【2022年4月施行】改正個人情報保護法対応に向けた主なTo Doを解説!(Pマーク取得企業対象)
2022年4月改正個人情報保護法が全面施行されたことを受け、こちらの記事では、全企業に向けたTo Do(やるべきこと)について解説しました。今回はさらに焦点を絞り、Pマーク(プライバシーマーク)取得企業に向けた、改正個人情報保護法のTo Doについて解説します。
【資料ダウンロード】>>資料ダウンロード一覧へ\これだけは抑えておきたい/「改正個人情報保護法対応チェックリスト」 |
Pマークと個人情報保護法の関係
Pマークと個人情報保護法対応を比較したとき、個人情報保護法よりもマネジメントシステムを構築するPマークの方が厳しい制度だと言われています。つまり、Pマークを取得していれば必然的に個人情報保護法を遵守していると言えるほど、社会的信頼の高い制度です。
このほど2022年4月に改正個人情報保護法が全面施行されましたが、その中にはこれまでPマークにはあったものの個人情報保護法にはなかったという項目も含まれています。今回の個人情報保護法改正に際し、Pマークを取得していない企業にとってはルールを構築せざるを得ません。
しかしながら、Pマーク取得企業も改正個人情報保護法に合わせた対応が必要です。次に、具体的な対応を見ていきましょう。
Pマーク取得企業に必要な3つのTo Do
ここでは、Pマーク取得企業に必要なTo Doの中から、特に重要な3つをピックアップして解説します。
1. マネジメントシステムの変更
今回の改正個人情報保護法を受け、JIPDEC(一般財団法人 日本情報経済社会推進協会)は新たな審査基準を公表しました。従来の審査基準であった「JIS規格(JIS Q 15001)」と「JIPDECガイドライン」の準拠に加え、改正個人情報保護法の内容を網羅した、「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針」です。
Pマーク取得企業にとってはこれまでの運用から大きな方向転換は必要ありませんが、新たな「構築・運用指針」や改正個人情報保護法における自社基準との差分をもとに社内のルール等を見直さなくてはなりません。
その中からマネジメントシステムの部分について新たに追加となった一部を、以下に例示します。
(「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針(JIPDEC)」より抜粋)
■J.1.1. 組織及びその状況の理解
事業者は、個人情報を取り扱う事業に関して、個人情報保護マネジメントシステムに影響を与えるような外部及び内部の課題を特定すること。
※留意事項…「個人情報保護マネジメントシステムに影響を与えるような課題の把握」とは、個人情報の取扱いに関する法令、国が定める指針その他の規範、個人情報保護マネジメントシステムの確立、実施、維持及び継続的改善に必要な資源(人員・組織基盤、資金)、セキュリティ対策等の観点から、現状のみならず、将来実施するであろう事業を踏まえて洗い出すことを求めている。
■J.1.2. 利害関係者のニーズ及び期待の理解
事業者は次の事項を特定すること。
a)個人情報保護マネジメントシステムに関連する利害関係者
b)その利害関係者の、個人情報保護に関連する要求事項
※留意事項…利害関係者とは、本人及び個人情報保護マネジメントシステムに関連する個人、事業者及び団体(委託元(及び委託元の顧客)、委託先)、等を指す。利害関係者の要求事項には法令、官公庁等のガイドライン、事業者の所属団体による自主規制、商慣習に基づき遵守が求められる事項、取引先等との間の契約上の義務等を含めてもよい。
2. 改正個人情報保護法に対応する部分の追加
2022年4月以降は新たな「構築・運用指針」に基づいて審査が行われるため、Pマーク取得企業は次回の申請までに自社のPマーク関連文書を修正しなければなりません。
改正個人情報保護法への対応の中で、Pマークに影響する大きなポイントは以下の4つです。
①個人の権利のあり方
従来は原則、紙媒体で対応していた開示への対応方法が、今回から電子データでも可能(本人が指定した方法)となりました。さらに、第三者提供記録も対象となり、個人の権利がより強化された内容となっています。
②データ利活用の促進
今回の改正個人情報保護法では仮名加工情報や個人関連情報といった項目が新設され、ビッグデータを用いたさらなるビジネスの拡張が期待されますが、一方で新たなリスクにも備える必要があるでしょう。
