セキュリティの
学び場

今回の解説ニュース

改正個人情報保護法の対応状況について発表されており、約4割の法人組織が未完了ということです。2022年4月に施行された改正個人情報保護法の主な改正ポイントについて説明します。

今回の調査は、2022年4月1日の個人情報保護法の改正法の全面施行を受け、法人組織を対象に2022年3月に実施されたものです。調査結果によると、施行1ヶ月前での段階で40.6%の法人組織が未完了で、施行開始までの対応が難しい組織が一定数存在することが明らかとなりました。

また、改正の最も大きなトピックは「個人情報が漏えいした際の報告の義務化」とされており、企業などで情報漏えいが発生し個人の権利や利益を害する恐れが大きい場合は、政府の個人情報保護委員会と本人への通知が必須となったことが挙げられています。しかし、同調査によると、報告の義務化を把握していない組織が23.1%にも上っているということです。

委託先での監査状況について調査したところ、「すべての委託先の個人情報の管理体制について監査を実施している」は53.0%に留まり、委託先の個人情報の管理体制について、監督責任を果たしていない法人企業が一定数存在することも明らかとなりました。

改正個人情報保護法、漏えい等の報告や本人通知が義務化へ

改正個人情報保護法の主な改正ポイントは8点ありますが、その中でも「漏えい等報告・本人通知の義務化」について説明します。

• 改正個人情報保護法の主な改正ポイント
• ・ 漏えい等報告・本人通知の義務化
• ・ 外国にある第三者への提供
• ・ 保有個人データの開示方法
• ・ 個人データの利用の停止・消去等の請求
• ・ 公表等事項の充実
• ・ 不適正利用の禁止
• ・ 個人関連情報
• ・ 仮名加工情報

その中でも、特に「漏えい等報告・本人通知の義務化」の影響が大きいと考えられます。

これまでは努力義務だった個人情報保護委員会への報告や本人通知が義務化されました。具体的な条件として、要配慮個人情報の漏えい等、財産的被害の恐れがある漏えい等、不正の目的による恐れがある漏えい等、1000件を超える漏えい等、が挙げられており、各漏えい等のおそれがある場合も対象とされています。ちなみに、漏えい等の定義は「個人データが外部に流出すること」「個人データの内容が失われること」「個人データの内容が意図して変更されることや内容を保ちつつも利用不能な状態になること」とされています。

また、漏えい等の報告は、3～5日以内に把握している内容を「速報」として報告し、30日以内にすべての報告事項を「確報」として2段階で行う必要があるとされています。なお、不正アクセス等の確報については、60日以内とされています。

個人データの利用停止、消去等の請求権拡大で何が変わる？

利用者として知っておいた方がいい改正個人情報保護法の改正ポイントは、個人データの利用の停止・消去等の請求に関する点です。その内容について説明します。

今までは「個人情報保護法違反」の場合に限られていたが

改正個人情報保護法では、個人データの利用停止や消去等の請求権が拡大されました。以前は利用停止や消去等の請求ができるのは、「目的外利用」「不正取得」「第三者提供義務違反」など、個人情報保護法違反の場合に限られていました。

個人の権利、又は正当な利益が害されるおそれがある場合にも拡充

新たに追加されたのは「利用する必要がなくなった場合」「個人情報保護委員会への報告義務のある、重大な漏えい等が発生した場合」「本人の権利又は正当な利益が害されるおそれがある場合」です。つまり、個人の権利又は正当な利益が害されるおそれがある場合にも拡充されたことになります。

私たちの身近で起こりうる事例にも適応がなされることも

例えば、メルマガの購読停止後や、不正アクセスでクレジットカード情報が漏えいした際に、個人データの利用停止や削除等が請求できることになります。ダイレクトメールの送付停止を求めているのに、しつこく繰り返し送付してくる事業者に対しては、本人が利用停止を請求することができるので、知っておいた方がいいかもしれません。

今回は、改正個人情報保護法の主な改正ポイントについてお届けしました。