2017年5月30日に個人情報保護法が改定されます。
今まで対象外だった中小企業も含まれますし、運転免許証番号や指紋も対象になります。
また罰則も強化されますので、企業の担当者は注意が必要です。
1つ目の変更点は、対象が追加されたことです。
従来は、生年月日・氏名・電話番号・住所などだけが対象でしたが、改正後は、「指紋認証」や「免許証番号」なども個人情報と定義されます。
2つ目の変更点は、適用対象が中小企業にも及ぶようになります。
これまでは対象外の個人情報が5,000件以下の企業でも適用されます。たった1件でも個人情報を保有していれば、法令遵守が義務付けられます。
3つ目の変更点は、罰則の強化です。
以前は、違反した事業者に対して大臣が認めた時に限り罰則が科されてました。改正後は、新設された「個人情報データベース等不正提供罪」に基づき、刑事罰としての罰則が追加されます。個人情報の悪用や盗用が発覚した場合、従業員個人へ罰則が科されます。また、監督責任のある事業者にも罰金刑が科されます。
個人的に3つの変更点は当然だと思います。
罰則の無い法律を作っても守らない人の方が得をするだけで意味がないですし(全くないことはないのでしょうが、グローバル化・個人主義化が進んだ現代では形骸化が進むだけでしょう)、中小企業だから適当でいいということもおかしいと思っていました。
新たに対象になる企業にとっては厳しい内容になる改正個人情報保護法ですが、法令遵守は絶対です。
そのためのポイントを簡単に説明します。
まずは「安全管理措置」の実施です。「安全管理措置」とは、個人情報の漏えいを防ぐために設定する措置で、個人データやそれを扱うシステムへのアクセスの記録や制御、不正ソフトウェア対策等、個人データに対する具体的なセキュリティ対策が示されています。マイナンバーの時にも聞いたことがあると思います。
具体的な対策方法は3つあります。
1つ目は、個人データへのアクセスログを残すことです。
問題が起こった場合にも原因特定が行えるようにします。
2つ目は、データへのアクセス制御の実施です。
USBメモリへのコピーなどを防ぎ、外部流出を防止します。
3つ目は不正ソフトウェア対策です。
新たなソフトウェアの利用を制御し、情報漏えいを防止します。
当然ながら、攻撃は脆弱性のある部分を突いてきますので、ウイルス対策ソフトウェアを導入し、OSやアプリケーションのバージョンを常に最新状態に保つことも重要です。
最低限、個人情報が保存されている端末にはこれら3つの対策とウイルス対策ソフトやアプリケーションのバージョン管理は必須です。
他に、社内環境や体制の見直し、社員教育も必要です。
これを機に個人情報の扱いと情報セキュリティ対策について、見直してみることをお薦めします。
コメントをお書きください