ページの先頭です。
サイト内の現在位置を表示しています。
  1. ホーム
  2. ビズサプリ 情報システムポータル
  3. 情シス事情を知る
  4. 改正個人情報保護法の全面施行で中堅中小企業がすべき対策とは
ここから本文です。

特集 情シス事情を知る

改正個人情報保護法の全面施行で中堅中小企業がすべき対策とは
~個人情報を1件でも取り扱えば改正法の対象に?~

2017年5月

個人情報保護法の施行から12年。ビッグデータを活用した新サービスの創出や経済活動のグローバル化など社会状況が大きく変化するなか、改正個人情報保護法が2017年5月30日から全面施行される。改正法のポイントの1つは、取り扱う個人情報が5000人分以下の事業者にも適用されることだ。これまで個人情報保護法の適用外だった中堅中小企業も注意が必要になる。また、改正法では、特定の個人情報を識別できないように配慮したうえで、自由な流通・利活用の促進を図っており、個人情報の保護だけでなく、ビジネスでの活用も可能になる。

営業部門などと連携して個人情報の取り扱いを再点検

5月30日から改正個人情報保護法(以下、改正法)が全面施行される。これにより、企業は何が変わるのだろうか。従来の個人情報保護法では、取り扱う個人情報の数が5000人分以上の事業者を規制の対象としていた。だが、改正法ではこの条項が削除され、全面施行後は1件でも個人情報を取り扱う事業者は適用の対象となる。これまで個人情報保護法の対象ではなかった中小規模事業者や個人事業者も改正法の内容を把握し、対応する必要がある。

中小規模事業者も適用の対象となるほか、改正法では個人情報の定義などについても変更点があり、企業は個人情報の取り扱いに留意する必要がある。まず、個人情報保護法が改正されることになった背景を考えてみよう。現行の個人情報保護法が施行されたのは2005年。今から12年前のことだ。この間、情報通信技術の進化は目覚ましく、制定当時は想定されなかった個人データの利用が可能になる一方、個人情報に該当するかどうか判断が難しい「グレーゾーン」が拡大している。

グレーゾーンとは、その情報だけでは個人情報ではないものの、他の情報と照らし合わせることで個人情報になり得る情報のことだ。例えば、スマホのGPSを使った位置情報。外出先で自分の居場所を確認するなど便利な機能だが、使い方によっては自宅の位置など個人を特定することができ、個人情報になる可能性もある。

個人が使うスマホやSNSなどのほか、繁華街などに設置された防犯カメラなどIoTの普及とともに、現代は個人の行動や状態を把握しやすい環境と言える。そこでパーソナルデータを含め、ビッグデータを適切に利活用できる環境の整備が求められてきた。また、ビジネス活動のグローバル化が進む中、外国へのデータ流通にも対応する必要がある。これら環境の変化を背景に、個人情報保護法が改正された経緯がある。

個人識別符号や要配慮個人情報の規定を新設

改正法のポイントの第一は、グレーゾーンを解消するため、個人情報の定義に2つのカテゴリーを設けたことだ。1つは、個人識別符号(個人を識別する顔認識データや指紋認識データなど)の概念を設け、DNA、顔、虹彩、声紋、歩行の様態、手指の静脈、指紋・掌紋について、特定の個人を識別できると規定。もう1つは、公的な番号である旅券番号、基礎年金番号、免許証番号、住民票コード、マイナンバー、各種保険証の被保険者番などを個人識別符号と規定したことだ。

改正前は、これらの情報だけでは個人情報と扱われず、特定の個人を識別できる情報(氏名、生年月日その他の記述など)と結び付け、個人情報として扱っていた。改正により、上記の個人識別符号にかかわる情報も単独で個人情報となり、規制の対象となる。

また、要配慮個人情報の規定を新設。人種、信条、社会的身分、病歴、前科・前歴、犯罪被害者情報や、健康診断・検査の結果や診療・調剤情報など、本人に対する不当な差別、偏見が生じる可能性のある個人情報の取得については、原則として本人の同意を得ることを義務化した。そして、本人の同意を得ないで第三者に提供する(オプトアウト)は禁止される。個人識別符号や要配慮個人情報を扱う部門は、こうした規制を順守する体制づくりが必要になる。

