文書管理

改正個人情報保護法 (2022年4月施行)対応の5つのポイントと個人情報管理の課題・解決例

2022年4月に個人情報保護法が改正されました。命令違反や虚偽報告時のペナルティの強化や安全管理措置の開示が義務化、個人情報漏えいの報告義務と本人への通知も義務化するなど、企業は今後個人情報を扱う際には、より一層個人情報保護法に則った厳格な管理を行う必要があります。 そんな個人情報保護法改正対応5つのポイント、個人情報管理の課題と解決案について解説いたします。

個人情報保護法の改正内容

2022年4月に行われた個人情報保護法の改正内容については、おおよそ下記のとおりとなります。

(1)個人の権利の拡充など
①今までは、本人による個人データの利用停止や削除に関する請求権を法違反の場面に限定されていましたが、改正個人情報保護法では現行法の内容に加えて、「本人の個人情報を取扱事業者が利用しなくなった場合」「重大な漏えいなどが発生した場合」、「本人の権利または正当な利益が害されるおそれがある場合」などに該当する場合は請求権を行使できるようになりました。
 
②保有個人データについて請求者である本人がデジタルデータでの提供を含めた開示方法を指定することができるよう変更されました。

③第三者提供記録を本人が開示請求できるよう変更されました。これにより事業者間で自分の個人データがどのように流通しているのかについて、本人が第三者提供記録を開示請求の対象にできるようになります。

④短期保有の個人情報が保有個人データに含められるようになりました。これまで6か月以内に消去される短期保有の個人データは保有個人データに含まれませんでしたが、期間にかかわらず保有個人データとして取り扱う必要があります。

(2)個人情報取扱事業者の厳守すべき責務が追加
①改正個人情報保護法では個人データの漏えい時の個人情報保護委員会への報告が義務化され、さらに本人への通知が原則義務化されました。なお、他の個人情報取扱事業者から個人データの取り扱いの委託を受けた場合は、漏えいが発生した際に委託者に通知すれば報告義務は免除されます。また本人への通知が困難かつ本人の権利の保護のために必要な代替措置を取っている場合には、通知義務は免除されます。

②不適切な個人情報の利用が禁止されました。これまで、個人情報の不適正な利用の禁止について記載がありませんでしたが、改正個人情報保護法では禁止と定められました。

(3)個人を特定できない状態でのデータ活用(仮名加工情報)の促進
①これまでの個人情報保護法では個人情報を加工して個人を特定できないようにしても、加工前の情報と同等に厳しい規制の対象となっていました。改正個人情報保護法第2条では他の情報と照合しない限り個人を識別することができないように加工した情報を仮名加工情報として新たに定義しました。また、第35条には仮名加工情報取扱事業者等の義務について新設されました。
これにより分析目的の活用に限定する等の条件はありますが、仮名加工情報取扱事業者は開示・利用停止請求への対応等の義務が緩和されました。

②提供元では個人データに該当しないものの、提供先において他の情報と照合することで、容易に個人を特定できる場合があります。改正個人情報保護法では個人関連情報を第三者提供する場合、提供元が提供先に対して本人の同意を得ずに第三者への提供が禁止されました。

(4)認定個人情報保護団体制度の充実
個人情報保護法では、個人情報保護委員会の他に、民間団体を利用した情報保護を図っており、認定団体制度を設けています。しかし、旧個人情報保護法では、認定団体は例えば金融業や建設業など業界単位で設立されていましたが、企業内の特定分野(部門)[例:広報部門、総務部門など]を対象とする団体でも認定されるようになりました。

(5)罰則の強化
今回の改正個人情報保護法では法人に対する罰金刑の一部の上限額が引き上げられました。特に大きく引き上げられたのが、個人情報保護委員会からの命令違反で、30万円以下から1億円以下に引き上げられています。なお、法人だけではなく行為者に対しても個人情報保護委員会からの命令違反の懲役刑が6か月から1年になり、罰金刑が30万円以下から100万円以下になるなど、罰則が強化されました。

(6)海外事業者への罰則強化
海外の事業者も日本国内に住んでいる人の個人情報を取り扱う場合に報告徴収・立入検査など罰則の対象となりました。これにより国内の個人情報取扱事業者のみ報告徴収・立入検査の規定が適用されていましたが、改正によって海外の事業者が不適切な個人情報の扱いをした場合、これまでよりも具体的な是正措置が可能になります。

参考:個人情報保護法委員会|個人情報保護法令和2年改正及び令和3年改正案について

個人情報保護法改正への対応5つのポイント

個人情報保護法の改正にともない企業の担当者は改正に合わせた対応を行う必要があります。例えば下記の様な対応が考えられます。

(1)デジタルデータで開示するためのルール整備
(2)情報漏えい発生時の報告等の対応見直し
(3)教育の徹底
(4)プライバシーポリシーの見直し
(5)第三者提供記録の作成

(1)デジタルデータで開示するためのルール整備
改正個人情報保護法では請求者が保有個人データをデジタルで開示することを要求した際に対応する必要があります。そのためへの準備が必要となります。

