個人情報保護法改正のポイントと企業の対策をわかりやすく解説！

2020年に個人情報保護法が見直されて、2022年4月に個人情報保護法が改正されました。
そこから２年経ち、改正個人情報保護法のポイントを再度確認して、現在において企業が取るべき対応を解説します。
当記事では、22年に改正された６つのポイントを分かりやすく解説。事業者の義務や罰則など、理解しておくべき事項を詳しく説明します。
さらに情報漏えいの対策としてパスワード管理の対策をまとめていますのでぜひご一読ください。

個人情報保護法とは？

個人情報保護法とは

個人情報保護法（正式名称：個人情報の保護に関する法律）は、2003年5月に成立・2005年4月に施行された、個人情報を取り扱う際のルールを定めた法律です。

成立の背景には、デジタル社会の進展による国民のプライバシーに対する意識の高まりが挙げられます。
2003年の成立当時は、インターネットが発達し個人情報を活用した便利なサービスが提供される一方で、不必要に個人情報を提供すること、利用されることへの不安が広がっていたことから法律が定められました。

2022年4月に施行された改正法では、デジタル社会の発展による国民の個人情報に関する意識の高まりや、イノベーションを促進するための個人情報の保護と活用のバランス、海外へのデータの流通による新たなリスクへの対応などをふまえています。

事前知識：個人情報とは？対象者となる事業者

「個人情報」の保護といっても、事業者が扱っている情報はいくつかの種類に分類することができます。解説のなかで使用している用語の定義は、下記の表をご覧ください。
また、個人情報保護法の対象となるのは、個人情報データベース等を事業に用いている全ての事業者です。 以前は「保有する個人情報が5,000人未満である小規模事業者」は対象から除外されていたましが、平成27年の法改正により廃止。全ての事業者が対象になりました。

2022年個人情報保護法改正ポイント

ここからは、2022年4月改正の６つのポイントを解説します。

改正ポイント①　個人の権利を強化

✓ 保有個人データの利用停止・消去に関する権利が拡大

旧法：本人が保有個人データの利用停止・消去・第三者への提供停止を請求できる場面が下記に限定されていました。
・個人情報を目的外利用したとき
・不正の手段により取得したとき
・本人の同意なく第三者に提供した場合
・本人の同意なく外国にある第三者に提供した場合

新法：保有個人データの利用停止・消去・第三者への提供停止を請求できる場面が追加。旧法の場面に加えて、下記の場面でも請求できるようになりました。
・個人情報取扱事業者が、保有個人データを利用する必要がなくなったとき
・保有個人データの漏えい等が生じたとき
・保有個人データの取扱いにより、本人の権利又は正当な利益が害されるおそれがあるとき

✓ 保有個人データの開示方法が選べるように、デジタル化も

旧法：保有個人データの開示方法は書面に限定されていました。
新法：本人の指定する方法での開示が義務付けられるように。電磁的記録での提供も可能になりました。

✓ 短期保存データも保有個人データの対象に

旧法：6ヶ月以内に消去する短期保存データは保有個人データに含まれず、事業者は本人による開示・訂正・利用停止に応じる義務がありませんでした。
新法：短期保存データも保有個人データに含まれるように。開示・訂正・利用停止義務の対象となりました。

✓ 第三者に提供できる情報の範囲を制限

オプトアウト規定により第三者に提供できる個人データの範囲が制限されることになりました。

旧法：提供が制限される情報
・要配慮個人情報

新法：提供が制限される情報
・不正取得された個人データ
・オプトアウト規定により提供された個人データ

※要配慮個人情報とは：人種や病歴、犯罪の経歴/被害など本人に対する不当な差別、偏見その他の不利益が生じないよう取扱いに特に配慮を要するもの（詳細）

※オプトアウト規定とは：個人データの第三者提供のためには本人の事前の同意（オプトイン）が必要です。これに対して、オプトアウト制度では本人の事前の同意がなくても個人データを第三者に提供することができます。ただし、本人の求めがあれば事後的に停止すること、あらかじめ本人に通知または本人が容易に知り得る状態に置くなど条件があります。

✓ 個人データ授受についての記録を開示できるように

旧法：事業者の情報提供について本人が追跡する手段がなく、不正な情報取得が見逃されていました。
新法：第三者提供記録を本人が開示請求できるように。

事業者には「第三者提供記録」の作成が義務付けられています。情報を提供する側/される側双方に作成義務があり、今回の改正ではその記録を本人が開示できるようになりました。