③事業者の責務が追加
従来は努力義務であった漏えい報告が、新たに追加となった類型(報告対象事態)においては、今回より個人情報保護委員会への報告が義務化となりました。また、個人情報保護委員会への報告だけでなく、本人への通知も必要です。今一度、社内のルールや様式を見直しましょう。
※Pマーク取得企業は、これまでも審査機関への漏えい報告は求められていました。
④ペナルティの強化
改正法では、法定刑の最高額が引き上げられました。違反時のペナルティが大きくなったことで、企業はより厳格に「個人情報」と向き合わなければなりません。
その他、細かいルール修正など
個人関連情報の第三者提供を受ける場合や外国にある第三者へ個人情報を提供する場合など、細かいルール修正や対応が求められます。詳細はこちらをご確認ください。
上記で紹介した以外にも細かい追加点・修正点は多くあります。
もし社内で対応を進める場合は、JIPDECが提供している「審査基準(2022年3月31日まで適用)との対照表」(以下、参照)を参考にすると良いでしょう。改正個人情報保護法に対する具体的な修正箇所が確認しやすいよう表になっています。
【参考】
- ・プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針(JIPDEC)
- ・審査基準(2022年3月31日まで適用)との対照表(JIPDEC)
さらに、「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針」の各項目については、動画による解説が配信されています。先に紹介したJIPDECの資料と合わせて活用してみてはいかがでしょうか。
動画配信ページはこちら
Pマーク取得企業の個人情報保護法改正に伴う対応は外部企業の活用がおすすめ
Pマーク取得企業は、改正個人情報保護法に伴う対応に加えて、新審査基準(構築・運用指針)への対応が必要なことがわかりました。ただし、ただ対応するだけではなく自社にあった形、昨今の情勢にあった形にバージョンアップしていくことが望ましいと言えます。その際に役立つのがコンサルティングサービスです。その中でもCoach MAMORUは、経験豊富な専門コンサルタントが企業の情報セキュリティ教育・コンサルティングを提供するサービスとして、多くの企業に利用されています。Pマークにおけるマネジメントシステムの改訂含め、課題に対し柔軟かつ適切にコンサルティングを行うことが特徴です。
Coach MAMORU 公式URL:https://www.mamoru-kun.com/security_consulting/
Pマーク取得企業も新たな「構築・運用指針」に対応した運用を
今回の改正個人情報保護法に合わせて、Pマーク取得企業も新たな「構築・運用指針」に対応していかなければなりません。次の審査まで時間に余裕があったとしても、2022年4月以降は新たな基準での運用が求められています。Pマーク取得企業は今回の対応を「個人情報に対する意識向上」の好機だととらえ、積極的に進めていきましょう。
個人情報保護法改正(2022年4月施行)関連記事
第1回【2022年4月施行】個人情報保護法改正、6つのポイントとは?
第2回【2022年4月施行】個人情報保護法改正、6つのポイントを徹底解説
第3回【2022年4月施行】個人情報保護法改正、プライバシーポリシー改訂のポイント
第4回【2022年4月施行】個人情報保護法改正、開示請求のポイント
第5回【2022年4月施行】個人情報保護法改正、個人関連情報・オプトアウト規制・不適正利用に関する対応ポイント
第6回【2022年4月施行】個人情報保護法改正、従業員教育で取り上げるべきポイント教育
第7回【2022年4月施行】個人情報保護法改正、個人データ漏洩等の報告・対応について
第8回【2022年4月施行】個人情報保護法改正、個人データの取り扱いに関する安全管理措置について
第9回【2022年4月施行】個人情報保護法改正Q&A、海外のクラウドサーバーやソーシャルプラグインに関する考え方
第10回【2022年4月施行】改正個人情報保護法対応に向けた主なTo Doを解説!(全企業対象)
第11回【2022年4月施行】改正個人情報保護法対応に向けた主なTo Doを解説!(Pマーク取得企業対象)
【資料ダウンロード】>>資料ダウンロード一覧へ\これだけは抑えておきたい/「改正個人情報保護法対応チェックリスト」 |