2024年4月1日、昨年12月に改正された個人情報保護法の施行規則が施行されました。この改正で、個人情報の取扱いに関する規則が一段と強化されています。
具体的には、情報の漏えい等が発生した際の個人情報保護委員会への報告義務と本人への通知義務の対象が「個人データ」から、一定の「個人情報」まで、その範囲が拡張されています。今回の施行規則の改正で何が変わり、企業として今後どのような対応が必要となるのでしょうか?まずは知っておくことが大切です。
この記事では、2024年4月1日に施行された改正個人情報保護法の施行規則の改正のポイントや企業に求められる対応を見ていきます。
目次
個人情報保護法の施行規則の基礎知識
ところで、そもそも施行規則とは何でしょうか?法律と何が違うのでしょうか?本題に入る前に基礎知識から押さえておきましょう。
施行規則とは?
今回改正されたのは、個人情報保護法の施行規則ですが、施行規則は省令ともいいます。日本の法体系はピラミッド構造になっており、以下のような序列があるのです。
憲法>法律>議員規則・最高裁判所規則>政令(施行令)>省令(施行規則)>その他命令
省令は、「各省大臣が法律もしくは政令を施行するため、または法律もしくは政令の特別の委任に基づいて発せられる命令を言う」とされています。法律とは異なり、立法府である国会で審議・決議されたものではありません。よって、罰則は規定できないなどの制約があります。
今回の個人情報保護法の施行規則は、「個人情報保護委員会による個人情報保護法の規則改正」と位置付けられています。
個人情報と個人データ、保有個人データの違いとは?
個人情報保護法では、個人情報取扱事業者等の義務等を主に第四章で定めています。第四章の冒頭の第16条で個人情報取扱事象者とは、「個人情報データベース等を事業の用に供している者をいう」と定義しています。
また、この章における個人データとは、「個人情報データベース等を構成する個人情報」とし、個人情報データベース等は、「事業の用に供するために個人情報を検索することできるように体系的に構成したもの」と定義しています。
同じく保有個人データを「個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データ」としています。
同じ項目やカラムで構成される同じデータであっても、体系的に構成する前(個人情報)と構成した後(個人データ)、さらに個人情報取扱事業者が管理対象としているデータ(保有個人データ)か否かで定義が分かれている点を念頭においておきましょう。
義務規定の差分
個人情報、個人データ、保有個人データは、定義に違いがあるだけではなく、個人情報取扱事業者に課している義務にも差があります。それでは、各データにおける義務規定の違いについて、もう少し詳しく見て行きましょう。
【参考】:個人情報保護委員会 「個人情報」と「個人データ」の違いは何か。
個人情報、個人データ、保有個人データの全てに義務規定が適用される条項
・第17条(利用目的の特定)
・第18条(利用目的による制限)
・第19条(不適正な利用の禁止)
・第20条(適正な取得)
・第21条(取得に際しての利用目的の通知等)
個人データ、保有個人データに義務規定が適用される条項
・第22条(データ内容の正確性の確保等)
・第23条(安全管理措置)
・第24条(従業者の監督)
・第25条(委託先の監督)
・第26条(漏えい等の報告等)
・第27条(第三者提供の制限)
・第28条(外国にある第三者への提供の制限)
・第29条(第三者提供に係る記録の作成等)
・第30条(第三者提供を受ける際の確認等)
保有個人データに義務規定が適用される条項
・第32条(保有個人データに関する事項の公表等)
・第33条(開示)
・第34条(訂正等)
・第35条(利用停止等)
・第36条(理由の説明)
・第37条(開示等の請求等に応じる手続)
上記から、取得時点の個人情報、体系化し管理している個人情報(=個人データ)、管理権限を有する個人データ(=保有個人データ)で義務に差があること、個人情報取扱事業者にとって、「保有個人データ」が最も遵守すべき事項が多くなっていることが分かります。
「事業者として主体的に個人情報を取得し、保有個人データとして管理している」のか、「委託先として個人データを預かり、データを処理している」のかで、義務規定に差があると言えるでしょう。
【関連記事】:改正個人情報保護法の適用範囲は?自社が該当するのか確認しよう
