個人情報漏洩と企業が守るべき責務
急速な社会情勢の変化や、モバイル通信機器の使用の拡大に伴い、企業内に保存されている個人情報や研究データなどの機密情報漏洩が頻繁にニュースにとりあげられるようになりました。3年ごとに見直されている個人情報保護法ですが、2022年4月の改定は、非常に重要なものとなっています。
個人情報にあたるもの
- 1. 個人に関する情報であること
- 2. 特定の個人を識別できること
この2つが、「個人情報」にあたります。
- プライバシーマーク制度 (JIPDEC 一般財団法人日本情報経済社会推進協会)より引用
- https://privacymark.jp/wakaru/kouza/theme1_01.html
個人情報の項目 具体例
個人情報の具体的な項目には、以下のようなものがあります。
- 氏名
- 電話番号
- メールアドレス
- 住所
- 国籍・本籍
- 性別
- 生年月日
- 血液型
- 職業・職歴
- 学業・学歴
- 年収
- 資産内容
- 課税・納税状況
- 家族状況
- 婚姻状況
- 健康状態・病歴
- パスポートナンバー
- 免許証番号
- マイナンバー
- 被保険者番号
- 基礎年金番号
- クレジットカード番号
- クレジットカードの暗証番号
- 金融機関情報
- 個人を特定できる画像、動画
上記意外に、声紋、DNAの塩基配列、指紋なども個人情報として保護の対象となります。
個人情報取扱事業者に求められる責任
2022年4月に個人情報保護法改正にあたり、個人情報取り扱い事業者に対する罰則が厳罰化されました。デバイスの広がりや産業全体のグローバル化に伴い、2005年に施行された時点では想定できなかった情報漏洩事件が急増する事態になり、社会情勢の変化と共に見直しを余儀なくされてきました。2015年に改正されて以降、3年ごとに見直しされることとなりました。
2022年4月の改正では、特にAIやビッグデータの活用が一般的になってきたことで、特に個人が不利益を被らないように配慮された内容に改正されています。改正個人情報保護法の見直しの観点は、主に下記のようなものです。
- AI・ビッグデータに対する対応
- 個人の権利や利益の保護
- 技術革新の成果を保護
- グローバルな制度調和
- 企業における責務の追加と法令違反時の罰則強化
- 外国事業者に対する規定の変更
法令違反があったときの罰則強化
2022年4月の改正では企業の機密情報の持ち出しや漏洩が頻出する情勢を鑑みて企業に対する責務や罰則が全体的に強化される内容になっており、法人による個人情報データベースなどの不正流用は、改正前は50万円以下の罰金でしたが、改正後は、1億円以下の罰金というように、格段の罰則強化となっています。