ISMS、プライバシーマーク等の認証、更新審査対応について
みなさま、こんにちは。
2022年4月1日に個人情報保護法が改正され、2か月強が経過しましたね。
みなさまの組織での対応状況はいかがでしょうか?
ISMSやPマークの認証を取得している企業は、改正個人情報保護法の内容に合わせた運用フローの変更や体制変更等が必要であり、社内ポリシーや内部規定等の文書への反映も実施しなければいけません。
これらについて、認証の更新審査を控えたお客様から当社への相談も増えてきております。
今回は、これら一連の対策、実施すべき内容について、改めて考察していきます。
ご参考になれば幸いです。
2022年4月1日施行 改訂版個人情報保護法のポイント
個⼈の権利の在り⽅
- 利⽤停⽌、消去、第三者提供の停⽌請求の要件緩和
- 保有個⼈データの開⽰⽅法を、本⼈によりデジタル化の指⽰ができる
- 第三者提供記録の開⽰ができる
- 6 ヵ⽉以内に消去する短期保存データが「保有個⼈データ」の対象となる ・オプトアウト規定(届出対象事項の追加、第三者提供限定)の強化
事業者の守るべき責務の在り⽅
- 漏えい等について委員会、本⼈への通知の義務化
- 不適正な⽅法による個⼈情報の利⽤の明確化
事業者による⾃主的な取組をうながす仕組みの在り⽅
- 企業の特定分野・部⾨を対象とする団体を認定団体制度に基づき認定可能
データ利活⽤に関する施策の在り⽅
- ⽒名等を削除した「仮名加⼯情報」を新設し、内部分析に限定する等を条件に開⽰・利⽤停⽌・請求への対応等の義務を緩和する
- 提供元では個⼈データに該当しないが、提供先において個⼈データとなる情報(個⼈関連情報 ) に、第三者提供の本⼈同意確認の義務化
ペナルティの在り⽅
- 法定刑の引き上げ
法の域外適⽤・越境移転の在り⽅
- 外国事業者に対し、罰則によって担保された報告徴収・命令の対象とする
- 外国の第三者提供時に、情報の取り扱いに関する本⼈への情報提供の充実
これらを踏まえた上で、責任範囲の拡大、事故発生時点の公表などへの対応、さらに日本国外との取引がある企業においては、事業継続の際には注意が必要になってきます。
具体的には、以下のような取り組みが必要になります。
データ取得から第三者提供までのシステムの見直し
個人情報の取得から第三者提供・データ活用に至るまで、一連の社内システム全般についての見直しが必要になる事が想定されます。
第三者提供をおこなう可能性がある場合はその旨を記載して同意を得る、得られた同意についても、どのユーザがどこまで同意しているのかを容易に確認できる状態に置くなど、実務上の利便性を意識したシステム構築が必要です。
データの閲覧制限や権限の見直し
改正個人情報保護法では、法人への罰金額が数十万円程度から最大1億円にまで引き上げられました。
違反してしまわないよう、各社員に付与するデータの閲覧や処理の権限を必要最低限となるように見直して、これまでよりもヒューマンエラーが起きにくくなるシステムに組み直すことが求められます。
取得データの分類の変更
企業が改正法を順守しつつ競争力を保つためには、第三者提供で得た情報を仮名加工情報に変更するなど、取得したデータの区分変更が必要になります。
第三者提供や越境移転などの記録
前述のとおり、提供に関する記録を本人が開示請求できるようになるなど、第三者提供の取扱いが厳密化されます。
日本国外へのデータ移転とあわせて、 移転の記録(移転先、本人同意の状況、提供先の個人情報の取り扱い状況)などを保存する仕組みが推奨されます。
要配慮個人情報等の処理
個人情報のなかには要配慮個人情報(偏見や差別につながりうる個人情報)のように取り扱いに特別な制限のかかるデータ区分もあります。
もし取り扱いを誤れば個人に深刻なダメージを与えてしまう可能性もあり、他のデータと決して混同しないようにシステムを整える必要があります。
セキュリティ対策は、現状を正確に把握し、その評価結果に基づいた強化・対策を継続して実施して、理想とする姿に近づけていく事が重要です。
M&Kでは、経験豊富なコンサルタント、エンジニアがこれらのセキュリティ対策に関してもご支援を行っております。
守るべき資産のアセスメント、セキュリティマネジメントに関するコンサルティング、具体的な技術的安全対策措置までワンストップにてご支援が可能です
何かお悩みの点がございましたら、お気軽にご相談ください。