「改正個人情報保護法から1年以上経過しました」

最終更新日:2023年9月15日

こんにちは！秋気がいよいよ増す頃ですが、皆様いかがお過ごしでしょうか。
秋といえば“食の秋”ですね。秋はおいしいものがたくさんありますので体重に気を付けながら食を楽しみたいと思います。

MylogStar Cloudコラム第20回を迎えました。20回ほど活用方法をご紹介しましたが、まだまだMylogStar Cloudの魅力を伝えきれていません。
今後もタメになる活用方法をご紹介しますので、今後ともMylogStar Cloudをよろしくお願いいたします。

今回のコラムタイトルは、「改正個人情報保護法をもう一度見直しましょう」です。
2022年4月に改正された個人情報保護法の内容は把握されていますでしょうか？
既に改正されて1年以上経過をしていますが、まだ対応していない企業様が多い印象を受けます。「まだうちは大丈夫だ」と後回しにしていると取り返しのつかないことが起こるかもしれません。
本コラムでは、改正個人情報保護法の内容に触れながらMylogStar Cloudの活用方法をご紹介します。

個人情報保護法とは？

氏名や性別、生年月日、住所などの個別情報は、うまく活用することで行政や医療、ビジネスなどの様々な分野においてサービスの向上や業務の効率化を図れるメリットがあります。
ただ、本人の許可なしにこういった個人情報を利用することを防ぐため平成15年（西暦2003年）5月に個人情報保護法が制定されました。

個人情報保護法の改正ポイントについて

個人情報の改正内容ついてご紹介します。

漏えい等報告・本人通知の義務化
漏えい等が発生した場合に、個人の権利利益を害するおそれが大きい事態については
個人情報保護委員会への報告及び本人への通知が義務化される。
外国にある第三者への提供
外国にある第三者への個人データの提供時に、本人に対し、移転先事業者における個人情報の取り扱いに関する情報提供の充実等を求める。
保有個人データの開示方法
保有個人データの開示方法は、電子的記録の提供を含め、本人が指示できる。
個人データの利用の停止・消去等の請求
利用停止・消去等の請求権については、一部の個人情報保護法違反の場合に加え、個人の権利又は正当な利益が害される恐れがある場合にも拡充される。
公表等事項の充実
安全管理のために講じた装置を公表等する義務がある事項として追加される。

以上の5つが個人情報保護法の改正ポイントになります。

参考文献：個人情報保護委員会「令和２年改正個人情報保護法　特集」

5つの改正ポイントがありましたが、その中で一番注目していただきたいのは、“個人情報保護委員会への報告及び本人への通知の義務化”です。
何かインシデントが発生し、個人情報が漏えいした場合に個人情報保護委員会への報告が義務化されました。今まで情報漏えいの対策を特にしていなかった、または、あまりしていない企業様は要注意です。
個人情報保護法委員会への報告を怠った場合、最大1億円の罰金が科せられます。重要な個人情報の漏えいにプラスして罰金まで…企業を守るためにも対策は必須です！
では、そもそも個人情報の漏えいといってもどういった情報が漏えいした場合に“個人情報の漏えい”に該当するのでしょうか？個人情報の漏えいには主に以下の4つが該当します。