2024年4月施行、個人情報保護法施行規則改正のポイント
それでは、ここからは2024年4月に施行された個人情報保護法の施行規則において、何が改正されたのかを詳しく見ていきましょう。
「個人データ」の範囲が拡大
個人情報保護法では、個人情報保護委員会への報告義務と本人への通知義務は、個人データの漏えい等が発生し、「個人の権利利益を害するおそれが大きいもの」として定める事態が生じた場合としています。
今回改正された個人情報保護法の施行規則では、「個人の権利利益を害するおそれが大きいもの」の定義において、対象となる「個人データ」の範囲が拡大されました。
【参考】:施行規則第7条に規定する「個人データ」には、どのような情報が含まれますか。
規則第7条 法第26条第1項
「個人の権利利益を害するおそれが大きいもの」として個人情報保護委員会規則で定めるものは、次の各号のいずれかに該当するものとする。
【引用】:e-gov 個人情報の保護に関する法律施行規則 第7条
①要配慮個人情報が含まれる個人データ(高度な暗号化その他の個人の権利利益を保護するために必要な措置を講じたものを除く。以下この条及び次条第1項において同じ。)の漏えい、滅失若しくは毀損(以下この条及び次条第 1 項において「漏えい等」という。)が発生し、又は発生したおそれがある事態
②不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態
③不正の目的をもって行われたおそれがある当該個人情報取扱事業者に対する行為による個人データ(当該個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、個人データとして取扱われることが予定されているものを含む。)の漏えい等が発生し、又は発生したおそれがある事態
④個人データに係る本人の数が千人を超える漏えい等が発生、又は発生したおそれがある事態
①~④の義務の対象は「個人データ」となっていますが、今回の施行規則の改正で「個人データ」には、以下のデータも含まれると明確に定義されました。
【参考】:施行規則第7条に規定する「個人データ」には、どのような情報が含まれますか。
・取得しようとしている個人情報
・個人データとして扱われることが予定されている個人情報
「個人の権利利益を害するおそれが大きいもの」の定義は、他の条項においても参照されています。個人データの範囲の拡大によって、個人情報取扱事業者に課される義務の対象となるデータは事実上、個人情報にまで拡大されたことになります。
個人情報保護委員会への報告義務と本人への通知義務の範囲が拡大
今回の施行規則の改正においては、その対象となる個人データの範囲が拡大したため、個人情報保護委員会への報告義務と本人への通知義務が生じる対象も拡大しています。
法第26条 第1項
個人情報取扱事業者は、その取扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を個人情報保護委員会に報告しなければならない。ただし、当該個人情報取扱事業者が、他の個人情報取扱事業者又は行政機関等から当該個人データの取扱いの全部又は一部の委託を受けた場合であって、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を当該他の個人情報取扱事業者又は行政機関等に通知したときはこの限りでない。
法第26条 第2項
前項に規定する場合には、個人情報取扱事業者(同項ただし書の規定による通知をした者を除く。)は、本人に対し、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を通知しなければならない。ただし、本人への通知が困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときはこの限りでない。
安全管理の対象の拡大
個人情報取扱事業者は、個人データの漏えいや滅失、毀損を防止するための安全管理措置を講じなければなりません。
法第23条
個人情報取扱事業者は、その取扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。
法第23条にある「その他の個人データ」について、個人情報の保護に関する法律についてのガイドライン(通則編)では、個人情報取扱事業者が取得し、又は取得しようとしている個人情報を含むとする以下の一文を明記しました。これにより、安全管理の対象となるデータが拡大しています。
