Skip to main content
Rådgivning om selskapsrisiko|Corporate Risk Tools and Technology|Cyber Risk Management|Financial, Executive and Professional Risks (FINEX)
N/A

執筆者 足立 照嘉 | 2020年8月18日

2020年6月、個人情報保護法が改正され、個人の権利が拡充された。企業の責任が明確になり、罰則規定が強化されている。
従来とは何が変わり、各国で進められているデータ保護法の厳格化とは何が異なるのか。そして、どのように対策・対応すべきかについて考えていきたい。

避けて通れない課題

昨年来、世界的な影響を及ぼしているCOVID-19により、働き方や生活様式は大きく変化し、その背景ではITへの依存度が急激に高まっている。

IT依存度の高まりは、時として従来以上の恩恵を私たちにもたらしている。 その一例として、よりパーソナライズされたことによって快適かつ利便性の高いサービスを受けられるようになったことがあげられるだろう。また、2020年6月には国連のWP29において自動車のソフトウェア・アップデートに関する法規案が採択され、コネクテッドカーなどのITを活用した取り組みが加速していく。

これらのように、私たちを取り巻く環境は現在進行形でITへの依存度を高め続けているが、同時に避けて通れないのが「プライバシー」に関する課題だ。

個人情報の定義とは

コネクテッドカーにおいても、生成されたデータから個人を特定できてしまえば、即ちそれは「個人情報」となってしまう。長時間かつ頻繁に停車している場所の位置情報であれば、そこから自宅や勤務先を割り出すことも容易になる。 特定の個人を識別できるかどうかが、個人情報であると判断される一つの指標となる。

そして、日本では2020年6月5日に個人情報保護法が改正され、6月12日に公布された。

これまでは努力義務とされていた「個人データの利用停止や消去等を請求する権利」が拡充されたり、オプトアウト規定の強化によって「第三者に提供可能な情報を制限する」ことができるようになった。従来と比べて、個人の権利が拡充されている。

何が変わったのか

日本における個人情報保護法の改正で、もう一つ着目すべき点は企業の責任が明確になり「罰則規定が厳格化」されたことである。

従来は個人と法人が同額で、1年以下の懲役または50万円以下の罰金が定められていた。しかし、改正法ではデータベース等不正提供罪や個人情報保護委員会による命令への違反に対して1億円以下の罰金を法人に科すことができるようになっている。

そして、今回の改正法でも強く意識しているGDPR(EU一般データ保護規則)ではサイバー攻撃に起因した情報漏洩により高額な制裁金を科された企業(英系航空会社で、およそ250億円の制裁金)もある。今後はサイバー攻撃被害によって厳罰を科される可能性も考えられるだろう。GDPRでの実例などからも学べることが多くある。

また、漏えい等が発生した際の報告について、従来はあくまでも安全管理措置義務の一環とされてきた。しかし、改正法では一定の類型に該当する場合に限定して「速やかに委員会へ報告すること」と、原則として本人に「事故の事実を通知すること」が義務付けられている。

異なる「同意」の定義

先日ドイツ人のデータ保護専門家と話していて、あらためて認識したことがある。

「同意」の定義が異なるのだ。

日本での文脈で「同意」とは、ほぼ必須のプロセスであり、同意しなければ契約等を次のステップに進めることができないものだと認識しがちである。ところが欧州では、同意は必須のもの「ではない」。契約はするが、同意はできないということも起こりえるわけだ。

そして同意を得る方法についてGDPRと日本の改正法でも違いはあり、GDPRではオプトアウト方式を認めず明示的に同意を得ることを求めている。しかし、日本の改正法ではオプトアウトを認めている。

欧州のGDPR、米国加州のCCPA、そして日本の改正法。 各国でデータ保護法の厳格化が進んでいるが、共通して取り入れられているメカニズムがあることと同時に、それぞれで考えが大きく異なる定義がなされている箇所も多々ある。保護すべき対象などもそれぞれで微妙に異なっている。 自社の進出している国や地域に応じて、適切な対策・対応が求められる。

対策の具体的な方法

最後に、対策・対応のポイントについて考えてみたい。

まず個人情報の取得にあたって同意の取得や、利用規約・プライバシーポリシーの整備が必要である。 また、前述のとおり特定の個人を識別できるかどうかで個人情報に該当するかを判断されるため、そもそもどれが個人情報であるかを明確にしておかなくてはならない。

従来であれば、個人情報保護委員会のガイドラインに“特定の個人を識別できなければ”と記載されていたことからマスキングすれば個人情報ではないとする解釈もあったが、今後は改正法に基づいたガイドラインで定義が変わる可能性もある。

次に取得した個人情報であるが、利用停止や消去等を求められた際には遅滞なく対応できるようにしておく必要がある。情報の開示を請求された場合には、本人が指定する方法で開示しなくてはならない。 そのためには、取得した個人情報の種類や所在を把握できるようにしておかなくてはならない。

また、これらの個人情報をサイバー攻撃などから保護する必要もあるが、その具体的な方法については改正法の条文に記されては「いない」。 これはGDPRにおいても同様であるが、既に多くの制裁事例などもあるため、これらから学べることはあるだろう。

そして取得した情報が漏えいした場合、委員会と本人への通知が義務化されているためその対応が必要である。 また、従来は公表することによって被害拡大が想定される場合や、個人情報を暗号化していた際には報告をしなくても良かったが、今後はガイドラインの整備によって対応方法が変わってくる可能性もある。

もちろんサイバー攻撃を検知する仕組みが無ければ、被害の公表どころか防御もままならないだろう。 まずは自社にとってのサイバーリスクを把握し、それらを適切に評価することで対策・対応をとることが望まれる。

執筆者プロフィール

Cyber Security Advisor

Corporate Risk and Broking


Contact Us

関連ソリューション