経営者が知っておくべき、個人情報保護法改正の影響とリスク【2021年版】

個人情報保護法法律 2021.04.02
経営者が知っておくべき、個人情報保護法改正の影響とリスク【2021年版】

施行までのタイムリミットが迫る改正個人情報保護法。経営者は今一度、対応に向き合う必要がありそうです。消費者や取引先からの信頼失墜は経営に直結します。業務上必須でない情報は集めること自体がリスクであることなど、時代の変化にあわせ認識をかえていきましょう。

この記事では、経営者視点で知っておくべき個人情報保護法改正の影響やリスクを詳しくご紹介します。

1.個人情報保護法が改正される背景

まずは、個人情報保護法改正に至った背景を簡単に振り返りましょう。

1.1.消費者保護意識の高まり

改正の理由には、世論における消費者保護の意識の高まりが挙げられます。デジタル時代の到来により、企業は消費者にまつわるさまざまな情報(趣味嗜好・行動履歴など)をデータとして収集・活用できるようになりました。データの利活用は企業と消費者双方にとってさまざまなメリットがある一方、悪用のリスクも指摘されており、扱いの是非は各所で議論されています。

海外では数年前からGDPRに代表される消費者保護対策が本格化しており、日本で個人情報保護法が改正されるのも自然な成り行きでしょう。

1.2.施行されるのは2022年春頃

改正法の全面施行は公布(令和2年6月12日)から2年以内、現段階では2022年春頃に予定されています。現時点(2021年2月)ですでに一年余りしか猶予はなく、早急な対策が求められます。

2.経営者がおさえるべき法改正のポイント

今回の改正で経営者がおさえるべきポイントは、以下の5つです。

2.1.仮名加工情報と個人関連情報

改正案により「仮名加工情報」と「個人関連情報」と呼ばれる新たな情報定義が生まれました。

仮名加工情報は、企業のデータ利活用を妨げないために登場した定義です。所定の条件に基づき氏名等の個人特定につながる情報を削除したデータで、消費者からの各種請求への対応義務が緩和されます。

個人関連情報は、「生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないもの」を指します。具体的には、Cookieのような他の情報と結びつけることで個人を特定できる可能性があるデータのことです。第三者提供に際して提供先で個人の特定が起こりえる場合には本人同意の確認が義務となるなど、取り扱いに制限があります。

2.2.第三者提供と委託の違い

企業体制を整えるうえで「第三者提供」と「委託」の違いを知っておくことも重要です。

2.2.1.第三者提供とは

第三者提供とは、「個人データを取得者以外の第三者に提供すること」を指します。名簿業者のおこなうデータ販売などが代表的です。

第三者提供に際しては、利用目的等を明確にした状態で本人の事前同意を得る必要がある他、提供に関する記録を保存し、本人から請求があった場合には開示しなければならないなど、さまざまな制限が課されます。

2.2.2.委託と監督義務

給与計算をグループ会社に委託する場合など、自社業務の一部の委託を目的として個人情報を提供する場合は、「委託」として第三者提供の例外とみなされます。事前の同意取得は不要となりますが、代わりに委託先の監督義務(選定や取り扱い状況の把握)が課されます。

2.3.ペナルティの引き上げ 法人は1億円以下の罰金刑

今回の改正では厳罰化が進み、法人を対象とした罰金が「1億円以下の罰金刑」に引き上げられました。また「海外に法人がある」もしくは「海外と取引のある」企業はGDPRの適用対象となり、数十億円にものぼる巨額の罰金を命じられる可能性がある点にも、変わらず注意が必要です。

2.4.会社内の部門間の連携

新たに仮名加工情報と個人関連情報が登場したように、改正法では情報の定義や取り扱いルールがより複雑化します。また、消費者の権利強化にともない開示等の請求の増加も予想されます。データ区分や取り扱いに関する知識を部門間で共有し、連携しての対応が重要です。

2.5.業務上必要な従業員の個人情報の取り扱い

見落としがちですが、従業員の個人情報(氏名や収入、マイナンバーなど)も個人情報保護法の保護対象です。改正法をけっかけに従業員の「自身の個人情報保護に対する意識」が高まることも予想され、適切な取り扱いが求められます。

3.各部門に求められる施策

部門ごとに必要な施策は以下のとおりです。詳細は、それぞれの個別記事もあわせてご参照ください。

3.1.法務部に求められる施策

法務部には、注意事項の社内喚起をおこなうなど、社内で個人情報保護法に関するリーダーの役割が求められます。また、専門知識を活かした各ページの文言改定や、開示請求等への対応フローの策定も必要となります。