改正ポイント② 事業者の義務を強化

✓漏えい等発生時の報告義務化

漏えい等が発生し、個人の権利・利益を害するおそれがある場合に、個人情報保護委員会と本人へ通知することが義務付けられました。報告が必要な場面は以下の通りです。

＜報告義務がある場面＞（下記が発生または発生したおそれがある場合）
・要配慮個人情報が含まれる個人データの漏えい・滅失・毀損
・不正利用により財産的被害が生じるおそれがある個人データの漏えい・滅失・毀損
・不正な目的で行われたおそれがある個人データの漏えい・滅失・毀損
・個人データに係る本人の数が1,000人を超える漏えい・滅失・毀損

※要配慮個人情報とは：人種や病歴、犯罪の経歴/被害など本人に対する不当な差別、偏見その他の不利益が生じないよう取扱いに特に配慮を要するもの（詳細）
※認定団体に加入している場合は認定団体への報告でも可。手続き等が簡略化されるために、取引先や顧客への対応に時間を割くことができます。

✓ 個人情報の不適正な利用を禁止

個人情報を不適正に利用してはならない旨が明文化されました。
具体的な事例として、「違法行為を営む第三者への個人情報提供」「裁判所による公告等により散在的に公開されている個人情報について、差別が誘発されるおそれがあることが十分に予見できるにもかかわらず、集約してデータベース化しインターネット上で公開する」などが該当します。

改正ポイント③　罰則を強化

下記表の通り罰則が強化されます。

大きな変更点としては、命令違反・データベース等不正提供があった場合に法人に科される罰金が「1億円以下」まで大幅に引き上げられたことが挙げられます。旧法では行為者個人と同額（命令違反：30万円以下、不正提供：50万円以下）でしたが、事業者による組織的な犯罪の抑止・個人との資力の差が考慮され引き上げられました。

改正ポイント④　認定団体制度の見直し

認定団体（認定個人情報保護団体）とは、民間による個人情報保護の推進を目的に、個人情報保護委員会が認定する団体を指します。
＜認定団体の業務例＞
・個人情報保護指針の作成
・対象事業者の指導・監督
・対象事業者への苦情を公正な立場から処理
・対象事業者における漏えい等発生時の対応
※対象事業者とは：各団体に加盟している事業者

旧法では対象事業者のすべての分野・部門における業務を行っていましたが、新法では特定分野・部門の業務を行う団体も認定されることになりました。
「通信販売」「証券」「保険」など企業の特定分野における業務（個人情報保護の指導や苦情処理）が可能になり、専門知識が必要な分野における民間による個人情報保護を推進します。

改正ポイント⑤　データ利活用の促進

✓「仮名加工情報」を創設、条件付きで事業者の義務を緩和

「仮名加工情報」とは、氏名を削除するなど個人を識別できないよう加工した情報を指します。

今回の改正で、内部分析に限定すること等を条件に、事業者の義務が緩和されることになりました。仮名加工情報であれば、漏えい等の報告義務や、開示請求・利用停止等の適用対象外となります。

✓ 提供先で個人を識別される可能性がある情報提供には、本人の同意が必要に

提供元では個人データに該当しないものの、提供先で個人と関連付けられる可能性がある情報を提供する際には、本人の同意が必要もになります。
例えば、Cookieなどの識別子情報は単体で個人を識別できないものの、他データと組み合わせることで個人を特定できる可能性があります。そのため、第三者への提供時には本人の同意が必要です。

改正の背景には、2019年に大きな問題となった「リクナビ問題」があります。
提供元であるリクルートキャリア社が、個人を識別しない方式で内定辞退率を算出。提供先企業では個人の識別が可能であることを知りながら、同意を得ずに情報提供していたことから問題になりました。改正により、同様のケースでは情報提供の際に学生本人の同意が必要になります。

改正ポイント⑥　外国事業者の規制強化

旧法では、外国事業者は個人情報保護委員会の報告徴収や立入検査、命令の適用外であり、委員会は指導や助言・勧告など強制力を持たない対応しかできませんでした。もちろん罰則も適用されません。

しかし、今回の改正により、国内にある者の個人情報を扱う事業者のうち、法に違反している恐れがある外国事業者に対して報告徴収・立入検査・命令が可能になります。

改正の背景には、インターネットの発展により、国境を超えた個人情報の取り扱いが増加したことが挙げられます。外国事業者が運営するECサイトで商品を購入することは当たり前の行為であることから、「日本の消費者の個人情報を取り扱う事業者」として規制が強化されることになりました。

