2022年4月に全面施行される「改正個人情報保護法（以下、改正法）」。これまで「まもりの種」では、改正法対応関連記事をご紹介してきました。（これまでの記事は本記事の最下部ご参照）

個人情報保護法第21条において、「個人情報取り扱い従業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない」と定めがある通り、個人情報保護における従業員への教育は重要とされています。しかし具体的にどんな教育や監督を行うかについては事業者の判断に任されており、企業ごとに考えていかなければなりません。ここでは、改正法に新たに加わった内容のうち、特に従業員教育が必要な項目について解説します。

漏洩報告・本人通知

今回の改正で新たに加わったものが、漏洩発生時の報告・通知義務です。「取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいもの※として個人情報保護委員会規則で定めるものが生じた」場合、企業は個人情報保護委員会への報告と本人への通知を行わなければなりません。もし通知を怠った場合は違反となり、50万円以下の罰金が課せられます。

尚、漏洩等の報告の義務を負う主体は、“当該個人データを取り扱う個人情報取扱事業者”ですが、個人データの取り扱いを委託している場合には、原則として“委託元と委託先の双方”が報告義務を負います。
ただし、委託先が、委託元に漏洩等の事態が発生したことを速やかに通知したときは、委託先は報告義務を免除されます。

※“個人の権利利益を害するおそれが大きいもの”に該当するもの

(1) 要配慮個人情報が含まれる個人データ（高度な暗号化その他の個人の権利利益を保護するために必要な措置を講じたものを除く。）の漏えい、滅失若しくは毀損が発生し、又は発生したおそれがある事態

事例 1）病院における患者の診療情報や調剤情報を含む個人データを記録した USB メモリーを紛失した場合
事例 2）従業員の健康診断等の結果を含む個人データが漏えいした場合

(2) 不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態

事例 1）EC サイトからクレジットカード番号を含む個人データが漏えいした場合
事例 2）送金や決済機能のあるウェブサービスのログイン ID とパスワードの組み合わせを含む個人データが漏えいした場合

(3) 不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態

事例 1）不正アクセスにより個人データが漏えいした場合
事例 2）ランサムウェア等により個人データが暗号化され、復元できなくなった場合
事例 3）個人データが記載又は記録された書類・媒体等が盗難された場合
事例 4）従業者が顧客の個人データを不正に持ち出して第三者に提供した場合

(4) 個人データに係る本人の数が千人を超える漏えい等が発生し、又は発生したおそれがある事態

事例）システムの設定ミス等によりインターネット上で個人データの閲覧が可能な状態となり、当該個人データに係る本人の数が 1,000 人を超える場合

具体的な対策として、以下に取り組みましょう。

社内の報告フローの確立、共有

個人情報漏洩事案が発生した場合、まずどの部署の誰に報告すべきか、指揮をとるのは誰か、報告フローについては社員全員知っておく必要があります。合わせて、個人情報保護委員会や本人への通知をする部署や担当は誰なのか、といったことなども明確に定めておかねばなりません。また、委託元・委託先間での取り決めや報告手順、ルール等、契約書の内容についても見直しすることが望ましいでしょう。

事案の大小に関わらず、こうした事故を従業員や委託先が個々に処理してしまうことには大きなリスクがあります。一連の手順をまとめて周知しておくことで、事故を二次災害に発展させることなく、迅速に対応することが可能といえるでしょう。

具体的に対応にあたる部署では、事案発生時を想定した訓練を行うなど入念な対策を検討しても良いかもしれません。

漏洩した際の影響

ニュースに取り上げられているような大きな漏洩事故はたまたま発覚した氷山の一角であり、どの企業も同じ状況に陥る可能性があることを十分に理解しておかなければなりません。

実際に漏洩事故を起こしてしまった際の損害・影響は計り知れないものです。

コスト面においては、被害者から加害者である企業に対し、損害賠償を請求されるケースも多く、漏洩件数が多い場合には巨額の賠償金を支払う事例が発生しています。賠償金に加え、顧客対応に人件費がかかることも想定されます。さらに昨今では、個人情報の管理はほとんどがシステム化しているため、システム改修費がかかるのは避けられないでしょう。

