情シス・社内SE必見!個人情報保護法改正で発生する業務とは【2023年版】

個人情報保護法法律 2023.04.28
情シス・社内SE必見!個人情報保護法改正で発生する業務とは【2023年版】
>>パーソナルデータ利用の悩みを解決!同意取得から管理、連携までワンストップで実現するには?

2022年4月に施行された改正個人情報保護法を受け、多くの国内企業は急ピッチで対応を進めています。しかし、現場を担当する情報システム部や社内SE担当の方々は、具体的にどのような影響があるのか理解ができていない方も多いと思います。

そこでこの記事では、情報システム担当や社内SEの方に向けて、改正法のポイントと求められる対応をご紹介します。

1.情シス担当、社内SEがおさえるべき改正法のポイント

今回の改正により、仮名加工情報と呼ばれる企業が利活用しやすいデータ区分が新設されました。その定義は以下のとおりです。

1.1.仮名加工情報の創設

今回の改正により、仮名加工情報と呼ばれる企業が利活用しやすいデータ区分が新設されました。その定義は以下のとおりです。

仮名加工情報:「他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工した個人に関する情報」

個人情報保護委員会改正法に関連する政令・規則等の整備に向けた論点について(仮名加工情報)より)

つまり、氏名などを削除し、単体で個人特定をできないようにしたデータのことです。仮名加工情報は、社内での利用に限るなどの制限はあるものの、ユーザー本人からの以下の義務が緩和されます。

    • 利用目的の変更の制限(法第17条第2項)

⇒ 新たな目的で利用可能
※ ただし、本人を識別しない、内部での分析・利用であることが条件
(法第41条の第6項から第8項)

  • 漏えい等の報告等(法第26条)
  • 開示・利用停止等の請求対応(法第32条から第39条)

今後、企業が個人情報保護に配慮しつつデータ活用を継続していくためのカギとなる制度です。

1.2.個人の請求権とオプトアウト規定の強化

ユーザーが本人の個人データに対して所有する開示・利用停止等の請求権が大幅に強化されました。対象とできるデータ範囲の拡大や請求条件の緩和により、改正法の施行後には申し出が増加している企業も多いのではないでしょうか。

また、オプトアウト規定(特定条件下で本人の事前同意なしに第三者提供できるルール)もユーザーを守る方向で強化され、以下の2点がオプトアウトの対象外となりました。

  • 不正取得された個人データ
  • オプトアウト規定により提供された個人データ

詳細は以下のページで詳しく解説しています。本記事とあわせてご参照ください。

>【2023年版】法務部必見!個人情報保護法改正による影響と必要な対策

1.3.第三者提供に関するルール変更

第三者提供に関する取り決めが厳格化したことにも要注目です。主な変更点としては以下が挙げられます。

  • 第三者提供の記録のユーザーからの請求に応じた開示(法第37条)
  • 外国への第三者提供時における提供先での取り扱いについての本人への詳細な説明(法第28条)
  • Cookieに代表される個人関連情報の第三者提供時、提供先で個人データとなりえる場合の本人同意の確認(法第31条)

ガイドラインによると、以下の条文の通り本人からの同意を取得するのは提供先でも提供元でも良いとされています。

法第31条第1項第1号の「本人の同意」を取得する主体は、本人と接点を持ち、情報を利用する主体となる提供先の第三者であるが、同等の本人の権利利益の保護が図られることを前提に、同意取得を提供元の個人関連情報取扱事業者が代行することも認められる。

引用:「個人情報の保護に関する法律についてのガイドライン(通則編)」

いずれにせよ、第三者提供に関するシステムに手を加える必要があることを意識しておきましょう。

2.情シス担当、社内SEの実務への影響

実務への影響として、情シス担当や社内SEには、社員が適切に個人情報を取り扱うためのシステムの作成・導入が求められるでしょう。また他部門と同じく、自分たちが個人情報の含まれた情報を取り扱う際にはこれまで以上の注意が必要です。

情シス担当や社内SEの業務範囲が広がり続けていることを考慮すると、単にデータを取り扱うシステムだけでなく、改正法に違反しないための管理機能まで含めたシステムが求められます。専門知識を有する法務部など、他部門との連携した対応が大切です。

>>パーソナルデータ利用の悩みを解決!同意取得から管理、連携までワンストップで実現するには?

