令和4年4月1日に「改正個人情報保護法」が施行されるが、これから事業者にはどのような対応が求められるのか。
ジャーナリストの福島敦子氏と、個人情報保護委員会委員長 丹野美絵子の対談で紐解く。
デジタル社会の進展に対応するための法改正
福島 個人情報保護委員会(以下、「個情委」)とは、どのような組織なのでしょうか。
丹野 委員会という名前ですと、イメージが湧きにくいかもしれませんが、個情委は国の役所です。個人情報保護法に基づき、個人情報の利活用の促進や、個人の権利利益の保護等について専門的な見地から権限を執行しています。個人情報に関する司令塔、つまり「コントロールセンター」のような存在です。
近年、デジタル社会の急速な進展の中で、個人情報の利活用とともに保護が欠かせないものとなっています。こうした中で、個情委はいわば「デジタル社会の信頼の土台」となる役割を担っています。個情委は、委員長の私の他、委員が常勤4名、非常勤4名の9名。学識経験者をはじめIT、消費者問題、行政、企業実務等について専門的知見のある者等、多様なメンバーで構成されています。
福島 デジタル社会の進展により、個人情報を活用した便利なサービスが増えたのは事実です。しかし、その一方で自分自身の個人情報がどのように取り扱われているのか、不安に思われている国民の方もいらっしゃると思います。
丹野 確かに不正アクセスによる漏えい等も実際に起きており、不安になるのは理解できます。社会が急速に変化する中で、個人情報保護制度は不断の見直しをする必要があり、個人情報保護法には時代の変化に対応していくために、「3年ごと見直し規定」があります。今回は1回目の見直しです。令和2年に改正法が成立・公布され、今年4月1日から施行されます。現行法施行以降の社会・経済情勢の変化を踏まえ、5つの視点(①個人の権利利益の保護 ②技術革新の成果による保護と活用の強化 ③国際的な制度調和・連携 ④越境データの流通増大に伴うリスクへの対応 ⑤AI・ビッグデータ時代への対応)をもとに法改正を行いました。個人情報や個人に関連する情報を巡る技術革新の成果が、経済成長等と個人の権利利益の保護との両面で行き渡る制度を目指すことが重要だと考えています。
- 本人の請求権の拡大
- 事業者の責務の追加
- 事業者の自主的な取組の推進
- データ利活用の促進
- ペナルティの強化
- 域外適用等の拡充
改正個人情報保護法により、事業者が求められる対応とは
福島 改正個人情報保護法により、事業者はどのような対応が求められるのでしょうか。
丹野 事業者の対応については、個情委がチェックポイントを作っています。ポイントを6点ほど挙げていて、「万が一に備え、漏えい等報告や本人通知の手順を整備すること」「個人データを外国の第三者へ提供しているか確認すること」「安全管理措置を公表する等本人の知り得る状態に置くこと」「保有個人データを棚卸し、開示請求等に備えること」「個人情報を不適正に利用していないか確認すること」「個人関連情報の利用状況や提供先を確認すること」等になります。まずはこのチェックポイントの確認からお願いしたいです。
個情委のWebサイトでは 改正法の特集ページやチェックポイントのほか、解説マンガも用意していますのでぜひご活用ください。法令遵守は企業経営の基本です。経営者の方々には、法令順守を担当者任せにするのではなく、経営課題として取り組んでいただきたいです。
個人情報の漏えい等「報告」が義務となったがポイントは
福島 漏えい等が起きてしまうと、信用失墜は免れず、事業継続の危機に瀕するおそれがあります。とはいえ、テクノロジーが急速に進展する中、不正アクセス等による漏えい等が起きてしまうのも事実です。改正個人情報保護法で義務化される、漏えい等の報告について詳しく教えていただけますか。
丹野 事業者において、個人情報の漏えい等が発生し、個人の権利利益を害するおそれが大きいと考えられる一定の要件に該当する場合には、個情委への「報告」及び「本人への通知」が義務化されます。従来の努力義務から法的義務になりました。ポイントとしてまず「報告」についてですが、事業者は漏えい等報告を提出するにあたり、「速報(当該事態を知った時点から概ね3~5日以内)」と「確報」の2段階で調査し、判明した内容を個情委に報告する必要があります。「本人への通知」も速やかに行わなければいけません。また本人にとってわかりやすい方法で通知することが望まれます。「おそれ」の段階でも「報告」と「本人への通知」が必要になることに注意してください。
なお、ここでいう、個人の権利利益を害するおそれが大きいと考えられる一定の要件に該当する場合とは、下表にある4つを意味します。該当するか否か迷う場合は個情委に前広にご報告ください。状況を踏まえて適切な対応をいたします。
①要配慮個人情報が含まれる個人データの漏えい等、又はそのおそれ
②不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等、又はそのおそれ
③不正の目的をもって行われたおそれがある個人データの漏えい等、又はそのおそれ
④個人データに係る本人の数が1,000人を超える漏えい等、又はそのおそれ
福島 事業者としては、こうした漏えい等が発生しないように努めなければなりませんが、どのようなことに取り組んでいくべきでしょうか。
丹野 自社で取り扱う個人データを安全に管理するために、必要かつ適切な措置が講じられているか、個情委作成のチェックポイント等を活用のうえ、確認してください。安全管理措置の内容については、改正個人情報保護法ガイドラインを参考にしてください。とりわけ、ポイントとなるのは、従業者による個人データの取扱いだと思います。適宜研修などを行っていただき、個人データが安全に管理されるよう、必要かつ適切な監督を行ってください。加えて、最近は個人データの取扱いを委託又は再委託するケースが珍しくありません。その場合、委託元は委託先を適切に監督しなければなりません。もし漏えい等が発生した場合、責任は委託元にありますので十分な注意が必要です。
改正法を機に個人情報取扱いの見直しを
福島 最後に、改正法施行に伴う丹野委員長の思いをお聞かせください。
丹野 事業者の皆様と国民の皆様という2つの視点でお話をさせていただきます。事業者の皆様においては、改正法を義務感にとらわれてのみ対応するのではなく、個人情報の取扱いを見直す絶好の機会と捉えていただきたいです。経営者の方が、自社がきちんと個人情報の取扱いを行っているか、改正法への対応をしているかを担当者に質すなど、この機会に改めて確認することをおすすめします。というのも、個人情報を適切に取り扱うことはESGやSDGs等、時代の要請に応える取組であるからです。また、改正法への適切な対応はユーザーの信頼を勝ち取ることにもつながるはずです。
国民の皆様に申し上げたいのは、今回の改正法では、事業者における個人情報の利用目的の特定について詳細に規定するよう求めるなど、個人の権利利益保護の側面を強くしていることです。ぜひご自身で事業者のプライバシーポリシー等を確認していただき、その事業者の個人情報保護の内容を適切に把握してください。個情委では年間1万5,000件以上の相談や苦情を受け付けています。事業者の皆様には情報提供や相談等を通じて、また漏えい等発生時の対応などで共に歩む存在、国民の皆様には法の執行機関として頼りになる存在として、今後の個人情報保護行政に取り組んでいきます。
福島 令和5年にも地方公共団体向けに改正法の施行が予定されていますが、デジタル社会の進展で、個情委が果たす役割はさらに大きくなっていくはずです。今後のさらなる活動に期待します。
