経営者が知っておくべき、個人情報保護法改正の影響とリスク【2023年版】

2022年4月に施行された改正個人情報保護法。経営者は今一度、対応に向き合う必要がありそうです。消費者や取引先からの信頼失墜は経営に直結します。業務上必須でない情報は集めること自体がリスクであることなど、時代の変化にあわせ認識を変えていきましょう。

この記事では、経営者視点で知っておくべき個人情報保護法改正の影響やリスクを詳しくご紹介します。

1．個人情報保護法が改正される背景

まずは、個人情報保護法改正に至った背景を簡単に振り返りましょう。

1.1．消費者保護意識の高まり

改正の理由には、世論における消費者保護の意識の高まりが挙げられます。デジタル時代の到来により、企業は消費者にまつわるさまざまな情報（趣味嗜好・行動履歴など）をデータとして収集・活用できるようになりました。データの利活用は企業と消費者双方にとってさまざまなメリットがある一方、悪用のリスクも指摘されており、扱いの是非は各所で議論されています。

海外では数年前からGDPRに代表される消費者保護対策が本格化しており、日本で個人情報保護法が改正されたのも自然な成り行きでしょう。

1.2．2022年4月に改正個人情報保護法が施行

改正法の全面施行は2022年4月に行われました。すでに施行から1年が経過しており、まだ対応が済んでいない企業については早急な対策が求められます。

2．経営者がおさえるべき法改正のポイント

今回の改正で経営者がおさえるべきポイントは、以下の5つです。

2.1．仮名加工情報と個人関連情報

改正案により「仮名加工情報」と「個人関連情報」と呼ばれる新たな情報定義が生まれました。

仮名加工情報は、企業のデータ利活用を妨げないために登場した概念で、以下のように定められています。

他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工した個人に関する情報

引用元：「第159回個人情報保護委員会 改正法に関連する政令・規則等の整備に向けた論点について（仮名加工情報）」

具体的には所定の条件に基づき氏名等の個人特定につながる情報を削除したデータで、仮名加工情報は消費者からの各種請求への対応義務が緩和されます。

一方、個人関連情報は、以下のように定められています。

この法律において「個人関連情報」とは、生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいう。

引用元：e-GOV 「個人情報の保護に関する法律」第2条の7

具体的には、Cookieのような他の情報と結びつけることで個人を特定できる可能性があるデータのことです。第三者提供に際して提供先で個人の特定が起こりえる場合には本人同意の確認が義務となるなど、取り扱いに制限があります。

2.2．第三者提供と委託の違い

企業体制を整えるうえで「第三者提供」と「委託」の違いを知っておくことも重要です。

2.2.1．第三者提供とは

第三者提供とは、「個人データを取得者以外の第三者に提供すること」を指します。名簿業者のおこなうデータ販売などが代表的です。

第三者提供に際しては、利用目的等を明確にした状態で本人の事前同意を得る必要がある他、提供に関する記録を保存し、本人から請求があった場合には開示しなければならないなど、さまざまな制限が課されます。

2.2.2．委託と監督義務

給与計算をグループ会社に委託する場合など、自社業務の一部の委託を目的として個人情報を提供する場合は、「委託」として第三者提供の例外とみなされます。事前の同意取得は不要となりますが、代わりに委託先の監督義務（選定や取り扱い状況の把握）が課されます。

2.3．ペナルティの引き上げ 法人は1億円以下の罰金刑

今回の改正では厳罰化が進み、法人を対象とした罰金が「1億円以下の罰金刑」に引き上げられました。また「海外に法人がある」もしくは「海外と取引のある」企業はGDPRの適用対象となり、数十億円にものぼる巨額の罰金を命じられる可能性がある点にも、変わらず注意が必要です。

2.4．会社内の部門間の連携

新たに仮名加工情報と個人関連情報が登場したように、改正法の施行により情報の定義や取り扱いルールがより複雑化しました。また、消費者の権利強化にともない開示等の請求も増加しました。今一度、データ区分や取り扱いに関する知識を部門間で共有し、連携しての対応が重要です。

2.5．業務上必要な従業員の個人情報の取り扱い

見落としがちですが、従業員の個人情報（氏名や収入、マイナンバーなど）も個人情報保護法の保護対象です。改正法をきっかけに従業員の「自身の個人情報保護に対する意識」が高まっているとも考えられるため、適切な取り扱いが求められます。

3．各部門に求められる施策

部門ごとに必要な施策は以下のとおりです。詳細は、それぞれの個別記事もあわせてご参照ください。

3.1．法務部に求められる施策

法務部には、注意事項の社内喚起をおこなうなど、社内で個人情報保護法に関するリーダーの役割が求められます。また、専門知識を活かした各ページの文言改定や、開示請求等への対応フローの策定も必要となります。

