「金融が変われば、社会も変わる!」を合言葉に、未来の金融を描く方々の想いや新規事業の企画に役立つ情報を発信!

金融が変われば、社会も変わる!

トレンドを知る

新規事業企画の担当者必見!2022年改正個人情報保護法の要件とは?(後編)

画像

前編では令和4年(2022年)4月より施行される改正個人情報保護法に関して、個人の権利保護強化や事業者の責務拡大、仮名加工情報等について解説しました。
後編では事業者の責任者や海外との関わり、そして金融分野ガイドラインについて解説します。

改正点 事業者の責任および罰則強化

今回の改正では、事業者に対する情報漏えい事故や法令違反などへの責任や罰則が厳しくなりました。特に「漏えい等」発生時の責任が具体化されてきており、その責任を果たすためには事前の対策強化が必須といえます。
漏えい等の発生時に個人情報保護委員会への報告および本人への通知が義務化された。
個人情報の漏えい等や個人データの漏えい等またはそのおそれのある場合、個人情報保護委員会への報告及び本人への通知が「義務」となりました。漏えい等が発生したのを知ってから速報を概ね3~5日以内確報は30日以内に個人情報保護委員会報告しなくてはなりません。また、本人には速やかに通知するものとされています。
※「漏えい等」には、「毀損」(例えばランサムウェアにより個人データが暗号化されてしまう)や「滅失」(例えば個人データが記載された書類を紛失してしまう)も含まれます。

オクト銀行では、ランサムウェアに感染し個人データを含む多くのデータファイルが暗号化されたのに加え、個人データを窃取された可能性がある。3日前に当事案の発生を知ったが、まずは判明している情報で個人情報保護委員会に速報を出すことにした。また、窃取された可能性がある個人データが誰のものが現時点では分からなかったため、代替措置としてホームページなどで公表する形で本人へ通知した。
補足:インシデント対応で外注できるサービスや費用感については、JNSA(日本ネットワークセキュリティ協会)「インシデント損害額調査レポート 2021年版」が参考になります。
命令違反や、虚偽報告等の法定刑が引き上げられた。
法定刑が引き上げられ、一部は法人の罰金刑の最高額が引き上げられ、以下の通りとなりました。
・命令違反は1年以下の懲役又は100万円以下の罰金(法人の罰金の最高額は1億円
・不正提供等は1年以下の懲役又は50万円以下の罰金(法人の罰金の最高額は1億円
・虚偽報告等は、50万円以下の罰金

オクト証券では、先日、クラウドサービスの設定ミスに起因して自社ネット証券サイト上で顧客の個人データを公開してしまった。この件について個人情報保護委員会から報告および資料提出の要請を受けている。ここで報告や資料提出を行わなかった場合や虚偽の報告や資料提出を行った場合、虚偽報告等とみなされ少額といえども罰金刑の前科がついてしまう。そのため委託先を含む関係者に協力要請を行う正確かつ詳細な情報を把握するよう求めた。
命令違反の公表が明確になった。
個人情報保護委員会からの命令への違反は、その事実を公表可能であることが明確に規定されました。ここでいう命令とは、勧告に関わる措置の命令違反行為の中止命令違反是正措置の命令です。なお、これまでにも命令違反の前段階における行政指導や勧告においても公表されることがあったため、本件のインパクトは小さいと考えられます。

オクト保険では、今年、5年連続で顧客の個人データの委託および共同利用における管理不備に起因して大規模な個人データ流出事件を発生させてしまった。去年、個人情報保護委員会から勧告に関わる措置命令が出ていたが、とうとう当命令の違反とみなされてしまい公表されることとなった。

改正点 海外との関わり

今回の改正では、事業者が個人情報を取り扱う上での規制が増えました。特に第三者提供や利用に関する義務や公表事項が追加されました。
日本国内にある者にかかわる個人情報等を取り扱う外国事業者を、罰則によって担保された報告徴収・命令の対象とすることとなった。
外国の個人情報保護事業者に対しても、域外適用として国内の事業者と同様に個人情報保護法のすべての規定が適用されることになりました。結果として外国の個人情報保護事業者に対して報告徴収や立入検査、命令に関する規定も適用されることになりました。

オクトPayサービスと業務提携をしている米国企業のグローバルPay社は、日本の個人情報を取り扱っていたにも関わらず個人情報保護法の内容をよく調査しておらず法令違反をしてしまった可能性が発覚した。そのため先日、個人情報保護委員会から報告徴収の通知があり、これに応じなくてはならなくなった。
外国にある第三者への個人データの提供時に、移転先事業者における個人情報の取扱いに関する本人への情報提供の充実等を求めることになった。
改正前の内容に加え、以下の要件が追加されることになりました。

