2022.02.13 怖い話⑥「個人情報保護法」
センター長の中村です。
以下、個人情報保護委員会のホームページで主に調べました。
個人情報保護法は2003年5月に成立した法律で、長ったらしいその目的を要約すると、
「個人情報を取り扱う事業者の遵守すべき義務等を定めることにより、個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする」ということだそうで、間違いを恐れずにもっとわかりやすく表現すると、
「個人情報をうまく使って、産業経済を活性化させましょう。でも事業者の皆さん、無茶はダメなので決められた義務は守ってね」ということだと思います。
法律成立の2年後、2005年4月に全面施行されましたが、実際に我々のような中小企業がこの法律を意識しなければならなくなったのは、2017年に施行された改定後人情報保護法からで、“取り扱う個人情報の数5000以下の事業者は規制対象外”という規定が廃止されたことが大きく影響します。
「うちは、5000件なんて持っていないから、関係ない」と言っていた小規模事業者も否応なしにこの法律の対象事業者となったわけです。
このタイミングで個人情報の定義も明確化されていますが、個人情報って改めて何さというと、
生存する個人に関する情報で、
・氏名、生年月日、その他の記述によって特定の個人を特定できるもの
・個人識別符号が含まれるもの(旅券番号・年金番号・マイナンバー・免許証番号等)
じゃあ、個人情報取扱事業者の定義というと、“個人情報データベースなどを事業の用に供している者”となっています(宗教や政治、報道、研究活動は対象外)。
この事業者が守るべきルールはおおまかにいうと、
- 取得・利用目的を特定し、通知又は公表すること
- 情報の漏えい等が生じないように安全に管理すること
- 個人情報を本人以外の第三者に渡すときは、本人の同意を得ること
- 本人からの請求に応じて個人情報を開示、訂正・利用停止等をすること
(当社は大丈夫ですが、改めてチェックしましょう)
このルールに基づき「個人情報保護委員会」が監督を行い、報告や立ち入り検査を行い指導・助言、勧告・命令を行います。
罰則は、
命令違反・虚偽報告が、6ヶ月以下の懲役又は30万円以下の罰金
不正な利益を図る目的で個人情報データベース等を提供、又は、盗用した場合は、1年以下の懲役又は50万円以下の罰金でした。
「・・・でした」というのは、個人情報保護法は3年ごとに見直しされることになっており、すでに2020年6月に公布され、今年2022年4月に改定されます。
改定のポイントはいくつかありますが、気になるのは、
漏えい時の報告義務
個人情報取扱事業者は、個人情報の漏えい等の発生時は、個人情報保護委員会に報告し、本人に通知すること義務を負う(個人情報保護法22条の2)。
※今までは、委員会への報告義務はなく企業・団体の個別対応に任されており、「本人への連絡などの必要な措置を講ずることが望ましい」で、努力義務でした。
法人に対する措置命令・報告義務違反の罰則引き上げ
措置命令の違反の罰則:30万円以下 → 1億円以下
個人情報データベース等の不正提供等の罰則:50万円以下 → 1億円以下
個人情報保護委員会への虚偽報告等の罰則:30万円以下 → 50万円以下
※この改定に関しては、前倒しで2020年12月12日施行済み
30万円が一気に1億円!
怖いですねー。
とはいいつつ、今回は能書きが多すぎて、「怖い」の実感が乏しかったので、どんなケースが情報漏えい発生時の報告公表義務に当たるのか、1億円に該当する違反行為はどんなものか、次回までにもう少し調べましょう。
当社、情報セキュリティ委員会もウイルス感染やポリシー違反による情報漏えい、災害、障害を想定した緊急時対応の計画立案のフェーズに入ります。
こちらの情報も発信していきたいと考えています。