個人情報保護法の改正

2017年の個人情報保護法の改正では、3年ごとに制度を見直す規定が盛り込まれた。その規定に基づく初の法改正が2022年4月1日に施行される。今回の法改正の背景には、個人情報保護のいっそうの促進とビッグデータ時代に対応した個人情報の利活用に向けたルール整備という大きく2つの狙いがある。改正のポイントやその考え方は、以下の変更点として整理できる。

個人の権利の強化

①利用停止に関する請求権の拡充

これまで利用停止・消去・第三者提供の停止の請求は法違反がある場合に限られていた。改正後は、法違反がない状態でも、本人が望まない利用への停止要求が可能になった。

②個人データ開示のデジタル対応

これまで個人データ開示方法は、原則書面のみに限られていた。しかしそのデータ量が膨大であったり、音声・動画データが個人情報に含まれていることから、請求時にデジタルデータによる開示が指定できるようになった。

③第三者提供記録の開示請求が可能に

事業者間の個人情報のやりとりに関し、これまで開示請求の対象外とされてきた個人情報の流通情報が開示請求できるようになった。

④短期記録も保有個人情報に認定

これまで短期保存データについては、情報開示の対象となる保有個人情報に含まれなかった。改正後は6カ月以内に消去するデータについても保有個人情報に含まれることになった。

⑤オプトアウト規定の厳格化

オプトアウト規定とは、情報収集時に提供項目を明記することで、本人の承認なく第三者に個人情報を提供できるルール。改正により、提供可能な個人データの範囲が限定される。また、不正取得されたデータや、オプトアウトで取得した個人情報をオプトアウトで再提供する二重のオプトアウトが禁止された。

事業者が守るべき責務の強化

①個人データ漏えい時の報告義務

これまで漏えい時の報告は法律上の義務ではなかったため、個人情報保護委員会（PPC）が事案を把握できない懸念があった。改正後は、個人の権利利益を害するおそれが大きい漏えいが発生した際、個人情報保護委員会（PPC）および本人への通知が義務化された。具体的には、従業員の健康診断などを含む「要配慮個人情報の漏えい」、金融機関のログインIDとパスワードの組み合わせなどの「財産的被害のおそれのある漏えい」、「不正アクセスによる漏えい」、「千件を超える漏えい」が対象になる。

②不当な利用の禁止

違法行為を営む第三者への個人情報の提供禁止が明文化された。ここには、差別の誘発が十分に予測される中、すでに散在的に公開されている情報を集約し、インターネット上で公開する行為も含まれる。

データ利活用の促進

①仮名加工情報の新設

イノベーション促進という観点から、氏名などを削除した「仮名加工情報」を創設し、内部分析に限定することを条件に、開示・利用停止請求への対応などの義務が緩和された。

従来の特定の個人を識別する情報を一切持たない「匿名加工情報」に対し、仮名加工情報は、「他の情報と照合しない限り、特定の個人を識別することができないように加工した情報」を指す。具体的には「氏名を仮IDに置換」、「パスポート番号やマイナンバーの削除」、「クレジットカード番号の削除」などの加工が挙げられる。

簡単に言えば、個人関連情報のより緩やかな運用を可能にする新ルールということができる。具体的には、以下のようなケースへの利用が想定されている。

・当初の目的には該当しなかったり、判断が難しい目的の分析への活用
・将来的なビッグデータ分析を想定した、利用目的を達成した個人情報の保管

前者については、「医療・製薬分野等における研究」、「不正検知・売上予測等の機械学習モデルのリソース」などの活用が想定されている。

②個人関連情報の第三者利用規制

その一方で大量のユーザーデータを突き合わせることで、個人情報を抽出するスキームへの対応も新たに追加された。具体的には、提供元（A社）では個人情報に該当しないが、提供先（B社）では個人情報になることが想定される個人関連情報の第三者提供について、本人確認が義務づけられた。具体的にはA社が把握する購買情報がB社が保有する個人情報との紐づけが可能になる場合などが該当する。個人関連情報は以下のようなデータが該当する。

・Cookieなどの端末識別子を通じて収集された、ある個人のウェブサイトの閲覧履歴
・ある個人の商品購買履歴・サービス利用履歴
・ある個人の位置情報
これらの情報を提供先が個人データとひもづけて運用する際、規制が適用される。

ペナルティの強化

個人情報保護委員会（PPC）は、公正取引委員会などと同じ独立性の高い三条委員会で、企業への立入検査や勧告・命令権限を持つ。法に違反する事案が増加する中、PPCが報告徴収や立入検査を行うケースも増加し、報告徴収や立入検査の実効性を高めることが求められるようになった。また、これまでは法人と行為者の罰金は同額だったが、それでは法人に対し、十分な抑止効果は期待できない。こうした課題から、改正ではペナルティが強化された。

個人情報の漏えい対策としての提案商材

さまざまな脅威から情報を守るためのファイアウォールやアンチウイルス、アンチスパム、そしてWebフィルタリングなどの対策ツールといった複数のセキュリティ機能を統合したものをUTM（Unified Threat Management）と呼ぶ。どこから手を付けてよいか迷っているエンドユーザー様には、まずUTMの提案がおすすめだ。具体的な商材としては、業界最高の攻撃阻止能力を持つサンドボックス「SANDBLAST Zero day Protection」を備えるチェック・ポイント・ソフトウェア・テクノロジーズの「Quantum」シリーズやフォーティネットの「FortiGate」シリーズなどがおすすめとなる。

エムオーテックスの「Lanscope クラウド版」は、情報漏えい対策はもちろん、強力なログ管理機能を活用することで、「どの部署の」「誰が」「いつ」「何をしたのか」をリアルタイムに取得できる。万が一、情報が漏えいした場合の通知義務の実行や適切な情報を開示できる準備を整えやすいと評価が高い。また、PCの管理だけでなく、iOSやAndroidのスマホ・タブレットにも対応し、クラウド版は導入も運用も簡単な点が提案しやすいポイントだ。

たとえ情報が漏えいした場合でも「高度な暗号化」を用いて保護されたデータであれば安心感がある。デジタルアーツの「FinalCode」は、個人データを含むファイルを暗号化することで、万が一漏えいしても第三者に中身を読まれることはない。社内ファイルはもちろん、従来では守ることができなかった社外に渡したファイルを、守り、追跡し、万が一、情報漏えいが疑われる場合は、あとから消すことができる。

この他にも大塚商会BP事業部では、情報漏えい対策ソリューションを幅広くサポートしているので、提案の際にはぜひお声がけをいただきたい。