LASSIC Media らしくメディア
個人情報保護法対応で押さえる要点
LASSIC IT事業部|元請(プライムベンダー)としてシステム保守・運用を受託
この記事のポイント
- 個人情報保護法対応は情報システム部門だけの課題ではなく、漏えい時の報告義務やレピュテーションに直結する経営マターです。
- 2022年施行の改正法では、漏えい等報告の義務化・不適正利用の禁止・開示のデジタル対応などが追加されました。
- 安全管理措置は組織的・人的・物理的・技術的の4区分で整理し、委託先も含めた体制づくりが求められます。
目次
個人情報保護法対応が経営マターである理由
個人情報保護法対応とは、個人情報保護委員会が所管する個人情報保護法および関連ガイドラインに基づき、企業が個人データの取得・利用・管理・提供の各局面で必要な措置を講じる取り組みを指します。情報システム部門の技術対応にとどまらず、経営層・法務/コンプライアンス部門を含めた組織全体の意思決定事項です。
漏えい等が発生した場合、企業は個人情報保護委員会への報告義務を負います。報告を怠れば行政指導や勧告の対象になり得るだけでなく、報道されれば取引先・顧客からの信頼低下につながります。この影響範囲の広さゆえに、対応の巧拙は経営リスクそのものとして扱う必要があるでしょう。
個人情報保護法は令和2年(2020年)に改正され、令和4年(2022年)4月1日に全面施行されました*1。改正では罰則の法定刑も引き上げられており*1、法違反時の経営インパクトはこれまで以上に大きくなっています。制度の変化を把握しないまま旧来の対応を続けることは、それ自体がリスクになり得ると考えられます。
経営層が個人情報保護法対応に関与すべき理由は、判断の多くが「どこまでコストをかけて何を守るか」というリソース配分の意思決定だからです。安全管理措置の水準や委託先の選定基準は、情報システム部門だけで決め切れるものではなく、事業戦略やリスク許容度と一体で検討する必要があります。
2022年改正の要点 — 漏えい報告義務化と不適正利用の禁止
個人情報保護法対応とは、令和2年改正で新設された義務を含め、法が定める要件を組織として満たし続ける活動を指します。改正の柱の一つが、漏えい等報告・本人通知の義務化です。
個人の権利利益を害するおそれが大きい漏えい等が発生した場合、企業は個人情報保護委員会への報告と本人への通知が義務付けられました*2。報告には速報と確報の2段階があり、速報は事態を知った後速やかに、確報はおおむね30日以内(不正アクセス等不正の目的をもって行われたおそれがある事態の場合は60日以内)に行うとされています*3。
改正前は報告が努力義務にとどまっていた点を踏まえると、この変更は実務上のインパクトが大きいと言えます。インシデント発生から報告までの社内プロセスをあらかじめ整備していない企業では、期限内対応そのものが困難になりかねません。
もう一つの柱が不適正利用の禁止です。違法または不当な行為を助長・誘発するおそれがある方法での個人情報利用が明文で禁止されました*2。取得時点では適法でも、利用方法によっては法違反となり得るため、利用目的の設計段階から注意が必要になります。
開示のデジタル化と越境移転規律の強化
改正法では、保有個人データの開示方法についても本人がデジタル形式(電磁的記録の提供等)を含めて指示できるようになりました*2。従来は書面での開示が原則でしたが、本人の選択肢が広がったことで、企業側は複数の開示手段に対応できる体制を用意する必要があります。
あわせて、第三者提供の記録に関する開示請求権や、6か月以内に消去される短期保存データの扱いなど、開示・利用停止請求の対象範囲も拡大しています*2。問い合わせ窓口の運用フローを見直していない企業は、この段階で対応漏れが生じやすいでしょう。
越境移転(外国にある第三者への個人データ提供)についても規律が強化されました。外国の第三者に個人データを提供する際は、提供先の国の制度や、提供先が講じる保護措置に関する情報を本人に提供することが求められます*2。海外リージョンのクラウドサービスを利用している企業では、データの保存場所そのものが越境移転に該当し得るため、契約内容とあわせて確認する必要があります。
安全管理のために講じた措置を本人の求めに応じて公表する義務も追加されました*2。自社の対応状況を外部に説明できる形で整理しておくことが、この要件を満たす前提になります。
企業が押さえる対応フロー — 棚卸しから漏えい時対応まで
個人情報保護法対応を実務に落とし込む際は、取扱いの棚卸し、利用目的と同意の整理、安全管理措置の実装、委託先管理、漏えい時の報告フローという順序で組み立てると進めやすくなります。