＞【2023年版】法務部必見！個人情報保護法改正による影響と必要な対策

3.2．情報システム部に求められる施策

情報システム部に求められるのは、仮名加工情報を創設するなど、改正案を遵守して個人情報を取り扱うための仕組みづくりです。企業の信頼性を保つためには、ヒューマンエラーなどの事故が起きにくい強固なシステムが欠かせません。

＞【2023年版】情シス、社内SE必見！個人情報保護法改正で発生する業務とは

3.3．営業部に求められる施策

営業部には、消費者からの請求に対する一次対応と、リード獲得に活用するデータの出どころの明確化が求められます。特に、他社が不正に取得したデータを利用した場合に自社まで罪に問われかねない点に注意するべきです。

＞【2021年版】営業職が知っておくべき個人情報保護法改正のポイントと業務への影響

3.4．広報・ブランディング担当に求められる施策

広報・ブランディング担当は、風評被害やレピュテーションリスクの対策と、会社の顔として個人情報を大切にする企業だとアピールする役割が求められます。そのためにも、ユーザーから理解を得られる同意取得バナーを検討することや、他部署との連携が大事になります。

＞【2023年版】広報・ブランディング担当者必見！改正個人情報保護法で押さえておくべきポイント

3.5．Webマーケティング＆EC担当に求められる施策

Webマーケティング＆EC担当者は個人情報に接する機会が多いことから、個人情報に対する高いリテラシーやリスクの認識が求められます。また、セミナーやお問い合わせフォーム、SNS運用においても、取得した個人情報をどのように扱うのかを明示することが大切です。

＞【2023年版】Webマーケティング＆EC担当必見！個人情報保護法改正による影響と必要な対策

4．もしも情報漏えいが発生したら？改正後の注意点

万が一、情報漏えいを発生させてしまった場合には、速やかな対応を取らなければいけません。対応が遅れるほどに事態は悪化し、企業としての信頼失墜につながってしまいます。

4.1．委員会への報告と本人への通知義務

改正法により、漏えい発生後（メールの誤送信など軽微なものを除く）には委員会と本人への速やかな通知が義務化されました（該当する条文は後述）。委員会には所定のフォームや連絡先を通じた通知が、本人には直接の連絡もしくは容易に通知を知りえる状態に置くこと（公式ページでの公表など）が求められます。

個人情報取扱事業者は、法第26条第1項本文の規定による報告をする場合には、前条各号に定める事態を知った後、速やかに、当該事態に関する次に掲げる事項（報告をしようとする時点において把握しているものに限る。次条において同じ。）を報告しなければならない。

1.　概要
2.　漏えい等が発生し、又は発生したおそれがある個人データの項目
3.　漏えい等が発生し、又は発生したおそれがある個人データに係る本人の数
4.　原因
5.　二次被害又はそのおそれの有無及びその内容
6.　本人への対応の実施状況
7.　公表の実施状況
8.　再発防止のための措置
9.　その他参考となる事項

引用元：「個人情報の保護に関する法律についてのガイドライン（通則編）」

4.2．情報漏えい時の対応フロー事例

IPA（独立行政法人情報処理推進機構）では、情報漏えい時の対応として以下のフローを提案しています。

1.発見・報告（内部責任者）
2.初動対応
3.調査
4.通知・報告・公表等
5.抑制措置と復旧
6.事後対応

このフローは、発覚した段階で速やかにそれ以上の漏えいを防ぎ、被害を最小限に抑えるためのものです。詳細は下記よりご確認いただけます。

IPA 「情報漏えい発生時の対応ポイント集」

5．すでに対策をおこなっている国内企業の状況

社外から見た改正法への対応として最もわかりやすいのが「Cookie同意取得バナー」の設置です。以下の画像の、赤枠で囲まれた部分に表示されているものです。

第一三共や旭化成のような大手企業の公式ページでは、すでに訪問者に対してバナーを表示し、Cookie取得時に本人同意も取得しています。このような企業では、社内の情報保護の枠組みがすでに整いつつあると推測されます。

6．改正個人情報保護法への対応におすすめ「同意管理プラットフォーム」

改正法で企業が求められる対応は多岐にわたり、自社内で完結しようとすれば相応のコストがかかります。そこで、低コストで改正法に対応する方策としておすすめしたいのが「同意管理プラットフォーム（以下、CMP）」の導入です。

CMPは、個人情報を適切に取得・管理するためのシステムです、法律を遵守した形で安価に個人情報を取り扱えるのが特徴です。Priv Techの「Trust 360」は月額5万円（税抜）から導入できます。ぜひ以下より詳細をご確認ください。

同意管理プラットフォーム「Trust 360」

7．まとめ

改正法の施行で一層強まったと考えられる消費者のプライバシー保護の流れ。その流れに企業が対応するためには、経営者による正しい理解と率先した対策が欠かせません。

十分な対策を取らなかったためにあとで高額なペナルティが課せられるようなことがないように、この記事を参考に、各種施策やCMPの導入を早めに検討されることをおすすめします。

公開日：2021年4月2日