【2021年版】情シス・社内SE必見!個人情報保護法改正で発生する業務とは

個人情報保護法法律 2021.04.02
【2021年版】情シス・社内SE必見!個人情報保護法改正で発生する業務とは

2020年6月に公布された改正個人情報保護法を受け、多くの国内企業は急ピッチで対応を進めています。しかし、現場を担当する情報システム部や社内SE担当の方々は、具体的にどのような影響があるのか理解ができていない方も多いと思います。

そこでこの記事では、情報システム担当や社内SEの方に向けて、改正法のポイントと今後求められるであろう対応を紹介します。

1.情シス担当、社内SEがおさえるべき改正法のポイント

まずは情シス担当、社内SEが知っておくべき改正法のポイントから見ていきましょう。

1.1.仮名加工情報の創設

今回の改正により、仮名加工情報と呼ばれる企業が利活用しやすいデータ区分が新設されました。その定義は以下のとおりです。

仮名加工情報:「他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工した個人に関する情報」

個人情報保護委員会改正法に関連する政令・規則等の整備に向けた論点について(仮名加工情報)より)

つまり、氏名などを削除し、単体で個人特定をできないようにしたデータのことです。仮名加工情報は、社内での利用に限るなどの制限はあるものの、ユーザー本人からの以下の義務が緩和されます。

  • 利用目的の変更の制限(法第15条第2項)
  • ⇒ 新たな目的で利用可能
    ※ 本人を識別しない、内部での分析・利用であることが条件
    (法第35条の2第6項から第8項)

  • 漏えい等の報告等(法第22条の2)
  • 開示・利用停止等の請求対応(法第27条から第34条)

今後、企業が個人情報保護に配慮しつつデータ活用を継続していくためのカギとなりえる制度です。

1.2.個人の請求権とオプトアウト規定の強化

ユーザーが本人の個人データに対して所有する開示・利用停止等の請求権が大幅に強化されました。対象とできるデータ範囲の拡大や請求条件の緩和により、改正法の施行後には申し出が増加すると想定されます。

また、オプトアウト規定(特定条件下で本人の事前同意なしに第三者提供できるルール)もユーザーを守る方向で強化され、以下の2点がオプトアウトの対象外となりました。

  • 不正取得された個人データ
  • オプトアウト規定により提供された個人データ

詳細は以下のページで詳しく解説しています。本記事とあわせてご参照ください。

>【2021年版】法務部必見!個人情報保護法改正による影響と必要な対策

1.3.第三者提供に関するルール変更

第三者提供に関する取り決めが厳格化したことにも要注目です。主な変更点としては以下が挙げられます。

  • 第三者提供の記録のユーザーからの請求に応じた開示
  • 外国への第三者提供時における提供先での取り扱いについての本人への詳細な説明
  • Cookieに代表される個人関連情報の第三者提供時、提供先で個人データとなりえる場合の本人同意の確認

提供元が「提供先で個人データとなりえる場合」をどう確認するのかなど、詳細はガイドラインが待たれます。しかし、第三者提供に関するシステムに手を加える必要があることを意識しておきましょう。

2.情シス担当、社内SEの実務への影響

実務への影響として、情シス担当や社内SEには、社員が適切に個人情報を取り扱うためのシステムの作成・導入が求められるでしょう。また他部門と同じく、自分たちが個人情報の含まれた情報を取り扱う際にはこれまで以上の注意が必要です。

情シス担当や社内SEの業務範囲が広がり続けていることを考慮すると、単にデータを取り扱うシステムだけでなく、改正法に違反しないための管理機能まで含めたシステムが求められることも想定されます。専門知識を有する法務部など、他部門との連携した対応が大切です。

3.情シス担当、社内SEに求められる対応

それでは、情シス担当や社内SEがおこなうべき対応を社内向け・社外向けに分けてご紹介します。

3.1.社内やシステムに向けての対応

3.1.1.データ取得から第三者提供までのシステムの見直し

個人情報の取得から第三者提供・データ活用に至るまで、一連の社内システム全般について見直しが求められると想定されます。

第三者提供をおこなう可能性がある場合はその旨を記載して同意を得る、得られた同意についても、どのユーザーがどこまで同意しているのかを容易に確認できる状態に置くなど、実務上の利便性を意識したシステムづくりが必要です。

3.1.2.データの閲覧制限や権限の見直し

改正法では、法人への罰金額が数十万円程度から最大1億円にまで引き上げられます。違反してしまわないよう、各社員に付与するデータの閲覧や処理の権限を必要最低限となるように見直して、これまでよりもヒューマンエラーが起きにくくなるシステムに組み直すことが求められます。

