令和6年(2024年)改正個人情報保護法のポイントとは?知っておくべき変更点や対応策を解説
令和6年(2024年)4月、改正個人情報保護法施行規則が施行されます。今回の改正では、漏えい等が発生した際の個人情報保護委員会への報告義務と本人への通知義務の対象が拡大されます。
この改正の主なポイントは、ウェブスキミングなどの近年の個人情報をめぐる問題への対応にあります。
とはいえ、改正点を正確に把握し、適切に対応するには専門的な知識が必要で、自社がとるべき対応がわからないという人は多いのではないでしょうか。この記事では、令和6年改正のポイントや対応策を解説します。
この記事の目次
令和6年改正個人情報保護法の変更点の概要
令和6年改正の個人情報保護法で着目すべき変更内容は、漏えい等発生時の報告・通知義務と安全管理措置を講じる義務の対象が、一部の「個人情報」にまで拡大した点です。
従来の規律では、漏えい時の報告義務などの対象は「個人データ」のみであり、「個人情報」は含まれていませんでした。
今回の改正により、個人情報保護法施行規則第7条第3号と、「個人情報保護法ガイドライン(通則編)」に変更内容が記載されています。
| 改正法 | 改正前 | |
| 漏えい等の報告等義務 | 負う(一定の場合) | 負わない |
| 安全管理措置を講じる義務 | 負う(一定の場合) | 負わない |
具体的な規制内容や変更点は、以下で詳しく解説します。
これまでの個人情報保護法における規制対象
改正法の内容を把握するためには、改正前の規制内容に対する正確な理解が必須です。ここでは、改正前に定められていた規制の定義や内容を解説します。
個人情報と個人データの違い
個人情報保護法では、保護の対象として「個人情報」と「個人データ」は分けて考えます。
「個人情報」とは、生存する個人に関する情報であり、当該情報に含まれる氏名や生年月日などの記述により特定の個人を識別できる情報です。これは、個人情報保護法第2条1項1号に定義づけられています。
関連記事:令和4年(2022年)改正個人情報保護法「仮名加工情報」新設等でデータの利活用を促進
一方で「個人データ」とは、個人情報データベース等を構成する個人情報のことを指すことが、個人情報保護法第16条1項に定められています。
例えば、イベントの出席者名簿を作成する場合、予約者が送付してきた氏名や住所などの情報を「個人情報」といいます。そして予約者それぞれの個人情報をスプレッドシートなどにまとめて作成したデータベースが「個人情報データベース」です。このデータベースを構成する個々の情報が「個人データ」にあたります。
個人情報保護法においては、保護対象が「個人情報」か「個人データ」かによって規制内容が大きく変わることを理解する必要があります。
漏えい等報告等義務とは
個人情報保護法は、個人データの漏えい等が発生した場合、個人情報取扱事業者に対して、個人情報保護委員会への報告と本人への通知を義務付けています。
(漏えい等の報告等)
個人情報の保護に関する法律|e-Gov法令検索
第二十六条 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を個人情報保護委員会に報告しなければならない。ただし、当該個人情報取扱事業者が、他の個人情報取扱事業者又は行政機関等から当該個人データの取扱いの全部又は一部の委託を受けた場合であって、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を当該他の個人情報取扱事業者又は行政機関等に通知したときは、この限りでない。
2 前項に規定する場合には、個人情報取扱事業者(同項ただし書の規定による通知をした者を除く。)は、本人に対し、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を通知しなければならない。ただし、本人への通知が困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
報告・通知義務は漏えい等が発生したすべての場合で生じるわけではありません。個人情報保護法施行規則第7条に定められる以下の4つのケースに限って報告等を義務付けています。
- 要配慮個人情報が含まれる個人データの漏えい(例:従業員の健康診断結果)
- 不正利用により財産的被害が生じるおそれがある個人データの漏えい(例:クレジットカード番号)
- 不正目的をもって行われた恐れがある個人データの漏えい
- 本人の数が1000人を超える漏えい
今回の改正では、規則第7条3号の内容が変更されました。
安全管理措置とは
個人情報保護法は、個人情報取扱事業者に対し、個人データの漏えい等の防止や安全管理のため、必要かつ適切な措置を講じることを義務付けています。
(安全管理措置)
個人情報の保護に関する法律|e-Gov法令検索
第二十三条 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。
具体例として、アクセス制御や従業者への研修、規律整備などがあげられます。
改正前の規制対象
改正前では、漏えい等発生時の報告義務と安全管理措置を講じる義務を負うと定めている対象は、「個人データ」のみです。「個人情報」に関しては、漏えい等が発生したとしても、事業者がこのような義務を負うことはありませんでした。
しかし、報告・通知義務と安全管理措置設置義務の対象が一部の「個人情報」にまで拡大されたのが、今回の改正です。
個人情報保護法施行規則改正の趣旨と目的
今回の改正は、ウェブスキミング対策を念頭に置いたものといえます。ウェブスキミングとは、ECサイトなどに不正プログラムを設置して個人情報を盗み出す攻撃手法です。