企業における個人情報の漏えいの問題とその対策について

個人情報が漏えいした際には、個人情報保護委員会への報告と本人への通知が義務化されるようになった今、企業が情報漏えいが起きると大きいダメージとなります。
企業はどのような対策を行う必要があるでしょうか。

情報漏えいの現状

東京商工リサーチの調査によると、2022年に上場企業とその子会社で、個人情報の漏えい・紛失事故を公表したのは150社、漏えい事故の件数は165件で、漏えいした個人情報は592万7,057人分とのことです。
2023年に警察庁が公表した企業・団体におけるランサムウェア被害は、上半期だけで103件を超えていました。被害に遭った企業の規模は大企業が約3割、中小企業が約6割、団体などが1割という内訳でした。

情報漏えいが発生する原因

情報漏えいは、外部要因と内部要因の２つに分けられます。

外部要因
東京商工リサーチの調査によるとサイバー攻撃など2022年に発生した情報漏えいのうち、もっとも多い原因は「ウイルス感染・不正アクセス」でした。
開封したパソコンを感染させるマルウェアが潜んだファイルが添付されたメールは頻繁に来ています。
また、悪意ある第三者が不正に入手したID・パスワードを使って社内データにアクセスしたり、サーバが不正アクセスの被害に遭い、情報が漏えいするケースも増加しています。

内部要因
情報漏えいの原因で、もう半数を占めるのがヒューマンエラーです。
東京商工リサーチの調査では、「誤表示・誤送信」が26％、「紛失・誤廃棄」が15.1％という結果が出ています。
また、内部不正の原因も多くなっており、社員が意図的に情報を持ち出し、情報漏えいが発生するケースも少なくありません。
独立行政法人 情報処理推進機構（IPA）「情報セキュリティ 10大脅威 2024 [組織]」では、社会的に影響が大きい脅威として「内部不正による情報漏えい」が、前年より多くなってい来ています。

パスワード管理の重要性と問題点

不正アクセスなどから守る方法としてパスワードを定期的に変更するのが有効で、総務省では、情報セキュリティ対策として安全なパスワード管理を推奨しています。
ただ、パスワード管理において便利で低コストなクラウドサービスが年々増加し、それに伴うIDやパスワードが増え続けるのが昨今の問題となっています。
多数のIDパスワードを管理するには手間がかかるため、使い回しをするケースが少なくないのが現実です。
また管理者の業務負担も増加します。社員の入社や退社に伴いIDやパスワードの削除、登録業務が発生するのです。
認証に失敗してアカウントがロックされた、パスワードをリセットしたいといった問い合わせもあるでしょうし、他にもシステムへのログインに関するさまざまな質問がくるでしょう。それらにも対応しなくてはなりません。

社員と導入しているサービスが多いほど、管理者の手間は増えていくのです。

セキュリティ強化とパスワード管理を同時に解決するには

顔認証で強固なセキュリティかつパスワード管理が不要　IPASS FREE

個人情報の漏えいを防ぐためセキュリティーを強固にしたい。でもパスワード管理は大変。
バルテックのIPASS FREEがこの2つを同時に解決します。

IPASS FREE（アイパスフリー）は、パソコンの2段階認証ログインと社員が使うパスワードの一元管理を搭載。
社員が覚える情報は、ID情報1つだけとなります。
パスワードはすべて管理者の一元管理となり、利用者にはパスワードを通知しない仕組みのため、個々のパスワード管理を行う必要が無くなります。
退職者の不正アクセス、登録されていない社員以外のアクセス、会社で支給していないパソコンからのアクセスなどを遮断し、強固なセキュリティーを実現します。

・従業員が使用しているすべてのシステムの把握が大変
・従業員が使用しているすべてのID/パスワードの管理が大変
・入社、退社時のアカウント管理が大変
・社員のパスワードの使いまわしの監視が大変
・従業員以外の不正ログインの管理が出来ていない
・セキュリティー強化したいが、何をすれば良いか分からない

上記で当てはまる企業様は、まずは下記の資料をダウンロードしてみてください。

参考サイト

・e-Gov法令検索「個人情報の保護に関する法律」
・個人情報保護委員会「令和２年 改正個人情報保護法について」
・弁護士ドットコム株式会社「令和2年改正個人情報保護法におけるオプトアウト制度・個人データの共同利用に関する改正」
・契約ウォッチ編集部「【2022年4月施行】個人情報保護法改正とは？改正点を解説！」