企業や組織全体で対応すべき改正個人情報保護法

サイバーリーズン・ジャパン株式会社<br>セキュリティアドバイザー<br>中村 玲於奈 氏
サイバーリーズン・ジャパン株式会社
セキュリティアドバイザー
中村 玲於奈 氏

 個人情報の適切な利用と個人の権利や利益の保護を目的に定められた個人情報保護法が、2022年4月に改正された。この改正でとくに注意が必要なのが、個人データを国外に移転する「データ越境移転」の規制強化で、海外のクラウドサービスを利用している場合は精査が必要となっている。改正のポイントや企業・組織が留意すべきことを、サイバーリーズン・ジャパンの中村玲於奈氏に聞いた。

2022年4月1日に改正個人情報保護法が施行された。2005年に個人情報保護法が全面施行されて以来、2017年5月施行の改正法に続く2度目の改正である。今回の改正の規模はそれほど大きくはないものの、セキュリティガイドラインなどを定める経営企画部門や総務部門、顧客情報に直接触れる営業部門、顧客情報の管理システムを構築・運用するIT部門などでは留意や対応が必要となっている。

改正個人情報保護法のポイントを教えてください。

中村:個人情報保護法は社会情勢や経済情勢などを踏まえて3年ごとに見直しを行うことが規定されています。今回の改正は、いくつかの背景がありますが、EUで2018年に施行された「一般データ保護規則(GDPR:General Data Protection Regulation)」の考え方がより一層反映されたものになっています。

 主な改正点は、①本人の請求権の拡大、②6カ月以内に削除する個人データも保有個人データと見なす、③漏洩時の報告義務化、④罰則等の強化、⑤データ利活用を目的とした仮名加工情報の新設、⑥データ越境移転等に関する規制の強化、の6点が挙げられるでしょう。

改正個人情報保護法の主な改正点
改正個人情報保護法の主な改正点
[画像のクリックで拡大表示]
厳格化された罰則等
厳格化された罰則等
[画像のクリックで拡大表示]
法人に対する大幅な罰金の引き上げにより、グローバルレベルの規制への追随とともに、罰則による抑止効果の強化が意図されている

企業や組織はどのような注意や対処が必要ですか?

中村:以前から適切に対応していた企業や組織であればそれほど大きな影響はないと考えていますが、個人データを日本国外に移す「データ越境移転」の規制強化に関しては注意が必要です。

 改正前の話ですが、国内のSNSサービスの利用者情報が中国の関連会社から閲覧可能な状態になっており、その旨が明示的に説明されていなかったことをきっかけに、サービス事業者に対し行政指導が行われたことがあります。今回の改正で条件などがより厳しくなり、個人データの保管に海外のクラウドサービスを利用している場合も該当する可能性があるため、企業や組織全体として確認や見直しを行う必要があるでしょう。

>>データ越境移転やセキュリティ対策について、より詳しく話を聞いてみよう

この先は日経クロステック Active会員の登録が必要です

日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。