第一段階は取扱いの棚卸しです。自社がどの部門でどのような個人データを取得・保管・利用しているかを網羅的に洗い出します。顧客データベースだけでなく、採用応募者情報や取引先担当者の名刺情報など、見落とされがちなデータも対象に含める必要があるでしょう。
第二段階は利用目的と同意の整理です。取得済みのデータについて、公表している利用目的の範囲内で使われているかを確認します。不適正利用の禁止という改正内容を踏まえると、利用目的の抽象的な記載だけでは十分と言えない場面も出てくるはずです。
第三段階は安全管理措置の実装、第四段階は委託先管理であり、いずれも次章以降で扱います。第五段階が漏えい時の報告フローの整備です。誰が第一報を受け、誰が事実確認を行い、誰が個人情報保護委員会への報告書を作成するかという役割分担を、平時のうちに文書化しておく必要があります。速報の期限が「速やかに」とされている以上、発生後に体制を検討していては間に合わない可能性が高いためです。
これら5段階は一度実施して終わるものではなく、事業内容やシステム構成の変化に応じて定期的に見直すべきプロセスです。棚卸しの結果を台帳として維持し、年次で更新する運用が実務上は現実的だと考えられます。
安全管理措置の4区分とシステム面の実務対応
個人情報保護法は、個人データの漏えい・滅失・毀損の防止その他の安全管理のために必要かつ適切な措置を講じることを義務付けています。個人情報保護委員会のガイドラインでは、この安全管理措置を組織的・人的・物理的・技術的の4区分で整理しています*4。
組織的安全管理措置は、個人データの取扱いに関する規程の整備、責任者の設置、取扱状況を確認する仕組みの構築などを指します。人的安全管理措置は、従業者に対する監督や教育です。物理的安全管理措置は、個人データを扱う区域の管理や、機器・記録媒体の盗難防止といった物理面の対策にあたります。
技術的安全管理措置は、システム面での対応が中心になります。具体的には、アクセス制御(担当者ごとに扱えるデータ範囲を限定する)、利用者の識別と認証、外部からの不正アクセス防止、通信・保存データの暗号化などが含まれます。加えて、いつ誰がどのデータにアクセスしたかを追跡できるログの取得・保管も、インシデント発生時の原因究明や報告書作成の基礎になる重要な要素です。
システム面ではこのほか、利用目的の達成に必要な範囲を超えたデータを保持しないデータ最小化や、利用目的を終えたデータの適切な削除・廃棄も実務上の論点になります。データを持たなければ漏えいのしようがない、という発想は対策コストを抑えるうえでも有効な考え方です。
アクセス制御を内製で設計するには、システム構成ごとの権限モデル設計、ログ基盤の選定、暗号化方式の選択といった専門知識が必要になります。情報システム部門の担当者が数名という体制では、通常業務と並行してこれらを一から設計する負荷は小さくないでしょう。
委託先・クラウドサービスの管理という盲点
個人データの取扱いを外部に委託する場合、委託元は委託先に対して必要かつ適切な監督を行う義務を負います。自社で講じるべき安全管理措置と同等の水準を、委託先においても確保させる必要があるということです。
この監督義務は、SaaS(クラウド経由で提供されるソフトウェア)やクラウドインフラの利用にもそのまま当てはまります。契約書上「委託」と明記されていなくても、個人データを外部のサーバーに保存・処理させている実態があれば、委託先管理の対象と整理すべき場面が多いはずです。
クラウドサービスを利用する際に確認すべき点は、データの保存場所(国内リージョンか海外リージョンか)、暗号化やアクセス制御の実装状況、障害・インシデント発生時の通知体制、契約解除時のデータ削除方法など多岐にわたります。海外リージョンを利用する場合は、前述の越境移転規律への該当有無もあわせて確認する必要があるでしょう。
委託先が増えるほど、監督すべき対象と確認項目は比例して増えていきます。委託先一覧と確認結果を台帳化し、契約更新のタイミングで見直すサイクルを組み込んでおかないと、把握漏れが生じやすい領域だと言えます。
体制づくりと継続運用 — 規程・教育・点検のサイクル
個人情報保護法対応は、一度規程を整備すれば完了するものではありません。個人情報取扱規程の策定、従業者への定期的な教育、取扱状況の点検という3つの活動を継続的に回す体制が必要です。
規程については、取得・利用・保管・提供・廃棄の各局面でのルールを明文化し、実際の業務フローと乖離がないかを定期的に確認します。規程はあるが現場の運用が異なる、という状態が最もリスクの高いパターンの一つです。
教育については、全従業者向けの基礎研修に加え、個人データを直接扱う部門向けの実務研修を分けて設計すると効果的でしょう。改正法の内容や自社の規程変更は、研修内容に都度反映する必要があります。
点検については、年次の自主点検に加え、システム変更や新規サービス導入のタイミングでの都度点検を組み込むことが望まれます。責任者を明確にし、経営層への報告ラインを設けておけば、問題の早期発見につながりやすくなります。
