■2020年6月に可決した今回の改正点

1. 2020年に前倒し改正されたものが企業の罰金額。最大50万円から1億円に引き上げられました。

2. 個人情報漏えいなどを個人情報保護委員会に通知することが義務となります。
3. 個人情報が不適正利用された場合と個人情報が漏えいがあった場合に、その個人が利用停止および消去権を行使できるようになります。
4. 外国にある第三者に個人情報データを提供する場合に本人への情報提供義務が強化されます。
5. クッキー等に係る個人関連情報第三者提供制限の規制が盛り込まれます。

▶「2.」の詳細

• 個人情報漏えいして、個人の権利利益を害するおそれがある場合に個人情報保護委員会と漏えいした情報の本人に通知を義務化されます。権利利益を害するおそれがあるものとしては次のものがあげられます。①健康情報、人種、信条、社会的身分、犯罪歴、犯罪被害歴など配慮が必要な個人情報。②取引可能なIDとパスワードなど不正利用によって財産的被害がある情報。③不正アクセスなどにより不正が行なえる情報。これらに加えて1000件を超える漏えいに対しても対象となります。
• 上記に報告対象事案を知った後に「速報」と詳細を加えた「確報」による二段階の報告を個人情報保護委員会に提出が必要になります。速報としてはおおむね3日から5日以内の報告となっています。確報としては30日以内となっています。また不正アクセスのおそれがある場合の確報としては60日以内となっています。法人の場合においては、会社としての正式な把握ではなくいずれかの部署が当該自体を知った時点が起点となるので注意が必要です。
• 報告内容については、概要、個人情報データ項目、影響人数、原因、二次被害のおそれとその内容、本人への対応状況、公表実施状況、再発防止策の実施状況や関係する事項をとなります。

▶「3.」の詳細

• 個人情報が不適正利用されたり個人情報が漏えいがあると、利用停止および消去権を行使されます。苦労して集めた会員情報や既存顧客情報、見込み顧客のリードなど、個人情報漏えいが発覚した場合に過去に提供されての詳細情報も含め利用停止や消去を求められることになり、ビジネスへの影響が大いに懸念されます。

■法改正にむけた個人情報の再点検と利用実態の把握が急務

個人情報を含むシステムや個別にPCなどに存在する表計算ファイルなどの状況については、リアルタイムでの把握と保管の徹底が必要になります。個人情報を含むシステムについてはWEBアプリケーションなどの脆弱性への対応や不正アクセスのチェックを今まで以上に注意をはかる必要があります。

また個人情報データの分析やマーケティングへの流用を行う場合に表計算形式のファイルで作業されています。このような作業をした時の中間ファイルがPCに残っている場合があります。これらを定期的に確認して削除させるなどの処置が必要となります。

併せてPC操作ログの収集により個人情報が含まれるファイルの操作を記録が有効です。操作ログでは常に個人情報を取り扱うメンバーのPC以外のPCが個人情報ファイルを操作した場合が要注意となります。また日常よりも大量な個人情報ファイルを操作されたときも要注意です。

上記のような報告対象事案があった場合でも過去の異常値を見つけることで個人情報の漏えい実態を見つけ出すことが可能になります。

ISM LogAnalyticsは、異常値発見に効果があります。

It's only fair to share...
00