【個人情報保護法】改正でどうなった? 内容をわかりやすく解説
弁護士JP編集部
2024年4月1日より、個人情報保護法施行規則および個人情報保護ガイドラインが一部改正されました。
今回の改正のポイントは、データベース化されていない個人情報についても、一定の要件を満たすものは漏えい等報告や安全管理措置の対象となった点です。各事業者においては、改正内容を踏まえて個人情報の管理方法などを見直しましょう。
本コラムでは、2024年4月1日より施行された個人情報保護法施行規則および個人情報保護ガイドラインの改正内容をわかりやすく解説します。
1. 個人情報保護法とは?
「個人情報保護法(正式名称:個人情報の保護に関する法律)」とは、個人情報等の取り扱いについて、事業者が遵守すべきルールなどを定めた法律です。
(1)個人情報保護法の目的
個人情報保護法の目的は、個人情報の有用性に配慮しつつ、漏えいなどのリスクを抑えて個人の権利利益を保護することです。
デジタル社会の進展に伴い、個人情報の利用は著しく拡大しています。事業者においては、保有する個人情報を適切に利用することで、業務の円滑化を図ることができます。
その一方で、事業者の過失によって個人情報が第三者に流出してしまうと、本人のプライバシーが侵害されるほか、日常生活にも実害が生じる事態になりかねません。
上記のように、個人情報には活用のメリットと漏えい等のリスクの両面があります。
このことを踏まえて、個人情報保護法では、個人情報を適切に活用しつつ、漏えい等のリスクを最小限に抑えるために事業者が守るべきルールを定めています。
(2)「個人情報」と「個人データ」の違い
2024年4月1日より施行された個人情報保護法施行規則・ガイドラインの改正内容を理解するためには、個人情報保護法に定義されている「個人情報」と「個人データ」の違いを理解する必要があります。
「個人情報」とは、生存する個人に関する情報であって、次のいずれかに該当するものをいいます(個人情報保護法第2条第1項)。
-
当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
(例)氏名、生年月日、連絡先、防犯カメラ映像や音声などのうち本人を識別できるもの、本人の本名が含まれているメールアドレスなど
-
個人識別符号が含まれるもの
(例)DNA情報、生体認証情報、旅券番号、基礎年金番号、免許証番号、住民票コード、個人番号、健康保険証の被保険者記号・番号など
「個人データ」とは、個人情報データベース等を構成する個人情報をいいます(同法第16条第3項)。
「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次のいずれかに該当するものをいいます(同条第1項)。
-
特定の個人情報を、電子計算機を用いて検索することができるように体系的に構成したもの
-
個人情報を一定の規則に従って整理することにより、特定の個人情報を容易に検索することができるように体系的に構成したものであって、目次、索引その他検索を容易にするためのものを有するもの
※ただし、以下の要件をすべて満たすものは、個人情報データベース等にあたりません。
- 不特定かつ多数の者に販売することを目的として発行されたものであって、かつ、その発行が個人情報保護法または同法に基づく命令の規定に違反して行われたものでないこと。
- 不特定かつ多数の者により随時に購入することができ、またはできたものであること。
- 生存する個人に関する他の情報を加えることなく、その本来の用途に供しているものであること。
基本的には、データベース上で管理されている個人情報は「個人データ」にあたります。
また、紙ベースで管理されている場合でも、目次や索引などによって検索できるようになっている個人情報は「個人データ」にあたります。
これに対して、データベースや目次・索引などを通じて検索できるようになっていない個人情報は、個人データにあたりません。
2. 2024年施行|個人情報保護法施行規則・ガイドラインの改正内容
2024年4月1日より、個人情報保護法施行規則および個人情報保護ガイドラインが一部改正されました。
改正のポイントは、漏えい等に関する報告義務と安全管理措置の対象範囲が拡大した点です。
(1)個人情報保護法施行規則・ガイドライン改正の目的
