個人情報保護法の改正に伴い、さまざまな部分が変更されました。企業が特に気になるのは、罰則が強化されたことではないでしょうか。本記事では、改正された個人情報保護法での罰則や、情報を漏えいさせないための具体的な対策についても解説します。
罰則が強化されたって本当? 改正された個人情報保護法をチェック!
2005年に施行された個人情報保護法は、時代の変化にあわせて改正が行われてきました。最初に改正されたのは2015年で、2020年にも見直しが行われ2022年4月から全面施行されています。
個人情報保護法の改正で大きく変わったのは6つです。まず、個人の権利が強化されました。本人の利益が損なわれるとき、重大な情報漏えいが発生したときなどに、利用停止や消去などの請求を個人で行えるようになりました。
また、事業者の責務が強化され、情報漏えいが発生した際の報告や本人への通知が義務化されました。併せて、個人情報の不当な利用やそれらの助長行為も禁止されます。ほかにも、データの利活用促進や個人情報を扱う企業の自主的な取り組みの促進、罰則の強化、海外事業者への罰則追加なども大きな変更点です。
なお、罰則の強化に関しては2020年末からすでに施行されているため注意が必要です。罰則が強化されていることを知らなかった、と言っても通用しないため、規模を問わず企業には適切な対応が求められます。本記事では、変更があった6点のなかから、罰則強化について解説します。
個人情報の保護に関する法律等の一部を改正する法律(概要)
https://www.ppc.go.jp/files/pdf/200612_gaiyou.pdf
個人情報保護委員会 個人情報の保護に関する法律
https://elaws.e-gov.go.jp/document?lawid=415AC0000000057
個人情報保護委員会 令和3年 改正個人情報保護法について(官民を通じた個人情報保護制度の見直し)
https://www.ppc.go.jp/personalinfo/minaoshi/
改正された個人情報保護法で注意すべき罰則はこの3つ!
個人情報保護法の改正に伴い、違反した際の罰則が強化され法定刑が引き上げられました。従来よりも厳しいペナルティを課せられるため、場合によっては顧客や取引先からの信頼を失い、事業にも大きな支障をきたすかもしれません。どのように罰則が強化されたのか、正確に把握しておきましょう。
1. 個人情報保護委員会からの命令等への違反に対する罰則強化
個人情報保護委員会とは、2016年に設置された独立性の高い機関であり、個人情報保護に関する方針の策定や民間、行政機関などへの監視、監督、苦情あっせんなどを任務としています。
企業が、個人情報保護法に違反するような行動を起こした場合、当該機関から改善命令を受けることがあります。改善命令を受けた企業は、速やかに改善の取り組みを進めなくてはなりません。もし命令をきかない、無視するといった行為をすると罰則の対象となるため注意が必要です。
従来は、6カ月以下の懲役または30万円以下の罰金がペナルティとして設けられていたものの、改正後は1年以下の懲役、または100万円以下の罰金と引き上げられています。しかも、法人の場合は罰金の最高額が1億円となるため注意しましょう。
2. 個人情報データベース等の不正提供に対する罰則強化
個人情報データベース等とは、コンピューターを用いて特定の個人情報を検索できる仕組み、システムを指します。コンピューターでなくても、顧客カードや名簿など、特定の個人情報を検索できる情報を不正に提供した際には、ペナルティの対象となります。
従来における違反のペナルティは、1年以下の懲役または50万円以下の罰金でした。一方、改正後は罰則が強化され、法人には最大1億円の罰金が科せられるおそれがあります。
たとえば、企業が保有している顧客データベースを悪意のある第三者へ不正に提供した、相手に悪用する意図があるのを理解したうえで顧客リストを渡した、といったケースが該当します。
3. 個人情報保護委員会への虚偽報告等に対する罰則強化
個人情報保護法の改正に伴い、個人情報の漏えいにより個人の権利や利益を損なうおそれがある場合には、個人情報保護委員会への報告が義務化されました。個人の財産に被害が生じるおそれがある、1,000人を超える大量の情報が漏えいした、不正なアクセスにより漏えいが発生した、といったケースにおいて企業は速やかに当該機関へ報告をしなくてはなりません。
報告の義務があるにもかかわらず、報告を怠ったり、虚偽の報告をしたりした場合などには罰則が科せられます。
従来は30万円以下の罰金でしたが、法改正によって50万円以下の罰金に厳罰化されました。当該機関から報告を求められた際に、偽装した資料を提出する、情報漏えいが発生した際に数を少なく報告する、といったケースが該当します。
個人情報が漏えいしてしまった場合はどうなる?
