちの行動履歴は、以前まではアプリやブラウザを通して自由に活用されていましたが、アップルやgoogle社でもcookie規制も始まっており、個人情報保護法の改正でもより縛りが強くなりました。

cookie規制について知りたい方は以下の記事などが参考になるかと思います。
サードパーティcookieとは？ Apple・Googleの規制による影響を解説

ポイント5：ペナルティの強化

＜改正前後の法定刑の比較（法人の場合）＞

責任を重さを罰則で釣り上げたという感じですね。
違反の場合のペナルティではあるので、ルールにしたがって個人情報を取り扱いましょう。

ポイント6：外国の事業者や海外サーバーなども規制対象に

冷静に考えると、個人情報の貴重さに国内、海外は関係ないですからね。
今までが回避できていたのがやや不思議な感じもしますが、今後は海外事業者も個人情報保護法の対象となります。

以上が６つのポイントでした。

①個人情報の保護強化
②企業の個人データの活用促進

という狙いが見えてくる内容だったと思いますので、改めてご自身の中でも狙いと内容を整理しておきましょう。

 個人情報保護法改正で企業がして置おくべきこと

個人情報や機密情報は、一度でも流出すると回収することは困難です。
さらには企業の信頼回復となると、さらに時間も労力もかかるでしょう。
最悪、回復できない時には倒産リスクも出てきます。

前半ではザッとポイントを見てきましたが、今回の個人情報保護法改正でしておくべきことも整理してみました。

まずは個人情報の棚卸し

個人情報を保有している企業は、個人情報の活用の棚卸しを行い、全社の個人情報の取扱い業務において「不適正な利用」に該当する事例が無いか確認しましょう。

今回の個人情報保護の改正のポイント２でもご紹介した「違法又は不当な行為を助長し、又は誘発するおそれ」があると一般的に見られてしまうようなことも禁止されましたので、まずは現状把握をすることが大切です。

社員への周知と意識改革

このブログを読んでくださっている方には、

という方もいるかと思います。

普段の業務であまり法律に関わりのない社員の方ではより一層難しいかと思いますので、まずは個人情報保護法が改正されること、また具体的なポイントに絞って簡単に説明、理解を促すことが必要です。

個人情報保護員会の方でもそういったニーズがあることを察知してか、具体的なポイントがまとまった資料もありますのでぜひ見てみてくださいね。
シンプルにまとまっていて、とてもわかりやすいです。
個人情報の保護に関する法律等の一部を改正する法律（概要）

とはいえ、いきなり聞き慣れない法改正の話をされても「ぽかーん」となる方もいらっしゃるでしょう。私もいきなりプログラミングの話とかされても、何も理解できないです笑

ですので、本記事を参考にして頂いたり、

など、社会情勢や身の回りの環境も踏まえ説明すると良いかと思います。
また、社員一人ひとりの日々の職務に照らし合わせ、自身の業務中に発生しやすいリスクという切り口でお話すると自分事化して聞いてくれるのではないでしょうか。

自社内のマニュアルを整備し、運用ルールを周知する

地味ですけど、大きな費用もかからないのでめちゃくちゃ重要なポイントです。

など、ヒューマンエラー（人的ミス）の領域や、アナログなセキュリティ対策できる部分はたくさんありますので、まずは身近なところから始め、意識改革とルールの安定稼働を目指しましょう。

最悪の情報漏洩時の対策もしておく

個人情報漏洩はうっかりミスだけでなく、デジタル領域からも漏洩することもあります。
特に、近年はサイバー攻撃が増えていることもあり、セキュリティ対策をしている会社様も多いかと思いますが、それでも完全に防ぐことはできません。

「もし、情報漏洩をしてしまった時にどのように対応しますか？」

と言われると、

「どうしたらいいかわからない・・・」とい方も多いかと思います。

そのため、サイバー保険で金銭や専門コンサルタントを準備しておくのも手です。
PCでのログ確認・原因調査、メディア対応、コールセンターの設置と普段の業務ではしていないことも多く出てきますので、リスク対策として保険会社にアウトソースするのはいかがでしょう。
と、私が保険マンであるので一つご提案だけさせていただきます笑

でも真面目な話、個人情報の漏えい事故時に困らないためにも事故時の準備をしておくことは大切です。本日の本題ではないので、詳しく知りたい方はぜひお問い合わせくださいね。

まとめ

いかがでしたでしょうか。

個人情報保護法は「①個人情報の保護強化」「②企業の個人データの活用促進」のバランスを図るための法律なので、今後も社会情勢や技術の進歩に合わせて都度変更されるでしょう。

その度、従業員に説明をしたとしても「法改正とか難しくよくわからない！」と煙たがる人も出てくるかと思いますが、企業運営する上では切っても切れない重要なことです。

特にお客様の大切な個人情報となると、漏えい事故が起きた時には訴訟にもつながりかねません。まずは本記事で紹介させていただいた内容からでもぜひ取り組んでみてください。