2020年6月に改正された個人情報保護法は、1年以上の周知期間を経て2022年4月1日に施行されます。
個人の個人情報に対する意識の高まりや個人データを取り巻くリスクの増大など、十分な対策を施すことは、もはや当たり前です。そのためペナルティも、法改正を重ねるごとに厳しくなっています。
今回の施行で問われているのは、情報漏洩の事故が起きた時や顧客個人から個人情報の削除等を求められた際に、組織として具体的に対応する準備ができていますよね? だと考えています。
改正個人情報保護法では個人の権利保護が更に強化され、個人情報を取り扱う「全ての企業」に課される義務がより重くなっています。情報セキュリティに係るインシデント(事故)は、あらゆる企業で発生する可能性があり、対応は迅速かつ正確さが求められます。
個人情報を取り扱う姿勢は、顧客あるいは利用者とその家族等の個人は見ています。組織として、しっかりと準備をしておく必要があります。
個人情報保護法改正の「5つの視点」
個人情報に対する意識の高まり、技術革新を踏まえた保護と利用のバランス、個人情報が多様に利活用される時代における事業者責任の在り方及び越境移転データの流通増大に伴う新たなリスクへの対応などの観点から改正が行われました。
令和2年法改正の概要
平成27年改正個人情報保護法に設けられた「いわゆる3年ごと見直し」に関する規定に基づき、個人情報保護委員会において、関係団体・有識者からのヒアリング等を行い、実態把握や論点整理等を実施した結果として、下記の措置が発表されました。
〔出典:個人情報保護委員会〕
個人の請求権の強化
利用停止・消去等の請求権については、一部の個人情報保護法違反の場合に加え、個人の権利又は正当な利益が害されるおそれがある場合にも拡充されています。
漏えい等の「おそれ」がある場合も報告等の義務化
漏えい等(漏えい、滅失又は毀損)が発生した場合に、個人の権利利益を害するおそれが大きい事態については、個人情報保護委員会への報告及び本人への通知が義務化されました。
法定刑の引上げ
主な変更点として、以下の2点です。
- 委員会による命令違反・委員会に対する虚偽報告等の法定刑が引き上げられました。
- 命令違反等の罰金について、法人に対しては行為者よりも罰金刑の最高額が引き上げられました。
企業への罰則は強化され、最も重い法令違反に課される法人の罰金は、改正前の最高30万円から、最高1億円に大きく引き上げられています。
対応について
- パターン1:取扱いに注意はしているものの、漏れがないか確認したことはない
- →まずはチェックリストを使用して、安全に個人情報を取り扱える体制にあるのか自社の状況を確認します。
- パターン2:取扱いに注意はしているものの、明確なルールがない
- → 会社としてのルールを定め、社内で個人情報の統一的な取扱いをすることが重要です。個人データの漏えい等の防止、その他の個人データの安全管理に必要な措置を定めます。
- パターン3:全般的なルールはあるものの業務レベルの具体的な文書は整備していない
- → 個人データの取扱いに関する事務について、取得、利用、保存等を行う場合の基本的な取扱方法を定めます。