具体的には、ユーザーが入力フォームに入力したパスワードやクレジットカード情報などを、入力ページから直接取得する方法があります。
ウェブスキミングでは、ユーザーが入力した情報が、ECサイト事業者の個人情報データベース等に組み込まれる前に直接情報を盗まれることが特徴です。この形では、「個人データ」化される前の「個人情報」が盗られているにすぎません。
改正前は、漏えい等報告の義務は「個人データ」のみを対象としています。そのため、ウェブスキミングによる被害が発生しても、ECサイト事業者は報告等を行う義務はありませんでした。
今回の改正は、ウェブスキミングによる情報漏えいも報告対象とすることを目的として、漏えい等報告と安全管理措置の対象を「個人情報」まで含めるように拡大したものです。
令和6年個人情報保護法施行規則の改正内容
漏えい等報告等義務の対象拡大
個人情報保護法施行規則第7条3号が以下のように改正されました。
| 改正法 | 改正前 |
| 第7条法第 26 条第 1 項本文の個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものは、次の各号のいずれかに該当するものとする。三 不正の目的をもって行われたおそれがある当該個人情報取扱事業者に対する行為による個人データ(当該個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、個人データとして取り扱われることが予定されているものを含む。)の漏えい等が発生し、又は発生したおそれがある事態 | 第7条法第 26 条第 1 項本文の個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものは、次の各号のいずれかに該当するものとする。三 不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態 |
「当該個人情報取扱事業者」には、委託先や個人情報取扱サービスの提供者も含まれます。
また、個人情報取扱事業者が「取得しようとしている個人情報」に該当するかどうかは、個人情報の取得手段等を考慮して客観的に判断するとされています(ガイドライン通則編3-5-3-1)。
このように、漏えい等の報告・通知義務の対象が、一定の場合における「個人情報」にまで拡大されたことが、令和6年改正の大きな変更点です。
安全管理措置の対象拡大
漏えい等報告義務規制の改正に伴い、個人情報保護法ガイドライン通則編3-4-2の記載も変更されました。
事業者が講じるべき安全管理措置について、個人情報取扱事業者が個人データとして取り扱うことを予定している個人情報(個人情報取扱事業者が取得し、又は取得しようとしている個人情報)の漏えい等を防止するために必要かつ適切な措置も含まれるとされています。
安全管理措置の対象も、「個人データ」だけでなく、一定の場合における「個人情報」にまで拡大されました。
参考:個人情報保護委員会|(令和6年4月1日施行)個人情報の保護に関する法律についてのガイドライン(通則編)
改正個人情報保護法の施行によりとるべき対策
令和6年改正個人情報保護法の施行に対してとるべき対策は、以下の2つです。
- プライバシーポリシーを改訂する
- 社内規則を改訂して周知する
それぞれ詳しく見ていきましょう。
プライバシーポリシーを改訂する
個人情報取扱事業者は、保有個人データの安全管理措置を本人の知り得る状態に置かなければなりません。これには、本人の求めに応じて遅滞なく回答できる状態も含みます(個人情報保護法第32条1項4号)。
保有個人データの安全管理措置をプライバシーポリシーに記載することで対応していた事業者は、注意が必要です。プライバシーポリシーに、一定の個人情報を新たに安全管理措置の対象に含める旨を加筆しなければなりません。
社内規則を改訂して周知する
一部の個人情報の漏えい等についても報告・通知義務が発生することになった点については、社内規定にも反映して従業員に周知する必要があります。
改正で新たに報告等の対象となった個人情報の漏えいが起こりうる事例は、ウェブスキミングに限りません。
例えば、個人情報取扱事業者が、宛先の改ざんされた返信用封筒を顧客に送付した結果、封筒内のアンケート用紙に記入された個人情報が第三者の手に渡ったとします。この個人情報が、個人データとして取り扱われることが予定されていたものである場合、情報漏えいの報告・通知義務が生じる事態となるのです。
これまでは義務が発生しなかった個人情報についても取り扱いが変わるため、従業員に注意を促さなければなりません。
まとめ:個人情報保護法改正への対応は専門家に相談を
個人情報保護法の令和6年改正では、ウェブスキミング対策を念頭に、漏えい等発生時の報告・通知義務と安全管理措置の対象が拡大されました。改正前では「個人データ」のみ対象とされていましたが、一定の場合において「個人情報」も対象に含まれるとされています。
今回の改正により、プライバシーポリシーや社内規則の改訂などの対策をとる必要があります。
個人情報の取り扱いに関しては、措置を誤ると社会的信用の失墜などリスクが大きいです。対応の際は弁護士に相談することをおすすめします。
当事務所による対策のご案内
モノリス法律事務所は、IT、特にインターネットと法律の両面に豊富な経験を有する法律事務所です。昨今、個人情報の漏洩は大きな問題になっています。万が一個人情報が漏洩してしまった場合、企業活動に致命的な影響を及ぼす場合もあります。当社は情報漏洩防止や対応策について専門的な知見を有しています。下記記事にて詳細を記載しております。
モノリス法律事務所の取扱分野:個人情報保護法関連法務
カテゴリー: IT・ベンチャーの企業法務