◦ 本人の同意を根拠に外国にある第三者に提供する場合、事前に以下の情報を本人に提供すること
◾ 移転先国における個人情報の保護に関する制度
◾ 移転先事業者が講ずる個人情報保護のための措置
◾ その他当該本人に参考となるべき情報

◦ 第三者が相当措置を講じたことを根拠に外国にある第三者に提供する場合、以下の対応を行うこと
◾ 移転先事業者による相当措置の継続的な実施を確保するために必要な措置を講じる
◾ 本人の求めに応じて、当該必要な措置に関する情報を本人に提供すること

オクトダイレクトマーケティングでは、個人データを収集しA国にある第三者に提供する準備をしています。個人データの外国の第三者への提供について本人の同意を得る予定でしたが、改めてA国の個人情報保護制度や第三者提供先のA国事業者が行う個人情報保護のための措置などについて調査し、本人に情報提供することにしました。

金融分野ガイドラインについて(金融庁)

金融庁から2022年3月24日に「金融分野における個人情報保護に関するガイドライン(令和4年4月)」(以下、金融分野ガイドライン)が公開されています。
金融分野ガイドラインは、個人情報の保護に関するガイドライン通則編(以下、通則ガイドライン)などの関連ガイドラインをベースとした上で、金融分野における個人情報取扱事業者に特に厳格な措置が求められる事項等を規定したものです。
そのため、ここでは今回の金融分野ガイドラインに固有の主な改正点を解説します。

安全管理措置に「物理的安全管理措置」が追加(金融分野ガイドライン第8条)
「物理的安全管理措置」が追加され、その項目として以下の記載も追加されました。
① 個人データの取扱区域等の管理
② 機器及び電子媒体等の盗難等の防止
③ 電子媒体等を持ち運ぶ場合の漏えい等の防止
④ 個人データの削除及び機器、電子媒体等の廃棄
※物理的安全管理措置については、従来からも通則ガイドラインに記載があった事項ですが、今回のタイミングで追加されました。
個人データ取扱い場所に赴く方法に関する記載追加(金融分野ガイドライン第10条)
委託先選定時における個人データを取り扱う場所に赴く方法として以下が追加されました。
テレビ会議システム等(映像と音声の送受信により相手の状態を相互に認識できる方法をいう。)を利用する方法を含む。
個人データ漏えい等の報告先に関する義務規定の記載明文化(金融分野ガイドライン第11条第1項)
個人データ漏えい等の報告先は、基本的には個人情報保護委員会に一元化されることになりますが、個人情報保護委員会から委任を受けている場合や、顧客等に関する個人データの漏えい等の場合の報告先として以下が明文化されました。

※ここでの報告先とは、その状況により金融庁長官、財務局長、財務支局長又は地方公共団体の長、個人情報保護委員会のいずれかです。事業者に適用される各業法が金融庁と他省庁の共管となっている場合には、当該他省庁に対しても報告書を提出する必要があります。
※漏えい時の報告対象や報告先の詳細は「金融機関における個人情報保護に関するQ&A(令和4年4月)」の問V-2、V-3をご覧ください。
1 金融分野における個人情報取扱事業者は、施行規則第7条各号に定める事態を知ったときは、通則ガイドライン3-5-3(個人情報保護委員会への報告)に従って、個人情報保護委員会(法第147条の規定により金融庁長官等が報告を受理する権限の委任を受けている場合にあっては金融庁長官等、法第165条の規定により地方公共団体の長等が報告を受理する権限に属する事務を行う場合にあっては地方公共団体の長等)に報告しなければならない。
また、金融分野における個人情報取扱事業者は、その取り扱う個人である顧客等に関する個人データの漏えい等が発生し、又は発生したおそれがある事態を知ったときは、関係法令に従って、監督当局に報告しなければならない。
仮名加工情報に係る削除情報等の漏えい等の報告に関する努力義務の記載追加(金融分野ガイドライン第11条第2項)
努力義務となっている個人情報や匿名加工情報に関わる加工方法等情報の漏えい等の報告の報告先は関係当局等となっていましたが、仮名加工情報に係る削除情報等もその対象に含まれることとなりました。
※ここでの報告先とは、金融庁長官、財務局長、財務支局長又は地方公共団体の長のいずれかです。事業者に適用される各業法が金融庁と他省庁の共管となっている場合には、当該他省庁に対しても報告書を提出することが望ましいと考えられます。
※漏えい時の報告対象や報告先の詳細は「金融機関における個人情報保護に関するQ&A(令和4年4月)」の問V-2、V-3をご覧ください。
2 金融分野における個人情報取扱事業者は、次に掲げる事態(前項に規定する事態を除く。)を知ったときは、同項の規定に準じて、監督当局に報告することとする。
①     その取り扱う個人情報の漏えい等が発生し、又は発生したおそれがある事態
②    その取り扱う仮名加工情報に係る削除情報等(法第41 条第1項の規定により行われた加工の方法に関する情報にあっては、その情報を用いて仮名加工情報の作成に用いられた個人情報を復元することができるものに限る。次項において同じ。)又は匿名加工情報に係る加工方法等情報の漏えいが発生し、又は発生したおそれがある事態
ホームページでの外国の第三者への提供に関する公表方法の記載追加(金融分野ガイドライン第13条)
第三者提供先の外国や、当該第三者による相当措置などに関する情報について本人の求めに応じて事後的に情報提供する旨のホームページでの常時掲載の方法として以下が追加されました。
第13条第2項(一部抜粋)
このような情報提供の求めが可能である旨を前項に定める書面における記載を通じて本人に認識させるとともに、第20 条に定める「個人情報保護宣言」に記載の上インターネットのホームページへの常時掲載又は事務所の窓口等での掲示・備付け等により、公表することとする。