3.1.3.取得データの分類の変更

企業が改正法を順守しつつ競争力を保つためには、第三者提供で得た情報を仮名加工情報に変更するなど、取得したデータの区分変更が必要になると見込まれます。こちらも事前のシステムづくりが必要不可欠です。

3.1.4.第三者提供や越境移転などの記録

上記のとおり、提供に関する記録を本人が開示請求できるようになるなど、第三者提供の取扱いが厳密化されます。国外へのデータ移転とあわせて、移転の記録(移転先、本人同意の状況、提供先の個人情報の取り扱い状況)などを保存する仕組みを作るべきです。

3.1.5.要配慮個人情報等の処理

個人情報のなかには要配慮個人情報(偏見や差別につながりうる個人情報)のように取り扱いに特別な制限のかかるデータ区分もあります。もし取り扱いを誤れば個人に深刻なダメージを与えてしまう可能性もあり、他のデータと決して混同しないようにシステムを整えなければいけません。

個人情報の定義については以下の記事でも詳しく解説しております。ぜひ合わせてご覧ください。

「要配慮個人情報」と「個人情報」の相違点を解説

3.1.6.個人情報保護に関する社内対応

個人やクライアントからの各種請求や問い合わせが営業などを通じて情報システム部門にまで回ってくることも想定されます。特に開示や利用停止請求に対しては速やかに対処できるよう、システムのみならず対応フローも整えておかなければいけません。

3.2.対外的な組織・ユーザーに向けた対応

3.2.1.Pマーク

Pマーク(プライバシーマーク)は日本情報経済社会推進協会が以下の条件を満たした事業者にのみ与える認定で、基準は以下のとおりです。

  • JIS Q 15001「個人情報保護マネジメントシステム-要求事項(注2)」に基づいた個人情報保護マネジメントシステム(以下「PMS」(※)という。)を定めていること。
    ※PMS:Personal information protection Management System
  • PMSに基づき実施可能な体制が整備されて個人情報の適切な取扱いがおこなわれていること。
  • 「プライバシーマーク制度における欠格事項及び判断基準(PMK510)」に定める欠格事項のいずれかに該当しない事業者であること。

一般財団法人日本情報経済社会推進協会Webサイト「プライバシーマーク制度付与の対象と単位」より抜粋・引用)

Pマークの取得とロゴの使用を進めることにより、個人情報保護に取り組んでいる企業だと対外的にアピールできます。

3.2.2.ITGC

ITGC(ITに係る全般統制:Information Technology General Control)は少し難しい概念で、具体的な定義はまちまちですが、日経XTECHによれば「ITを利用した業務処理統制が有効に機能する環境を保証する間接的な統制」とされています。

言い換えると、自社のIT技術が目的通りに問題なく動き続けるよう維持するための内部統制です。具体的にはNextLeapによると、

「システムの開発や保守に関する管理、ソフトウェア・ハードウェアに対するアクセス管理、バックアップ、障害対応など、ITの機能を適切に保つための広範な統制を包含する概念」

と定義されています。ITGCが機能しているほど、社外から見て安心な企業であるといえ、企業の信頼性を高めるためには重要な要素となるでしょう。

4.改正個人情報保護法への対応におすすめ「同意管理プラットフォーム」

ここまでご紹介したとおり、情シス担当や社内SEに求められるタスクは多岐にわたります。ユーザーやクライアントへの対応まで想定されるなかで、改正法に違反しないシステムを自分たちのみで作り上げるのは至難の業です。

そこでおすすめなのが「同意管理プラットフォーム(CMP)」の導入です。CMPは自社サイトやアプリに導入するだけで、改正法に対応した形で同意取得等をおこなえるツールです。例えばPriv TechのCMP「Trust 360」では以下に対応しています。

  • ユーザーからの適切な同意取得(同意取得バナーの表示)
  • 取得した情報の履歴管理
  • 他システムとの連携(API・CSV 等の連携以外にも対応)

抱えきれないほどのタスクを減らす解決策として、検討してみてはいかがでしょうか。詳細は以下よりぜひご確認ください。

同意管理プラットフォーム「Trust 360」

5.まとめ

多くのデータ漏えい事故がITを通じて発生しうる現代では、情報システム担当者や社内SEに求められる役割や責任は広範にわたります。もはや、企業の命運を担う存在といっても過言ではないでしょう。

改正法の全面施行は2022年春頃の予定です。今から対策を進めていくことが求められています。