(2)報漏えい発生時の報告等の対応見直し
努力義務であった個人情報保護委員会への報告が、改正個人情報保護法では報告が義務化されました。そのため報告体制などの見直しを行いましょう。専門部署などがない場合は、この機会に専門部署の立ち上げなども検討しましょう。

(3)教育の徹底
情報保護委員会への報告が義務化されました。今まで以上に個人情報漏えい時の社会的影響やリスクが大きくなるため、個人情報の取り扱いに関する教育を強化すべきであると考えられます。

(4)プライバシーポリシーの見直し
個人情報を取得する場合は本人が自身の個人情報がどのように取り扱われるかを利用目的から合理的に予測・想定できるように、可能な限り利用目的を特定して、プライバシーポリシーに盛り込みましょう。
例えば、「マーケティングおよび広告配信時に利用します」というような内容は具体的に利用目的を記載していませんので、「取得した購入履歴や広告表示履歴を元に興味度合いの高いと思われる商品・サービスに関する広告をお送りします」というような内容に変更することが望ましいと考えられます。

個人情報を含むデータや書類の取り扱いの課題と解決例

プライバシーポリシーなどが会社として定まっていても、実際の現場では個人情報を含むデータや課題について様々な課題を抱えています。

課題1:個人情報保護法の内容を把握しきれていない

今回のような法律の改正などは社員全員が正確に把握できていない可能性が高いため、改正前・改正後にきちんと教育しておく必要があります。
また、個人情報の取り扱いについては管理部門への申請・報告制にするなど取り扱う部署以外にも第三者による監査が行える体制を整えておくことが望ましいと言えます。

<解決例1>
社員への教育はe-ラーニングなどのツールを用いた定期的な教育や集合研修などを通して、個人情報の適切な管理の意識を醸成していく必要があるといえるでしょう。

課題2:個人情報保護法の内容は把握できているが、きちんと運用できていない

このケースは現場での運用が定まっていない場合や、運用が定まっているもののきちんと運用を行っているかを監督する人がいないケースが考えられます。

<解決例2>
運用が定まっていない場合はどのような運用をしているかを監査部門に報告するように求めましょう。
MAツール(マーケティングオートメーションツール)や会員管理システムなどに保有している個人データは現場部門で管理・運用したほうが効率的ですが、個人情報が記載された書類などは全社的に保管場所や保管ルールなどを決めることで運用の統一化がされるため、監査もしやすく、適切な運用が行われます。

なお、個人情報の取り扱いの運用が適切に行われているか定期的な監査を行い、運用の定着化をする活動も必須となります。

課題3:きちんと運用しているが、管理工数が増えてしまっている

個人情報の管理を各部門に運用を任せることで全社的なコストが増えてしまう場合があります。製品・サービスの問合せ者、イベントの来場者、取引先担当者など管理する個人情報は様々あり、その管理の方法もどのように取得したかなどによって様々です。管理する個人情報に合わせた効率的な運用が行えていない可能性が考えられます。

<解決例3>
現場にとって個人情報管理が負担とならないように運用の見直しや管理の負担を減らしつつ管理レベルを維持、または向上させるためのツールの導入などを検討しましょう。例えば管理者の目線では保管期限の過ぎた個人情報の廃棄を自動的にチェックできる機能や、個人情報の登録(保存)が行われた際に通知を受け取るなどの機能があるツールを利用することで確認工数を減らすことができます。
一方、個人情報を取り扱う担当者の目線では、保管場所が統一されていることで引継ぎの手間を減らせます。この保管場所をファイルサーバなどではなく、きちんと管理機能をもつツールを利用することで保管の際に個人情報データそのものの情報(保管期限、入手元、提供先、保管者)を付与し、監査時の負担やそもそも紛失や開示請求への迅速な対応を行うことで負担を減らすことが可能です。

個人情報を含む文書の管理なら文書管理システムMyQuick

販売戦略や広告を検討する上で、取得した個人情報を活用することもあります。その際に作成した個人情報を含む書類の管理をきちんと行い情報漏えいのリスクを減らすことも重要です。
文書管理システムMyQuickは個人情報保管時に管理者への自動通知や、廃棄確認時期が来たら関係者への自動通知により適切な管理を行うことができます。また、権限管理機能により情報セキュリティを保ちつつ、一つの基盤を複数の部署が利用することができます。

月額4万円から利用可能な文書管理管理システムMyQuickクラウド

⽂書管理にお悩みがある⽅には、
インフォコムの⽂書管理システム、My Quickがおすすめです!

  • ユーザー数無制限
    お得なライセンス体系!

  • 台帳項目を自由に設計、簡単検索!

  • パッケージ版と同等の機能をクラウド版で利用可能

関連記事

  • 文書管理 個人情報を含む文書の適切な管理を進める方法について

    2022年4月に個人情報保護法が改正され、法人に対する罰則が大幅に強化されるなど、個人情報の管理についてよ ...

お問い合わせ・製品資料ダウンロード

無料お試しデモのお申込み、営業担当による詳細説明のご希望、資料請求のお申込みはこちらから

お電話でのお問い合わせ

03-6866-3590

06-7220-4931

03-6866-3590 06-7220-4931

受付時間   平⽇09:15〜17:30