【引用】:個人情報の保護に関する法律についてのガイドライン(通則編)
(省略)・・・なお、「その他の個人データの安全管理のために必要かつ適切な措置」には、個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、当該個人情報取扱事業者が個人データとして取扱うことを予定しているものの漏えい等を防止するために必要かつ適切な措置も含まれる。
保有個人データに関する公表範囲の拡大
個人情報取扱事業者は、保有個人データの安全管理のために講じた措置を、本人が知り得る状態にしなければなりません。
法第32条
保有個人データの安全管理のために講じた措置(ただし、本人の知り得る状態に置くことにより当該保有個人データの安全管理に支障を及ぼすおそれがあるものを除く。)
個人情報取扱事業者は、法第23条の規定により保有個人データの安全管理のために講じた措置の内容を本人の知り得る状態に置かなければならない。
第32条に関連して、個人情報の保護に関する法律についてのガイドライン(通則編)では、その公表範囲に個人情報取扱事業者が取得し、又は取得しようとしている個人情報を含むとする以下の一文を明記しました。これにより、公表の対象となるデータが拡大しています。公表には本人からの要求に答える対応も含まれます。
【引用】:個人情報の保護に関する法律についてのガイドライン(通則編)
(省略)・・・なお、当該安全管理のために講じた措置には、個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、当該個人情報取扱事業者が保有個人データとして取扱うことを予定しているものの漏えい等を防止するために講じた措置も含まれる。
ここまで、2024年4月の施行規則の施行によって、個人情報保護委員会への報告義務や本人への通知義務、個人情報の取得段階の安全管理措置、保有個人データに関する公表範囲は、「(取得した)個人データ」から「取得しようとしている個人情報や個人データとして取扱う予定の個人情報」に拡大されたことを見てきました。
従来の運用のままで問題はないのか、今一度、しっかりとチェックしましょう。
【参考】:個人情報の保護に関する法律についてのガイドライン(通則編)(平成 28 年個人情報保護委員会告示第 6 号)の一部改正の新旧対照表
個人情報保護法施行規則改正の背景
個人情報保護法は、2017年に施行された改正法において、社会の動向や技術の発展を加味して3年ごとに見直しを行うことを取り決め、以降、定期的な見直しと改正が行われてきました。
それでは、今回の施行規則の改正は、どのような背景で行われたのでしょうか?
多様化するサイバー攻撃への対応
近年、サイバー攻撃による情報漏えい、インターネットを使った個人情報搾取の手法は多様化し、被害が急増しています。通信経路上でのデータの搾取、システムの脆弱性をついた不正アクセス、偽サイトへの誘導、などさまざまな手法があります。
なかでも、事業者のWebアプリケーションの脆弱性をついた「Webスキミング」は、利用者が事業者のWebサイトのフォームに入力している個人情報を直接、かつリアルタイムで搾取するため、事業者および利用者がともに気づかないケースが多いと指摘されています。
一度個人情報が流出すると、パスワードやメールアドレス、クレジットカード情報がダークウェブに出回り販売されるなど、悪質な二次被害も発生します。利用者を保護するために事業者に課す義務の対象や範囲を明確にする必要があります。
改正に際して、Webスキミングも念頭におく必要があると「個人情報保護委員会(第253回)議事概要」にも記録があり、議論の経緯が垣間見えます。
Webスキミングとは
Webスキミングは、ECサイトなどに設置されているフォームの脆弱性をついて、悪意のあるコードを埋め込み、利用者が入力したクレジットカード情報などを直接、かつリアルタイムで盗むサイバー攻撃の一種です。
対象は、事業者が運営する正規のWebサイトであり、製品やサービスは通常どおり提供されるため、利用者自身が被害に気づく術はほとんどありません。また、フィッシングなどのように偽サイトへの誘導もされないため痕跡が残りづらく、サイトを運営する側も検知・対処が難しい攻撃手法と言えます。
改正ポイントとWebスキミングの関係
Webスキミングでは、利用者がフォームに入力している情報を直接、リアルタイムに搾取します。これは、個人情報取扱事業者のサイトに今まさに入力されている情報であり、データベースへの登録等が行われる前の段階のデータであるため、個人データではなく個人情報に該当します。