第13条第3項(一部抜粋)
また、金融分野における個人情報取扱事業者は、法第28 条第3項及び施行規則第18条に基づき、本人の求めに応じて事後的に情報を提供する旨を第20 条に定める「個人情報保護宣言」に記載の上インターネットのホームページへの常時掲載又は事務所の窓口等での掲示・備付け等により、公表することとする。
ホームページでの保有個人データに関する公表方法の記載追加(金融分野ガイドライン第15条)
保有個人データに関する公表事項、開示等の請求等の受け付け方法のホームページでの常時掲載の方法として以下が追加されました。
(保有個人データに関する事項が示された画面に1回程度の操作で遷移するよう設定したリンクを「個人情報保護宣言」に継続的に掲載することを含む。第18 条第1項において同じ。)
保有個人データの非開示に関する記載修正(金融分野ガイドライン第16条)
保有個人データの開示請求に対して非開示とするケースとして、以下の記載が修正されました。
企業秘密の保護の必要性が、本人が個人情報取扱事業者における保有個人データの取扱い等を把握する必要性を上回る特別の事情がある場合

※下線が修正部分
個人情報保護宣言の表示等の工夫に関する記載追加(金融分野ガイドライン第20条)
望ましい個人情報保護宣言の表示等の工夫について以下が追加されました。
個人情報保護宣言は、本人がこれを適切に理解した上で自らの判断により選択の機会を行使することができるような表示等により構成するのが望ましく、そのための工夫として次に掲げる例が考えられる。
(例)
・階層構造(要点を複数の項目にまとめ各項目を選択すると詳細な内容が見られる構造をいう)による表示
・アイコン、イラスト、動画等の視覚的ツールの活用
・ポップアップによる同意取得

実務指針について(金融庁)

金融分野ガイドラインと同時に、金融庁から「金融分野における個人情報保護に関するガイドラインの安全管理措置等についての実務指針(令和4年4月)」(以下、実務指針)が公開されています。
ここでは、今回の実務指針に固有の改正点について解説します。
実施体制の整備に「物理的安全管理措置」が追加(実務指針Ⅰ (2) 3))
個人データの安全管理措置に関わる実施体制の整備に物理的安全管理措置が追加され、その具体的な実施方法として以下の記載が追加されました。
3)実施体制の整備に関する物理的安全管理措置
金融分野における個人情報取扱事業者は、金融分野ガイドライン第8条第8項に基づき、個人データの安全管理措置に係る実施体制の整備における「物理的安全管理措置」として、次に掲げる措置を講じなければならない。
①     個人データの取扱区域等の管理
②     機器及び電子媒体等の盗難等の防止
③     電子媒体等を持ち運ぶ場合の漏えい等の防止
④ 個人データの削除及び機器、電子媒体等の廃棄

(個人データの取扱区域等の管理)
4-1 金融分野における個人情報取扱事業者は、「個人データの取扱区域等の管理」として、次に掲げる措置を講じなければならない。
①     個人データ等を取り扱う重要な情報システムの管理区域への入退室管理等
②     管理区域への持ち込み可能機器等の制限等
③ のぞき込み防止措置の実施等による権限を有しない者による閲覧等の防止