今回の個人情報保護法施行規則・ガイドライン改正の目的は、いわゆる「ウェブスキミング」への対策を行うことです。
ウェブスキミングとは、ウェブサイト上に不正なプログラムを設置することにより、ユーザーが入力したパスワードやクレジットカードなどの情報を盗み出すことをいいます。
偽サイトを用いる「フィッシング詐欺」とは異なり、ウェブスキミングは正規のサイトに不正なプログラムを仕掛けるため、情報が盗み取られていることをユーザーが感知することはほぼ不可能です。
ウェブスキミングでは、サイト運営者のサーバーを介さずに情報が盗まれます。したがって、まだデータベース管理等によって「個人データ」になっていない段階の「個人情報」が盗まれていることになります。
こうしたウェブスキミングの特徴に対処するため、従来は個人データを対象としていた規制の一部が、個人データではない個人情報にも拡大されました。
(2)改正ポイント1|漏えい等に関する報告義務の対象範囲拡大
1つ目の改正点は、個人情報保護委員会に対する報告義務の対象範囲が拡大された点です。
個人情報保護法では、以下のいずれかの漏えい等が発生した場合に、事業者に対して個人情報保護委員会への報告を義務付けています(同法第26条、同法施行規則第7条)。
- 要配慮個人情報が含まれる漏えい等
- 不正利用により財産的被害が生じるおそれがある漏えい等
- 不正目的をもって行われたおそれがある漏えい等
- 本人の数が1000人を超える漏えい等
従来は、個人データの漏えい等のみが報告義務の対象とされていました。
しかし、今回の改正によって「当該個人情報取扱事業者が取得し、または取得しようとしている個人情報であって、個人データとして取り扱われることが予定されているもの」も新たに漏えい等の報告義務の対象に含められました(同法施行規則第7条第3号)。
漏えいが発生した時点では個人情報取扱事業者がデータベース管理していない(=個人データにあたらない)ものの、本来であればデータベース管理されるべき個人情報については、漏えい等について個人情報保護委員会に報告する必要があります。
これは、主にウェブスキミングによって情報を盗まれたケースを念頭に置いたものです。
(3)改正ポイント2|安全管理措置の対象範囲拡大
2つ目の改正点は、個人情報取扱事業者が講ずべき安全管理措置の範囲が拡大された点です。
個人情報取扱事業者は、個人データの安全管理のために必要かつ適切な措置(=安全管理措置)を講じなければなりません(個人情報保護法第23条)。
従来は、個人データのみが安全管理措置の対象とされていました。
しかし今回の改正により、「個人情報取扱事業者が取得し、または取得しようとしている個人情報であって、当該個人情報取扱事業者が個人データとして取り扱うことを予定しているもの」も安全管理措置の対象に含められました(個人情報保護ガイドライン通則編3-4-2)。
漏えい等に関する報告義務と同様に、安全管理措置についても、ウェブスキミングによる被害を念頭に規制の範囲が拡大されたものです。
3. 個人情報保護法施行規則・ガイドラインの改正について事業者がとるべき対応
今回の個人情報保護法施行規則・ガイドラインの改正に対応して、事業者はプライバシーポリシーや個人情報取扱マニュアルなどを改定し、個人データにあたらない個人情報の取り扱い方法などを見直す必要があります。
具体的にどのような対応をすべきであるかは、事業者が取り扱う個人情報の内容や現状の管理体制などによって異なるので、弁護士にアドバイスを求めましょう。
- こちらに掲載されている情報は、2024年10月11日時点の情報です。最新の情報と異なる場合がありますので、あらかじめご了承ください。
お一人で悩まず、まずはご相談ください
企業法務に強い弁護士に、あなたの悩みを相談してみませんか?
関連コラム
企業法務に強い弁護士
-
メールでお問い合わせ電話番号を表示する 050-2018-0940現在営業中 6:00〜23:00 -
メールでお問い合わせ電話番号を表示する 0120-047-006 -
メールでお問い合わせ電話番号を表示する 0120-047-006 -
メールでお問い合わせ電話番号を表示する 050-5526-0880現在営業中 9:00〜22:00 -
メールでお問い合わせ電話番号を表示する 0120-047-006