改正前、個人情報は個人情報保護委員会への報告義務と本人への通知義務、安全管理措置の対象となるデータとして明記されていませんでした。改正によって「個人情報取扱事業者が取得し、又は取得しようとしている個人情報」と定義されたことにより、義務の対象となっています。
具体的には、利用者が入力しているWebサイトのフォームの情報や利用者から郵送されてくる途中の回答済みアンケート用紙、利用者から送信されたメール内に記載されている個人情報など、個人情報取扱事業者が受け取る前、個人データとする前の段階のデータである個人情報に関しても、同法の保護対象となります。
サイバー攻撃の手法は日々進化しており、次々と新しい手法が開発され、個人情報が搾取されるリスクが常に存在する中で、新たな被害を防ぐための法整備の重要性が増しています。今回の施行規則の改正は、個人情報取扱事業者にサイバー攻撃への対策と対応を個人情報保護の観点から求めていると言えるでしょう。
個人情報改正を受けて、企業が実施するべき対応
それでは、今回の施行規則の改正によって、どのような対応が必要となるのでしょうか?基本的には、対象となる個人データの範囲が拡大することを前提とした対応の検討が必要です。
【参考】:個人情報の保護に関する法律についてのガイドライン(通則編)
報告・通知義務
情報漏洩の発生や疑いが生じた場合には、速やかに個人情報保護委員会への報告、本人への通知を行う必要があります。個人情報保護委員会への報告は、発覚から3~5日以内が目安とされており、個人情報保護委員会のWebサイトにて報告のための手引が記載されています。
本人への通知について日数は定められていませんが、状況に応じて速やかに通知するよう求められています。経緯や漏洩データをわかりやすく本人に伝える必要があるほか、直接的な通知が難しいケースでもホームページでの公表や窓口の設置を行うと良いでしょう。
安全管理措置
安全管理措置に必要な項目として、以下の5つが掲げられています。
・組織体制の整備
個人データの取扱いに関する責任者を設置し、責任や連絡体制を明確にします。
・取扱規程等に基づく運用
参照や持ち出し、廃棄を記録し、確認や検証が可能な状態にします。
・取扱状況を確認する手段の整備
個人データベースがどのような項目を持ち、誰がアクセスできるのかを把握できるようにします。
・情報漏えい等事案に対応する体制の整備
速やかな報告・通知や、原因究明、再発防止策の立案などを行える体制を整備します。
・取扱状況の把握及び安全管理措置の見直し
適切に個人データが取扱われているのかのチェックや監査を実施します。
保有個人データに関する公表
保有している個人データの内容や目的を、本人が簡単に確認できる状態に置く必要があります。望ましい公表例として、以下の方法が挙げられます。
【参考】:個人情報の保護に関する法律についてのガイドライン(通則編)
・自社サイトのトップページや1クリックで到達できる場所に掲載する
・本人が訪れる店舗や事務所にポスターやパンフレットを設置・配布する
・本人が閲覧するパンフレットやカタログに掲載する
個人情報に関する文書類・規約類の見直し
個人情報保護方針、個人情報の取扱い、各種規約、プライバシーポリシーなど、個人データについて定めた文書類は、このタイミングでひととおりチェックしましょう。
今回の施行規則の改正によって、個人データの範囲は「個人情報取扱事業者が取得し、又は取得しようとしている個人情報」に拡張されていますが、各文書内の「個人データ」の定義は、改正後の要件に合致しているか、一度しっかりと精査しましょう。
【関連記事】:事業者が遵守すべき個人情報保護法における義務とは?
2024年施行の個人情報保護法は現行運用の見直しがポイント
施行規則の改正により、責任が生じるデータの範囲が拡大された個人情報保護法では、これまで義務を課されなかったデータに対する責任が生じたことを意味します。特にWebスキミングで搾取される個人情報は、システムに保存される前段階のデータであり、Webシステムにおけるサイバーセキュリティをいかに講じるかを法令遵守の観点からも考慮する必要性が出てきました。
RTmetricsは、タグやプログラムをWebサイトに組み込むことなく、実装できる高精度なアクセス解析ツールです。個人情報保護法を遵守した個人データの取扱い、データ管理の実現にお役立て頂けます。ぜひご検討ください。