(機器及び電子媒体等の盗難等の防止)
4-2 金融分野における個人情報取扱事業者は、「機器及び電子媒体等の盗難等の防止」として、次に掲げる措置を講じなければならない。
①     個人データを取り扱う機器等の施錠等による保管
② 個人データを取り扱う情報システムを運用する機器の固定等

(電子媒体等を持ち運ぶ場合の漏えい等の防止)
4-3 金融分野における個人情報取扱事業者は、「電子媒体等を持ち運ぶ場合の漏えい等の防止」として、次に掲げる措置を講じなければならない。
①     持ち運ぶ個人データの暗号化、パスワードによる保護等
② 書類等の封緘、目隠しシールの貼付等

(個人データの削除及び機器、電子媒体等の廃棄)
4-4 金融分野における個人情報取扱事業者は、「個人データの削除及び機器、電子媒体等の廃棄」として、次に掲げる措置を講じなければならない。
①     容易に復元できない手段によるデータ削除
② 個人データが記載された書類等又は記録された機器等の物理的な破壊等
委託に関する基準に「物理的安全管理措置」および「外的環境の把握」が追加(実務指針Ⅲ 6-1-2)
委託先選定基準および再委託先安全管理の実施基準として、物理的安全管理措置および外的環境の把握が追加されました。
委託先選定の基準においては、「委託先における個人データの安全管理に係る実施体制の整備」として、Ⅰ.⑵1 人データの安全管理に係る実施体制の整備」として、Ⅰ.⑵1)の組織的安全管理措置、同2)の人的安全管理措置及び同3の物理的安全管理措置、同4)の技術的安全管理措置及び金融分野ガイドライン第8条第6項の外的環境の把握に記載された事項を定めるとともに、委託先から再委託する場合の再委託先の個人データの安全管理に係る実基準を定めなければならない。

※下線が追加部分
再委託の条件に関する記載内容の変更(実務指針Ⅲ 6-3④)
委託契約に盛り込む再委託に関する記載として「承認等」が「承認手続等」に変更されました(今回の法改正以外の理由による変更と考えられます)。
(注)
・金融分野における個人情報取扱事業者は、「再委託における条件」として、再委託の可否及び再委託を行うに当たっての委託元への文書による事前報告又は承認手続等を、委託契約に盛り込むことが望ましい。

※下線が変更部分

まとめ

後編で紹介した改正点は、GDPRの影響が大きい内容となっており、事業者の責任や外国事業者に関する規制は今後も強化される方向にあると考えられます。
なお、金融分野ガイドラインや実務指針は固有の変更点として大きなものは少なかったため、まずは通則ガイドラインなどの関連ガイドラインを理解するところから始めるのが妥当な対応順序と言えます。
全体として今回の法改正は改正内容が幅広く新しい概念も多いため、新規事業を始める上では早い段階で適合性を確認することが望ましいです。

【この記事を書いた方】

戸田 勝之(トダ カツユキ) さん
NTTデータ先端技術株式会社 セキュリティコンサルティング事業部 担当課長
大手信用調査会社でシステム管理、セキュリティ管理に従事した後、マーケティング会社を経てNTTデータセキュリティ株式会社(のちにNTTデータ先端技術に統合)に入社。
セキュリティコンサルタントとしてリスクアセスメント、セキュリティ監査、ISMS構築、個人情報保護を中心に実施。他にもインシデント対応、脅威インテリジェンスなど多様な案件に従事しており、技術とマネジメントの両面の視点で企業のセキュリティ課題解決の支援を行っている。最近の趣味は登山とお城めぐり。
CISSP、CEH、CISA、情報セキュリティスペシャリスト
JNSA(日本ネットワークセキュリティ協会)インシデント被害調査WGメンバー
(NTTデータ先端技術株式会社)https://www.intellilink.co.jp/home.aspx
※本記事の内容は、執筆者および協力いただいた方が所属する会社・団体の意見を代表するものではありません。
※記事中の所属・役職名は取材当時のものです。
画像

執筆 オクトノット編集部

NTTデータの金融DXを考えるチームが、未来の金融を描く方々の想いや新規事業の企画に役立つ情報を発信。「金融が変われば、社会も変わる!」を合言葉に、金融サービスに携わるすべての人と共創する「リアルなメディア」を目指して、日々奮闘中です。

感想・ご相談などをお待ちしています!

お問い合わせはこちら
アイコン