外部専門家・受託パートナーの活用という選択肢
個人情報保護法対応をすべて内製で完結させる場合、法務面の解釈、システム面の設計・実装、運用面の継続監視という異なる専門性を同時に確保する必要があります。中堅・中小企業にとって、この体制を自前で揃えることは容易ではないはずです。
法的な解釈や個別事案への当てはめについては、弁護士など専門家への確認が不可欠な領域です。本稿はあくまで法の一般的な考え方を整理したものであり、個別の法的判断については個人情報保護委員会のガイドラインや専門家への確認をお勧めします。
一方でシステム面の実装・運用については、外部の受託パートナーと分担することで、専門知識の確保と継続的な体制維持を同時に実現しやすくなります。アクセス制御やログ基盤の設計、クラウド環境の安全管理措置の実装、日常監視といった業務は、担当者の異動や退職に左右されにくい体制で継続することが望ましいからです。
内製で対応する場合と外部委託を組み合わせる場合の違いは、知見の蓄積が組織に残るか個人に依存するかという点にあります。法務・システム・運用を一貫した知見のもとで進められる体制を、社内リソースと外部パートナーの分担でどう構築するかが、実務上の検討ポイントになるでしょう。
まとめ:個人情報保護法対応で経営が握るべき3つの判断軸
本稿では、個人情報保護法対応の要点を経営視点で整理しました。要点を3つに集約すると次の通りです。第一に、2022年改正により漏えい等報告が義務化され、速報・確報の期限が定められたため、平時からの報告フロー整備が欠かせません。第二に、安全管理措置は組織的・人的・物理的・技術的の4区分で整理し、アクセス制御や暗号化といった技術的措置はシステム面での具体的な実装が必要です。第三に、委託先やクラウドサービスの管理まで含めた継続的な体制づくりが求められ、専門性の確保には外部パートナーとの分担も有効な選択肢になります。
よくある質問
個人情報保護法対応は情報システム部門だけで完結できますか。
完結は難しいと考えられます。利用目的の設計や同意取得は事業部門、報告書作成やガイドライン解釈は法務部門、安全管理措置の実装は情報システム部門というように、複数部門が関与する必要があります。経営層が方針を示し、部門横断で進める体制が実務上望ましいでしょう。
漏えい等が発生した場合、個人情報保護委員会への報告は常に必要ですか。
個人の権利利益を害するおそれが大きい漏えい等に該当する場合は報告義務があります*2。該当性の判断には専門的な確認が必要になるため、個人情報保護委員会のガイドラインを確認するとともに、必要に応じて専門家に相談することをお勧めします。
クラウドサービスを利用している場合も委託先管理の対象になりますか。
対象になる場合が多いと考えられます。契約上「委託」と明記されていなくても、個人データを外部のサーバーに保存・処理させている実態があれば、委託先に対する監督義務の考え方が及ぶ場面が少なくありません。データの保存場所や暗号化状況の確認が必要です。
安全管理措置はどこまで実装すれば十分ですか。
取り扱う個人データの性質や量、事業規模によって求められる水準は異なります。個人情報保護委員会のガイドラインでは事業規模に応じた考え方も示されているため、自社の状況を踏まえたうえで、必要に応じて専門家や受託パートナーに相談しながら水準を検討する進め方が現実的です。
海外のクラウドリージョンを使うと越境移転の規律を受けることになりますか。
外国にある第三者に個人データを提供する形になる場合は、越境移転の規律が及ぶ可能性があります*2。提供先の国の制度や保護措置についての情報提供が必要になる場合があるため、利用しているクラウドサービスの契約内容とデータ保存場所を確認しておく必要があります。
著者:テレリモ総研編集部 鈴木 亮佑
ご不明な点はお問い合わせフォームからもご連絡いただけます。
- *1 出典:個人情報保護委員会「令和2年改正個人情報保護法について」(令和4年3月)https://www.ppc.go.jp/personalinfo/legal/kaiseihogohou/
- *2 出典:個人情報保護委員会「改正個人情報保護法対応チェックポイント」https://www.ppc.go.jp/news/kaiseihogohou_checkpoint/
- *3 出典:個人情報保護委員会「漏えい等報告・本人への通知の義務化について」https://www.ppc.go.jp/news/kaiseihou_feature/roueitouhoukoku_gimuka/
- *4 出典:個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/