3.情シス担当、社内SEに求められる対応

それでは、情シス担当や社内SEがおこなうべき対応を社内向け・社外向けに分けてご紹介します。

3.1.社内やシステムに向けての対応

3.1.1.データ取得から第三者提供までのシステムの見直し

改正法の施行に伴い、個人情報の取得から第三者提供・データ活用に至るまで、一連の社内システム全般について見直しが求められます。

第三者提供をおこなう可能性がある場合はその旨を記載して同意を得る、得られた同意についても、どのユーザーがどこまで同意しているのかを容易に確認できる状態に置くなど、実務上の利便性を意識したシステムづくりが必要です。

3.1.2.データの閲覧制限や権限の見直し

改正法では、法人への罰金額が数十万円程度から最大1億円にまで引き上げられました。違反してしまわないよう、各社員に付与するデータの閲覧や処理の権限を必要最低限となるように見直して、これまでよりもヒューマンエラーが起きにくくなるシステムに組み直すことが求められます。

3.1.3.取得データの分類の変更

企業が改正法を順守しつつ競争力を保つためには、第三者提供で得た情報を仮名加工情報に変更するなど、取得したデータの区分変更が必要になると見込まれます。こちらも事前のシステムづくりが必要不可欠です。

3.1.4.第三者提供や越境移転などの記録

上記のとおり、提供に関する記録を本人が開示請求できるようになるなど、第三者提供の取扱いが厳密化されます。国外へのデータ移転とあわせて、移転の記録(移転先、本人同意の状況、提供先の個人情報の取り扱い状況)などを保存する仕組みを作るようにしましょう。

3.1.5.要配慮個人情報等の処理

個人情報のなかには要配慮個人情報(偏見や差別につながりうる個人情報)のように取り扱いに特別な制限のかかるデータ区分もあります。もし取り扱いを誤れば個人に深刻な影響を与えてしまう可能性もあり、他のデータと決して混同しないようにシステムを整えなければいけません。

個人情報の定義については以下の記事でも詳しく解説しております。ぜひ合わせてご覧ください。

「要配慮個人情報」と「個人情報」の相違点を解説

3.1.6.個人情報保護に関する社内対応

個人やクライアントからの各種請求や問い合わせが営業などを通じて情報システム部門にまで回ってくることも想定されます。特に開示や利用停止請求に対しては速やかに対処できるよう、システムのみならず対応フローも整えておかなければいけません。

3.2.対外的な組織・ユーザーに向けた対応

3.2.1.Pマーク

Pマーク(プライバシーマーク)は日本情報経済社会推進協会が以下の条件を満たした事業者にのみ与える認定で、基準は以下のとおりです。

  • JIS Q 15001「個人情報保護マネジメントシステム-要求事項(注2)」に基づいた個人情報保護マネジメントシステム(以下「PMS」(※)という。)を定めていること。
    ※PMS:Personal information protection Management System
  • PMSに基づき実施可能な体制が整備されて個人情報の適切な取扱いがおこなわれていること。
  • 「プライバシーマーク制度における欠格事項及び判断基準(PMK510)」に定める欠格事項のいずれかに該当しない事業者であること。

引用・抜粋:「一般財団法人日本情報経済社会推進協会Webサイト「プライバシーマーク制度付与の対象と単位」

Pマークの取得とロゴの使用を進めることにより、個人情報保護に取り組んでいる企業だと対外的にアピールできます。

3.2.2.ITGC

ITGC(ITに係る全般統制:Information Technology General Control)は少し難しい概念で、具体的な定義はまちまちですが、日経XTECHによれば「ITを利用した業務処理統制が有効に機能する環境を保証する間接的な統制」とされています。

言い換えると、自社のIT技術が目的通りに問題なく動き続けるよう維持するための内部統制です。具体的にはNextLeapによると、

「システムの開発や保守に関する管理、ソフトウェア・ハードウェアに対するアクセス管理、バックアップ、障害対応など、ITの機能を適切に保つための広範な統制を包含する概念」

と定義されています。ITGCが機能しているほど、社外から見て安心な企業であるといえ、企業の信頼性を高めるためには重要な要素となるでしょう。

4.改正個人情報保護法への対応におすすめ「同意管理プラットフォーム」

ここまでご紹介したとおり、情シス担当や社内SEに求められるタスクは多岐にわたります。ユーザーやクライアントへの対応まで想定されるなかで、改正法に違反しないシステムを自分たちのみで作り上げるのは至難の業です。

そこでおすすめなのが「同意管理プラットフォーム(CMP)」の導入です。CMPは自社サイトやアプリに導入するだけで、改正法に対応した形で同意取得等をおこなえるツールです。例えば弊社Priv TechのCMP「Trust 360」では以下に対応しています。

  • ユーザーからの適切な同意取得(同意取得バナーの表示)
  • 取得した情報の履歴管理
  • 他システムとの連携(API・CSV 等の連携以外にも対応)

抱えきれないほどのタスクを減らす解決策として、検討してみてはいかがでしょうか。詳細は以下よりご確認ください。

同意管理プラットフォーム「Trust 360」

5.まとめ

多くのデータ漏えい事故がITを通じて発生しうる現代では、情報システム担当者や社内SEに求められる役割や責任は広範にわたります。もはや、企業の命運を担う存在といっても過言ではないでしょう。

すでに改正法は全面施行されています。早急に対策を進めていくことが重要です。

公開日:2021年4月2日

パーソナルデータの取扱いにお悩みの方に

  • 海外ツールは同意取得バナーがごちゃごちゃしていてわかりにくい…
  • 誰にどこまで同意を取ったか管理するのが大変…
  • ツールを導入するたびに手作業で全部同意を取り直すのは面倒…
  • 同意は管理できても他社システムを上手く連携して使えないと…

Trust 360で、すべて解決!