個人情報保護法の改正について

2022年04月11日

東京商工リサーチの調査によると、2021年に上場企業とその子会社で個人情報の漏えい・紛失事故を公表したのは120社、事故件数は137件、漏えいした個人情報は574万9,773人分に達しました。この社数と事故件数については、ここ10年間で最多の記録です。個人情報がデジタルで扱われるようになり利便性は上がった半面、大量のデータが流出するリスクが増しています。そのような時代背景もあり、個人情報保護法が改正され、4月1日から完全施行となります。

1 個人情報の漏えい・紛失事故の調査結果

果たして個人情報の漏えい・紛失事故はどのような原因で起こっているのでしょうか。
前述の調査結果の続きに記載がありますが、以下のとおり、おおよそ悪意を持った行為が6割弱、人為的なミスが4割強となっています。

ウイルス感染・不正アクセス 68件(49.6%)
誤表示・誤送信 43件(31.3%)
紛失・誤廃棄 16件(11.6%)
盗難  8件( 5.8%)
不明・その他  2件( 1.4%)

本調査の対象である上場企業等は取り扱う情報量が多いことから、悪意を持って狙われるケースも多くなります。逆に中小企業では後者のミスを削減することに注力することが、漏えい等を防ぐには効果的となるでしょう。

□改正個人情報保護法について

改正個人情報保護法では、取得から保管・利用といったプロセスの各所で、自身の個人情報に対する意識の高まり、技術革新を踏まえた保護と利活用のバランス等の観点を踏まえて、以下のような改正が行われました。

【個人データを取得・利用するとき】
違法又は不当な行為を助長する等の「不適正な利用」も禁止

【個人データを保管・管理するとき】
漏えい等が発生し、個人の権利利益を害するおそれが大きい場合に、個人情報保護委員会への報告及び本人への通知を義務化する。

【個人データを提供するとき】
提供元では個人データに該当しないが、提供先で個人データとなることが想定される情報につき、提供時に本人同意が得られていること等の確認を義務付ける。

【開示等の請求等に応じるとき】
・安全管理のために講じた措置等についても、公表事項に追加
・開示方法について、電子メール等の電磁的記録の提供を含め、原則本人の請求に基づき開示する。また、第三者に提供した記録についても、本人から開示を請求された場合、原則本人に開示する。
・本人からの請求に応じて、個人の権利または正当な利益が害されるおそれがある場合にも、利用停止、消去等をする。

【法定刑の引上げ】(令和2年12月12日施行済)※以下の罰則、罰金など
・個人情報保護委員会からの命令への違反
改正前 6月以下の懲役 30万円以下の罰金(法人の場合100万円以下の罰金)
改正後 1年以下の懲役 100万円以下の罰金 (法人の場合1億円以下の罰金)
 
・個人情報データベース等の不正提供等
改正前 法人の場合 50万円以下の罰金
改正後 法人の場合 1億円以下の罰金

労働者名簿や顧客名簿の情報も個人情報となりますので、ほとんどの企業では個人情報を取り扱っていることになります。しかしながら、日々身近に取り扱っているものほど、取り扱いがおざなりになりがちなものです。調査結果からも分かる通り、人為的なミスによる情報漏えい等は大きな割合を占めています。
法改正を一つの契機として、個人情報の取り扱いに関する規定の整備、見直しを行うとともに、今一度社内の個人情報の取り扱い状況を確認してみることをお勧めします。

▲ページのトップに戻る