個人情報保護法とは
個人情報保護法とは、個人の権利・利益の保護と個人情報の有用性とのバランスを図るための法律です。
通信社会の進展と共に個人情報の利用が急速に拡大する中で、個人情報を取り扱う事業者の遵守すべき義務などを定めることで、
個人情報の有用性に配慮しつつ、個人の権利利益を保護することが個人情報保護法の目的です。
2020年の法改正は、「いわゆる3年ごと見直し制度」(※1)に関する規定に基づくものです。
今回の改正では、主なポイントとしては
①GDPRなどの諸外国のプライバシー法制に合わせ、事業者の個人情報取り扱いの責務の在り方を重くし法人の罰金刑の最高額を引き上げる厳罰化、
②「リクナビ内定辞退率事件」(※2)などの反省によるCookie利用の制限、
③「仮名加工情報」というデータ活用の枠組みを設定し、企業にとってデータを活用しやすくする
―――などが挙げられます。1つずつ見ていきましょう。
- ※1…個人情報保護法は2003年に制定(2005年全面施行)され、2015年に改正が行われました。この改正法においては、情報通信技術の進展が著しいことなどから3年ごと見直し制度が設けられました。この制度では、個人情報保護法の施行後3年ごとに、個人情報の保護に関する国際的動向、情報通信技術の進展、それに伴う個人情報を活用した新たな産業の創出や発展の状況などを考慮し、必要に応じて必要な措置を講ずることが定められています。
- ※2…「リクナビ」を運営するリクルートキャリアが、Cookieなどを利用し内定辞退率を割り出して企業に販売していた事件。Cookie・IDと、別のデータベースにある氏名などの情報を突合し、特定個人の閲覧履歴を入手して販売していたことが社会的な問題になった。
(1)企業の個人情報漏洩に対する厳罰化
今回の改正により、これまで努力義務であった個人情報漏洩時の個人情報保護委員会への報告と本人への通知が義務化されました。
また、ペナルティとして、委員会による命令違反や委員会に対する虚偽報告などの法定刑が引き上げられました。
- 命令違反:6カ月以下の懲役または30年以下の罰金→1年以下の懲役または100万円以下の罰金
- 虚偽報告等:30万円以下の罰金→50万円以下の罰金
さらに、これまでデータベース等不正提供罪、委員会による命令違反の罰則について個人と法人が同額でしたが、
今回の改正により法人に対しては1億円以下の罰金が科せられることになり、厳罰化が図られました。
これらは、欧州のGDPRによる巨額の制裁金(上限…企業の全世界年間売り上げの2%、または1000万ユーロのいずれか高い方)が求められることに対して、
日本では漏洩した企業に対して最高で50万円という罰金は低すぎるなどの声を受けたものでした。
例えば、サイバー攻撃などの不正アクセスによる漏洩も、件数を問わず被害に遭った本人に通知するよう義務付けられています。
通知義務を怠ったり通知が遅かったり、あるいは情報漏洩に関する説明が不十分だったりするなど、対応に不備があれば、
漏洩の被害者から法令違反を問題にされるリスクは高まります。
これを機に、情報漏洩対策の再点検と事故時の事実関係を速やかに調査し原因を究明できる緊急時の対応体制の整備が求められます。
(2)Cookieの利用規制
もう一つの改正案の大きな特徴として、企業などが利用者の様々なデータから個人を分析する行為への規制があげられます。
具体的にはネットの閲覧履歴などを集められるCookieの利用を制限するもので、
現行法はCookieで収集するデータを原則「個人情報」とみなさないため、
多くの企業が「規制対象外」として、広告やマーケティング向けの分析に多用しています。
改正案では、個人の分析をしようとする企業が、他社からCookie情報を集めてデータベースに加える場合、本人の同意を取るよう義務付けました。
提供する企業も、データを集める企業に「本人の同意を得たか」を確認する必要があります。
これは、個人データの扱い方の透明性を高め、本人が知らないうちに行動や嗜好を分析(プロファイリング)されることを防ぐ目的があります。
現行法は個人情報を集める際に「販促活動のため」など利用目的のみを示せばよいことになっていますが、
改正後は「データ処理方法」も明示しなければなりません。
人工知能(AI)や機械学習で個人の好みを推測するなど、データをどう扱うかを利用者に説明する必要があるということです。
法改正の議論は、2019年はじめから本格化しており、
当初は個人情報保護委員会などに「規制を強め過ぎてデータ活用を萎縮させてはならない」との懸念が根強く、
個人分析の規制強化は前向きに検討されていませんでした。
ところが2019年8月の就職情報サイト「リクナビ」を運営するリクルートキャリアによる、
Cookieなどを利用した就活生の内定辞退率を割り出して企業に販売していたことが個人データの乱用への批判に繋がり、
改正案にも行きすぎた個人の分析を防ぐ条文を盛り込むことになったという経緯があります。
Cookieを使った企業間での個人に関わる情報のひも付けは、ネット広告や電子商取引などで広く使われています。
マーケティング目的などで個人関連情報を使っている場合は、新たに個人からどう同意を取るかの検討を急ぐ必要があります。
(3)「仮名加工情報」の設定
法改正では、イノベーションを促進する観点から氏名などを削除した「仮名加工情報」を創設しました。
仮名加工情報は以下のように定義されています。
「1号個人情報」(氏名、生年月日その他の記述などにより特定の個人を識別することができるもの)と「2号個人情報」(個人識別符号が含まれるもの)の区分に応じて、以下の措置を講じて他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報をいう。
- 「1号個人情報」
当該個人情報に含まれる記述などの一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む) - 「2号個人情報」
当該個人情報に含まれる個人情報識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により、他の記述等に置き換えることを含む
内部分析に限定することを条件に、開示・利用停止請求への対応などの義務が緩和されるほか、
漏洩した場合も個人情報保護委員会への報告適用外になるなどのメリットがあります。
「情報セキュリティ」関連サービス・レポート
セミナーや研修
当社ではSNS利用上のリスクや情報管理(主に情報漏えい対策)に関して、
セミナーや研修を企業・自治体・学校、病院等の分野で数多く実施しております。
新社会人(新入生)に限らず全社的に、セミナーや研修を通じて教育を実施し、
インターネットの特性や情報リテラシーの理解、意識の向上を検討されている際は是非ご相談ください。
情報漏えいに関わるコンサルティング
情報管理の体制整備の支援、規程策定の支援も行っております。
さらに、万が一漏えい事故が発生した場合の行政対応や被害者への連絡、問い合わせ対応などについてもサポートしております。
書籍
>> 現場のプロが教える 『情報漏えい対応のリアル』漏えい事故 実態調査と最新事例情報流出時の危機対応だけでなく、理想(マニュアル)と現実対応のギャップを実例と共に解説します。
企業の個人情報・機密情報等管理担当者や企業経営者が、これまで実際に発生した企業の情報漏えい事故の実態・事故対応実例を参考にでき、
漏えい事故が発生・発覚した後の適切な対応方法が学べる危機回避対策実践書です。
SPNレポート
>> 「SPNレポート2017(情報セキュリティに関するアンケート)」企業における情報セキュリティ事故対応の準備状況や対策の実施状況の実態を把握するためにアンケート調査を実施しました。
この調査が、情報管理体制を最適な状態に維持するためのきっかけとなり、
事故発生時の事業継続や事態を極小化するための指標として活用していただければ幸いです。
