2022年4月1日に施行された「改正個人情報保護法」では、個人情報漏洩時の委員会への報告と本人に対する通知が「義務化」された。課せられるペナルティも、右図(クリックで拡大)のとおり「厳罰化」。情報漏洩時に組織が背負う責任、生じる損害は、これまで以上に重いものとなった。
組織は一層の注意を払って個人情報を取り扱う必要があるが、4月1日の施行では、この "取り扱い" や "個人情報の定義" についても改正が行われている。改正点を踏まえて組織体制や運用管理のルールを見直さなくては、組織は先に述べた責任や損害を負うことになりかねない。
以下のリンクでは、今回の改正のポイントとそこで講じるべき対策をまとめた資料がご覧いただける。本稿ではその中から、改正のポイントに絞って簡単に解説したい。
ハンモック 提供資料
2022年4月1日『改正個人情報保護法』施行
――いま、求められる「情報漏えい対策」とは?
> > 資料ダウンロードはこちら
「改正個人情報保護法」で押さえるべきポイント
2022年4月の改正では、個人情報の定義がより明確化された。具体的には以下にある太字が改正箇所となり、組織は当該データについても厳格に管理することが求められる。
【改正後】
第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
- 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ。)で作られる記録をいう。第十八条第二項において同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。) により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
- 個人識別符号が含まれるもの
※「個人識別符号」は、大きく以下の2つに分類される。
- 身体の一部の特徴を電子計算機のために変換した符号
→DNA、顔、虹彩、声紋、歩行の態様、手指の静脈、指紋・掌紋- サービス利用や書類において対象者ごとに割り振られる公的な番号
→旅券番号、基礎年金番号、免許証番号、住民票コード、マイナンバー、各種保険証等
また、今回の改正では、組織が個人情報を利用する場合の不適切な利用について、「禁止義務」が明文化。個人本人側からも、不適切な利用がなされたときに利用停止などを請求できることとなる。従って、組織は個人データの漏洩を防ぐだけでなく、適正にそれが利用されているかまで厳格に管理しなくてはならない。
改正にあたって採るべき対策
こうした改正点を踏まえて個人情報保護委員会は、組織が講じなければならない措置やこれを実践するための手法例を「安全管理措置」として、下にある4つの観点から示している。
資料では4つの安全管理措置のそれぞれについて詳しく解説するほか、対策をより強固なものにする術として、ハンモックが提供する情報資産管理/情報セキュリティ対策ソリューション「AssetView(アセットビュー)」シリーズについて紹介。右図(クリックで拡大)は「組織的安全管理措置」を抜き出したものだが、これだけをみても、AssetViewを用いることで、安全管理措置の広範をカバーできるのがわかる。ダウンロードのうえ、ぜひ目を通してみてほしい。
ダウンロード資料のご案内
ハンモック 提供資料
2022年4月1日『改正個人情報保護法』施行
――いま、求められる「情報漏えい対策」とは?
> > 資料ダウンロードはこちら
[PR]提供:ハンモック