今こそチェックすべき改正個人情報保護法

もう早いもので3月になりました。弊社も2021年度が終了し、4月から新たな期を迎えます。
4月になると、今大きな話題となっている改正個人情報保護法が施行されます。従来の個人情報保護法は2005年に施行されたもののため、17年ぶりの大きな改訂となります。
データ活用・データ保護を事業の柱としている弊社としても大いに関係のある法律です。17年も経過しているので、データの種類・量・活用方法も大きく変わっています。
今回の改訂で変更された項目はたくさんありますが、いくつか注目すべき変更点を挙げます。

1つ目が匿名化、仮名化(かめいか)です。
データを守るだけでなく活用することを念頭に置いた項目です。これは、GDPR(EU一般データ保護規則:General Data Protection Regulation)にも出てくる文言ですが、GDPRと改正個人情報保護法では、内容が微妙に異なるようです。弊社もこの違いについて法律事務所に相談してレクチャーを受けましたが、法律の書き方に非常に曖昧な部分があり、解釈が難しいようです。法律家ではありませんので細かい正否を述べることはできませんが、一般的には以下の通りとなります。

匿名加工情報:
個人情報を、特定の個人を識別できないように(かつ復元することもできないように)加工して作成された情報

仮名加工情報:
他の情報と照合しない限り特定の個人を識別することができないように加工された個人情報

仮名化では、個人名などと紐付く情報と別に管理することで個人情報の活用をしやすくしようということのようです。
弊社でもInsight Data Maskingという製品を自社開発し、2020年にリリースしました。本製品では、個人情報をAI(機械学習)によって自動判別してデータのマスキングを行う機能を備えています。正にこの匿名化、仮名化で利用できるものですが、正確に法律・規制に準拠するためにはツールだけではなく、その運用・使い方も重要です。

2つ目が情報漏洩時の対応です。
個人データの漏えい等報告及び本人通知は改正前では努力義務であったものが、改正法により義務化します。今まで努力義務だったことに少し驚きますが、改正後は具体的な報告期日が速報として概ね3〜5日、確報として30日以内と明記されました。GDPRでも同様の記述があり、72時間以内に監督機関に報告せよとあります。
報告すべき項目には以下7つが挙げられています。
(1) 漏えい等が発生し、又は発生したおそれがある個人データの項目
(2) 漏えい等が発生し、又は発生したおそれがある個人データに係る本人の数
(3) 原因
(4) 二次被害又はそのおそれの有無及びその内容
(5) 本人への対応の実施状況
(6) 公表の実施状況
(7) 再発防止のための措置
要するに漏洩した個人データの種類と件数、その原因、想定される被害などです。
これについても、データベースからの漏洩についてはデータベース監査(いつ・誰が・どこから・データアクセスを行ったか)を行う弊社のInsight PISOが役立つツールとなります。
PISOに限定するわけではありませんが、このようなツール無く漏洩時の対応は難しいと言えます。

3つ目が罰則です。
改正前は50万の罰則が最高でしたが、今回の改正で法人の場合、
(1) 措置命令(42条2項、3項)違反の罰則:1億円以下の罰金
(2) 個人情報データベース等の不正流用:1億円以下の罰金
(3) 報告義務(40条)違反の罰:50万円の罰則
となりました。

一気に高額になりましたが、GDPRでは、
(1) 組織的な対策が疎かな場合など(第83条5項)
1,000万ユーロ、または、企業の場合には前会計年度の全世界年間売上高の2%のいずれか高い方
(2) 同意の取得・データ主体の権利・域外移転・加盟国の国内法違反・監督機関の指導不遵守といった個人の権利を侵害する場合(第83条4項)
2,000万ユーロ、または、企業の場合には前会計年度の全世界年間売上高の4%のいずれか高い方
といった莫大な罰金が課せられる可能性があります。実際に昨年Amazonに約970億の罰金を課す決定がなされました。ここまで高額になると企業活動にも大きな影響があります。
日本のヤフーは、4月に欧州経済地域及び英国でのヤフージャパンのサービスの大半を中止するとの報道がありました。これは、GDPRでプラットフォーマーへの規制が強まり、個人情報の範囲も広くEUで事業展開する域外の企業も適用対象となりうることから、規制に対して対応していくには採算が合わないことが理由です。

他にも改正されるところはありますが、今回の改正で大きくデータの管理方法が問われるのは間違いありません。
法律・規制に準拠しながらデータ活用を進めることがDXにおいて益々重要になってきますね。

Insight Data Maskingについて詳しく知りたい方は以下よりアクセスしてください。
https://www.insight-tec.com/products/idm/

Insight PISOについて詳しく知りたい方は以下よりアクセスしてください。
https://www.insight-tec.com/products/piso/

最近の記事

TOP CEOブログ 今こそチェックすべき改正個人情報保護法

Recruit 採用情報

Contact お問い合わせ

  購入済みの製品サポートはこちら