① 要配慮個人情報（医療情報・犯罪歴等）の漏えい

　例）：従業員の健康診断等の結果を含む個人データの流失
　　　　診療情報や調剤情報を含む個人データを記録したUSB メモリの紛失

② 財産的被害が発生する恐れがある場合

　例）：クレジットカード情報の漏えい
　　　　送金や決済機能のあるWeb サイトのログインIDとPWの組み合わせの漏えい

③ 不正の目的をもって行われたおそれがあるもの

　例）：外部からのサイバー攻撃による漏えい
　　　　従業員が顧客の個人データを不正に持ち出して第三者に提供した場合

④ 漏えい被害者が1,000人を超える場合

　例）：システムの設定ミスや、個人データの誤送付等により、1,000 人超の個人情報が漏えいした場合

個人の医療記録や犯罪例、金融情報などから外部からのサイバー攻撃まで個人情報の漏えいに該当します。これらの情報を守るためにも対策が必要になります。

“個人情報保護委員会への報告及び本人への通知の義務化”を詳しく見てみましょう。

“個人情報保護委員会への報告及び本人への通知の義務化”ですがポイントは以下3つです。

個人情報保護委員会への報告の義務化
漏えい被害者本人への通知が義務化
罰金刑の引き上げ

3つのポイントをそれぞれ詳しく見てみましょう。

① 個人情報保護委員会への報告の義務化

報告方法：速報と確報の2段階の報告が必要になります。
（速報：事由発生から3日～5日以内）
（確報：事由発生から30日以内）

個人情報保護法委員会のHPの報告フォームで報告します。

個人情報保護法委員会のHPの報告フォーム

報告内容

概要、漏えいした個人データの項目、被害者数、原因二次被害またはそのおそれ、本人への対応の実施状況公表実施の有無、再発防止措置、その他参考情報

想定される対応

インシデント対応、再発防止策策定のための専門事業者との連携
報告対象有無の確認や報告フォーム作成のため弁護士相談
原因調査・被害範囲の特定のためのフォレンジック調査

② 漏えい対象となった被害者本人への通知の義務化

通知方法

法令上規定されている様式はありません。通知すべき内容が「分かりやすく」伝わる方法を選択します。(例：文書・メール）
通知が困難な場合は、代替設定として問合わせ窓口を設定し、被害者本人が自らの個人データが漏えいしているか確認することも可能です。

通知内容

概要、漏えいした個人データの項目、原因、二次被害その恐れの有無

想定される対応

被害者からのお問い合わせ対応
漏えい被害者の名前、連絡先の特定
通知文書作成における弁護士への相談

③ 罰金刑の引き上げ

内容

個人情報保護員会への報告、被害者への通知を怠った場合、最高1億円の罰金が課される場合があります。

まとめると…

個人情報保護法委員会への報告の義務化。速報は3日～5日。確報は30日以内
漏えい対象となった被害者本人への通知の義務化。
罰金刑の引き上げ。個人情報保護法委員会への通知を怠った場合は、罰金の可能性。

“個人情報保護委員会への報告及び本人への通知の義務化”の内容については、皆様に分かっていただけたかと思います。
速報を5日以内に報告しなければいけませんので、時間に余裕がありません。

実際に法改正に対応するためにはどうしたらいいでしょうか？
そこで皆様にご紹介したいのが、MylogStar Cloudです。MylogStar Cloudのログ管理を導入することで
“個人情報保護委員会への報告及び本人への通知の義務化”に対応することが可能になります。イメージは、こんな感じになります。

対策をしていなかった場合

MylogStarを導入していた場合

MylogStar Cloudを導入することで、情報漏えいが発生した場合もログも元に速やかに調査できるため、5日以内に速報を個人情報保護法委員会に提出することが可能となります。ログはPC端末で起こった動きを証跡として残すものです。ログが有無で、情報漏えい後の対応のスピードに大きな違いが出てきます。

MylogStar Cloud 活用例：ランサムウェアに感染したPCを調査する。

ランサムウェアは、PC端末後にPCをロック/暗号化し見返りとして金銭を要求する非常に厄介なマルウェアです。
ランサムウェアに感染した場合、PC端末が暗号化されているので調査が難航します。どのファイルがどこに漏えいしたのかの調査が遅れる＝個人情報保護委員会への報告が遅れるということになってしまいます。

通常のインシデントの場合

ランサムウェアの場合

MylogStar Cloudがあることでログは、PC端末ではなくCloud上のサーバにあります。そのため感染直前までのログは、サーバ上にありますのでどの経路で感染したのかを調査することが出来ます。

自社のセキュリティ対策をする上で情報漏えい対策は必須ですが、後回しにしてしまったり、中々そこまで手を出さないことが多いと思います。
しかし、自社を守るためには、情報漏えい対策も必須です。年額9,800円/1台（月額800円）で始めることが出来るMylogStar Cloudから情報漏えい対策を始めてみてはいかがでしょうか。

MylogStar Cloud製品ページ

MylogStar Cloud 無料トライアルお申し込み

お問い合わせはこちら

今回は、改正個人情報保護法についてご紹介しました。このコラムが皆様のお役に立ちましたら幸いです。次回もためになる情報をコラムにしますのでお楽しみ！ではさようなら～