そして、コストでは解決できない損害が、社会的信用の失墜です。企業が著名であればあるほど事故はメディアに取り上げられ、イメージの低下や取引先の撤退、株価の下落など負の連鎖が起こります。一度失くした信頼を取り戻すことは難しく、些細な事故であっても企業の存続を左右する可能性があることを、全従業員が肝に銘じておかなければなりません。

第三者提供記録

改正法では、第三者提供に関する項目が大幅に改訂されています。具体的には、現行法では提供者本人が企業に対して開示請求できるのは保有個人データのみでしたが、改正法では個人データを第三者に提供した際の記録も開示請求できるようになりました。そのため第三者情報の授受を行う企業は、個人データ授受の記録が全て作成・保存されているかを確認し、開示対象にするよう、規定や従業員の実務対応・教育を見直す必要があります。

罰則強化

今回の法改正では、措置命令・報告義務違反に対するペナルティが強化されました。特に法人に関しては、措置命令（42条2項、3項）と個人情報データベース等の不正流用が発覚した場合、1億円以下の高額な罰金が課せられています。

法令の周知徹底を行うことは、従業員が意図せずに違反してしまうなどの事故防止にもつながります。改正法の全面施行は2022年4月1日からですが、罰則のみ2020年12月12日から施行されています。

個人情報保護法に強いおすすめの教育・コンサルティングサービス

個人情報保護対策は法律を伴う専門的な知識が求められるため、外部からコンサルタントを起用するといったケースがよく見られます。法的に安全に自社を守るためにもおすすめの方法です。

「どこに相談していいか分からない」という方は、専門コンサルタントが、企業の抱える情報セキュリティ課題に対して柔軟にカスタマイズした形で教育・コンサルティングを行う日本パープルのサービス＜Coach MAMORU（コーチマモル）＞がおすすめです。

全従業員へ改正法の周知徹底と教育を行おう

個人情報保護法を始め、意図せず法律に遵守できなかった場合もペナルティが課せられます。長期的に健全な会社経営を継続させていくためには、すべての従業員の知識のアップデートが求められているといえます。今回の改正を機に、包括的に個人情報関連の教育に取り組むことは、組織体制の強化にもつながるでしょう。今回ご紹介したような外部のコンサルティングサービスの活用も視野に入れてみてはいかがでしょうか。

Pマーク取得企業も新たな「構築・運用指針」に対応した運用を

今回の改正個人情報保護法に合わせて、Pマーク取得企業も新たな「構築・運用指針」に対応していかなければなりません。次の審査まで時間に余裕があったとしても、2022年4月以降は新たな基準での運用が求められています。Pマーク取得企業は今回の対応を「個人情報に対する意識向上」の好機だととらえ、積極的に進めていきましょう。

個人情報保護法改正（2022年4月施行）関連記事

第1回【2022年4月施行】個人情報保護法改正、6つのポイントとは？
第2回【2022年4月施行】個人情報保護法改正、6つのポイントを徹底解説
第3回【2022年4月施行】個人情報保護法改正、プライバシーポリシー改訂のポイント
第4回【2022年4月施行】個人情報保護法改正、開示請求のポイント
第5回【2022年4月施行】個人情報保護法改正、個人関連情報・オプトアウト規制・不適正利用に関する対応ポイント
第6回【2022年4月施行】個人情報保護法改正、従業員教育で取り上げるべきポイント教育
第7回【2022年4月施行】個人情報保護法改正、個人データ漏洩等の報告・対応について
第8回【2022年4月施行】個人情報保護法改正、個人データの取り扱いに関する安全管理措置について
第9回【2022年4月施行】個人情報保護法改正Q&A、海外のクラウドサーバーやソーシャルプラグインに関する考え方
第10回【2022年4月施行】改正個人情報保護法対応に向けた主なTo Doを解説！（全企業対象）
第11回【2022年4月施行】改正個人情報保護法対応に向けた主なTo Doを解説！（Pマーク取得企業対象）