個人情報が外部へ流出した場合、企業は速やかに適切な対処をとらねばなりません。初動でもたつくと、流出した個人情報がさらに拡散し、悪用につながるリスクも高まります。
まずは、事実確認と調査に着手しましょう。5W1Hのフレームワークに基づき、情報が流出した原因や範囲などを特定します。また、被害がそれ以上に広がることがないよう、対策も講じなくてはなりません。オンラインを介して外部へ流出したのなら、インターネット接続をシャットアウトし、オフラインで漏れたのなら情報を管理している部屋への入室を制限する、などが考えられます。
法改正によって、当事者への通知が義務化されました。情報が流出した事実を本人に伝え、今後の対応策も併せて伝えましょう。また、当事者だけでなく個人情報保護委員会への報告も必要です。
なお、個人情報の流出によって企業が受けるダメージは、刑事罰だけではありません。個人情報を流出させた企業とレッテルを貼られ、顧客や取引先の信頼を失うおそれがあります。また、損害を受けた当事者から民事で訴えられる、調査や対策に多額のコストが発生するなどの懸念もあるため注意が必要です。
実際、過去には某大手企業の子会社で勤務していた従業員が、不正に個人情報を外部へ持ち出し、流出させたことで、損害賠償請求されています。この裁判では、情報を流出させた従業員が在籍していた子会社に対し、原告1人あたり慰謝料3,000円を支払うようにとの判決が下りました。
個人情報保護委員会 漏えい等の対応とお役立ち資料
https://www.ppc.go.jp/personalinfo/legal/leakAction/
危うく個人情報保護法違反・漏えいに! 注意すべきヒヤリハット事例
たとえば、メールの送信ミスで個人情報を流出させてしまうリスクがあります。個人情報を記載したメールを誤って別の人に送信してしまった、といったケースです。また、メールアドレスに本人の名前が使われている場合、同意なく勝手に第三者へ提供すると違反になるおそれがあります。
個人情報を管理しているデバイスの紛失、不正持ち出しによって情報が漏えいしそうになる、といったケースも少なくありません。また、目的の範疇を越えて個人情報を扱う、本人の許可を得ずに顧客や従業員の情報を第三者へ教える、といった行為もNGです。
従業員の親族を名乗る者から電話がかかってきて、すぐに連絡をとる必要があるため電話番号を教えてほしいと言われた、といった事例もあります。うっかり教えてしまうと、違反となるため注意が必要です。この場合、本人にまず連絡して確認をとる必要があります。
個人情報保護委員会 個人情報保護法 ヒヤリハット事例集
https://www.ppc.go.jp/files/pdf/pd_hiyari.pdf
個人情報保護法違反・漏えいの対策はどうしたら良い?
個人情報保護法違反や流出への対策として、セキュリティソフトの導入が有効です。セキュリティソフトの導入によって、不正アクセスやマルウェアへの感染を回避でき、リスクを軽減できます。
個人情報の取り扱いに関する、従業員や経営層の意識改革も必要です。従業員のITリテラシーやモラルが低いと、情報漏えいにつながりかねません。社内研修の実施などで従業員の意識改革を進めましょう。中小企業の場合、経営層が対策の必要性や重要性を認識していないケースも少なくありません。取り組みを進める部門の担当者は、対策の必要性や、対策しないことで生じるデメリット、リスクなどを経営層へ丁寧に説明し、理解を求めなくてはなりません。
また、改正個人情報保護法へ対応するため、デジタルデータ開示を求められた際、速やかに対応できる準備をしましょう。たとえば、オンラインで該当データをダウンロードできる仕組みの構築が考えられます。併せて、第三者へ情報を提供した際の記録を開示できるよう準備する必要もあります。
まとめ
個人情報保護法違反を犯すと、刑事罰の対象となるだけでなく社会的な信頼も失墜しかねません。改正のポイントを正確に把握し、適切な対策を進めていきましょう。なお、個人情報保護法への対応にはセキュリティ対策が不可欠です。「ビズらく」であれば、さまざまなセキュリティの不安を解消できる各種サービスを扱っています。お気軽にお問い合わせくださいませ。
ビズらくおすすめセキュリティ対策商品
職場にあるパソコン、モバイル端末、タブレットをランサムウェア、
ウイルス・スパイウェアから守るクラウド型セキュリティソフト。
クラウド型のため、常に最新版に自動更新されるため管理も簡単!
.png)
.png)
.png)
.png)