令和4年4月施行 個人情報保護法改正 今回こそ、真摯に取り組みましょう。

 個人情報保護法は、3年毎に改正があります。今回施行されるのは、令和2年制定の改正個人情報保護法になります。個人情報の適切な管理は、確かに必要です。先取りして準備してきた企業・団体もあるとは思いますが、これまでは、どちらかという消極的な対応をされていた企業・団体も多かったのではないでしょうか。

1.これまでは、個人情報漏洩対策中心

 2005年に個人情報保護法が施行されて以来、個人情報の管理と言えば、漏洩防止対策、または漏洩事件の再発防止策だったように思います。セキュリティも漏洩防止対策が中心でした。

2.令和4年 改正ポイント

 今回の改正「ポイント」は、以下の6点です。
 全般的には、規制強化ですが、利活用促進も含まれています。

・個人の権利利益保護の強化
・事業者への責務追加
・特定分野を対象とする団体の認定団体制度創設
・データ利活用の促進
・法令違反に対するペナルティの強化
・外国事業者に対する報告徴収・立入検査などの罰則追加

3.環境の変化

 令和2年のコロナ感染症に対する緊急事態宣言を受けて、テレワークが進みました。また、今年1月からの改正電子帳簿保存法の電子取引についての電子保存の義務化により、各社でのデジタル化も大幅に進んでいます。一方、ランサムウェア(身代金要求型ウイルス)によるファイル暗号化や、ワイパー型マルウェア(データ消去型マルウェア)によるデータの喪失も増えて来ています。

4.事業者への責務追加

 これまでは、情報漏洩等が発生した時

 ①個人情報保護委員会への報告は努力義務
 ②本人通知は法律上の義務ではない
  でしたが、今改正では、漏えい毀損などが発生した際、以下のようになります。
 ①個人の権利利益の侵害のおそれが大きい場合、個人情報保護委員会への報告を義務化
 ②本人への通知も原則義務化

 ここで特に留意して頂きたいのが、この法律でも毀損すなわちデータ喪失や他者による暗号化も重要インシデントと捉えられていることです。

5.データの喪失対策が重要になった

・デジタル化が進んだ上に、ウイルスによるデータ喪失の危険が高まりました。これまでのように情報漏洩対策だけでは不十分になりました。さらに今回の改正でも、そこを重要と捉えています。

・今回の改正では、必要に応じたデータ削除を行わなければいけない一方、データを喪失してもいけません。システム的には、データ削除ができるということはデータ喪失や他者による暗号化を受けやすくなります。一般には、バックアップをきちんと備える必要があります。

6.文書情報マネジメントの考え方の必要性

 個人情報には、いろいろな種類があり、その対処も単一ではありません。対応するシステムも高価、高度機能なものから比較的安価で簡単な機能のものがあります。
 こんな時に必要なのは、文書情報マネジメントのバランス感覚です。個々の情報に対し、漏洩防止とデータ喪失の防止を合わせてバランスをとって考えて行きましょう。

(溝上)