【2021年版】法務部必見!個人情報保護法改正による影響と必要な対策

3.2.情報システム部に求められる施策

情報システム部に求められるのは、仮名加工情報を創設するなど、改正案を遵守して個人情報を取り扱うための仕組みづくりです。企業の信頼性を保つためには、ヒューマンエラーなどの事故が起きにくい強固なシステムが欠かせません。

【2021年版】情シス、社内SE必見!個人情報保護法改正で発生する業務とは

3.3.営業部に求められる施策

営業部には、消費者からの請求に対する一次対応と、リード獲得に活用するデータの出どころの明確化が求められます。特に、他社が不正に取得したデータを利用した場合に自社まで罪に問われかねない点に注意するべきです。

【2021年版】営業職が知っておくべき個人情報保護法改正のポイントと業務への影響

3.4.広報・ブランディング担当に求められる施策

広報・ブランディング担当は、風評被害やレピュテーションリスクの対策と、会社の顔として個人情報を大切にする企業だとアピールする役割が求められます。そのためにも、ユーザーから理解を得られる同意取得バナーを検討することや、他部署との連携が大事になります。

【2021年版】広報・ブランディング担当者必見!改正個人情報保護法で押さえておくべきポイント

3.5.Webマーケティング&EC担当に求められる施策

Webマーケティング&EC担当者は個人情報に接する機会が多いことから、個人情報に対する高いリテラシーやリスクの認識が求められます。また、セミナーやお問い合わせフォーム、SNS運用においても、取得した個人情報をどのように扱うのかを明示することが大切です。

【2021年版】Webマーケティング&EC担当必見!個人情報保護法改正による影響と必要な対策

4.もしも情報漏えいが発生したら?改正後の注意点

万が一、情報漏えいを発生させてしまった場合には、速やかな対応を取らなければいけません。対応が遅れるほどに事態は悪化し、企業としての信頼失墜につながってしまいます。

4.1.委員会への報告と本人への通知義務

改正法により、漏えい発生後(メールの誤送信など軽微なものを除く)には委員会と本人への速やかな通知が義務化されました。委員会には所定のフォームや連絡先を通じた通知が、本人には直接の連絡もしくは容易に通知を知りえる状態に置くこと(公式ページでの公表など)が求められます。

4.2.情報漏えい時の対応フロー事例

IPA(独立行政法人情報処理推進機構)では、情報漏えい時の対応として以下のフローを提案しています。

1.発見・報告(内部責任者)
2.初動対応
3.調査
4.通知・報告・公表等
5.抑制措置と復旧
6.事後対応

このフローは、発覚した段階で速やかにそれ以上の漏えいを防ぎ、被害を最小限に抑えるためのものです。詳細は下記よりご確認いただけます。

IPA 「情報漏えい発生時の対応ポイント集

5.すでに対策をおこなっている国内企業の状況

社外から見た改正法への対応として最もわかりやすいのが「Cookie同意取得バナー」の設置です。第一三共や旭化成のような大手企業の公式ページでは、すでに訪問者に対してバナーを表示し、Cookie取得時に本人同意も取得しています。このような企業では、社内の情報保護の枠組みがすでに整いつつあると推測されます。

6.改正個人情報保護法への対応におすすめ「同意管理プラットフォーム」

改正法で企業が求められる対応は多岐にわたり、自社内で完結しようとすれば相応のコストがかかります。そこで、低コストで改正法に対応する方策としておすすめしたいのが「同意管理プラットフォーム(以下、CMP)」の導入です。

CMPは、個人情報を適切に取得・管理するためのシステムです、法律を遵守した形で安価に個人情報を取り扱えるのが特徴です。Priv Techの「Trust 360」は月額5万円(税抜)から導入できます。ぜひ以下より詳細をご確認ください。

同意管理プラットフォーム「Trust 360」

7.まとめ

改正法の施行で一層強まるであろう消費者保護の流れ。その流れに企業が対応するためには、経営者による正しい理解と率先した対策が欠かせません。

十分な対策を取らなかったためにあとで高額なペナルティが課せられるようなことがないように、この記事を参考に、各種施策やCMPの導入を早めに検討されることをおすすめします。

パーソナルデータの取扱いにお悩みの方に

  • 海外ツールは同意取得バナーがごちゃごちゃしていてわかりにくい…
  • 誰にどこまで同意を取ったか管理するのが大変…
  • ツールを導入するたびに手作業で全部同意を取り直すのは面倒…
  • 同意は管理できても他社システムを上手く連携して使えないと…

Trust 360で、すべて解決!