個人情報の匿名加工で流通・利活用を促進

ビッグデータを活用したマーケティング活動などが企業に期待されるなか、個人情報のビジネス利用を促進するため、匿名加工情報(特定の個人を識別できないように個人情報を加工した情報で、その個人情報を復元できないようにしたもの)の利活用について規定を設けている。

個人情報の取り扱いよりも緩やかな規律のもと、情報を匿名加工することで自由な流通や利活用を促進する狙いがある。匿名加工情報を作成するためには、個人情報保護委員会規則に規定された基準に従って加工を行う必要がある。匿名加工の方法は、例えば氏名や個人識別符号(マイナンバー、運転免許証番号など)の削除、個人情報と他の情報とを連結する符号(ID)の削除などを参考として、例示している。

また、大手通信教育会社の契約社員が大量の個人情報を盗み出し、名簿事業者に転売した事件は記憶に新しいだろう。こうした名簿事業者対策として、個人データを第三者に提供する際、確認記録の作成などを義務化している。具体的には、第三者から個人データの提供を受ける、あるいは第三者に個人データを提供する際、提供者の氏名、個人データの取得経緯を確認したうえ、その内容の記録を作成し、一定期間(原則3年、本人同意のもとで第三者に提供する場合は1年)保存することを義務付けた。第三者への提供について本人の同意がある場合、提供年月日の記録は不要とするなど、ビジネスの実態に配慮した規則となっている。また、個人情報データベース(メールのアドレス帳、従業員や顧客台帳など)の内容を不正な利益を図る目的で第三者に提供し、または盗用する行為を「個人情報データベース提供罪」として処罰の対象となる。

個人情報保護法で求められる対策とは

改正法の全面施行により、従来に増して個人情報の取り扱いには十分留意する必要があるが、情報セキュリティについては、マイナンバー制度での取り組みと同様に、全社で安全な情報管理を行わなければならないだろう。

個人情報保護委員会においては、小規模事業者に配慮する旨を個人情報保護法の附則に規定している。マイナンバー法のガイドラインで示された安全管理措置と個人情報保護法が求める安全管理措置の基本的な要素(漏えい、滅失又はき損の防止、その他の安全管理のために必要かつ適切な措置)はおおむね共通する。ただし、マイナンバー法の特定個人情報と、個人情報保護法の個人データの性質及び取り扱いの差異などを踏まえ、具体的な内容は引き続き検討するとしている。

企業が保有する個人(顧客)情報や機密情報を狙った標的型攻撃型も後を絶たない。改正法の全面施行を契機に標的型攻撃への対策を強化するのも一つの手だろう。例えば、メールやWeb経由のウイルス/マルウエア感染を防止するアンチウイルス、アンチスパムのほか、Webフィルタリングにより、不審なサイトへのアクセスを制御して情報漏えいを防ぐ効果が期待できる。

また、実行ファイル形式(.exeなど)の添付ファイルにマルウエアを潜ませてメールを送り付ける攻撃への対策も考えなければならない。例えば、フィルタリングで実行ファイルをブロックする方法がある。最近はメールやWebに潜む脅威を取り除き、再構成した後に安全なファイルをユーザーに配信する「ファイル無害化」などと呼ばれるソリューションも提案されており、情報漏えいなどを引き起こすマルウエアの侵入を防ぐことが可能だ。このほか、セキュリティに関するログを収集・分析するログ管理ツールなどを活用し、顧客情報の持ち出すなどの内部犯行を抑止する効果もある。

これらを踏まえてIT部門は、顧客情報を扱う営業部門や、従業員のマイナンバーなどを扱う総務・経理部門と連携しながら個人情報の取り扱いについて徹底管理する必要があるだろう。

これまでも顧客情報や従業員の個人情報の取り扱いに注意を払ってきたという企業も、改正法の全面施行を契機に個人情報管理のあり方を再点検してみてはどうだろうか。

ページ共通メニューここまで。

ページの先頭へ戻る