概要
2023年9月14日に、個人情報保護法ガイドライン等の意見募集案が公開されました。改正が予定されているのは、施行規則、ガイドライン(通則編、第三者提供時の確認・記録義務編、行政機関等編、外国にある第三者への提供編)です。
意見募集は10月13日に締め切られ、12月27日の結果が公示され、2024年4月1日から施行されます。詳細はこちらをご確認ください。
改正のポイント
細かな改正点はありますが、ガイドライン(通則編)における、事故報告、安全管理措置の対象が変更になった点を理解するとポイントを掴むことができます。
現行のガイドラインにおいて、個人情報保護委員会への事故報告や安全管理措置の対象は「個人データ」に限定されています。つまり個人情報であっても、「個人データ」とは、「個人情報」を容易に検索することができるように体系的にまとめた「個人情報データベース等」を構成する「個人情報」を指しており、該当しない「個人情報」については、事故報告や安全管理措置の対象にはなりません。
3-5 個人データの漏えい等の報告等(法第 26 条関係)の内容を見てみましょう。同条第 3 号に規定する「個人データ」には、「当該個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、個人デ ータとして取り扱われることが予定されているもの」が含まれる。
図のように、まだ「個人データになっていない個人情報」ですが、将来「個人情報データベース等」に格納される予定の個人情報が対象になります。
例えば、名刺管理システムを利用している企業があったとします。その企業の社員が名刺交換した名刺を名刺入れに入れていました。名刺入れの中にある個人情報は個人データに該当しません。例えば、この名刺入れが第三者に盗まれてしまったとします。
このケースは「不正の目的をもって行われたおそれがある」に該当しますが、現行ガイドラインでは個人データに該当しないため、委員会報告は不要です。ところが、この名刺は、名刺管理システムに登録されることが予定されているため、「個人デ ータとして取り扱われることが予定されているもの」に該当してしまうため、改正案においては、委員会報告義務が発生します。
この考え方は、 3-4-2 安全管理措置(法第 23 条関係)にも適用されるため、 「個人デ ータとして取り扱われることが予定されている」個人情報が安全管理措置義務の対象になります。
今回の範囲の拡大は、いわゆるウェブスキミングや既に漏洩した認証情報を利用した不正ログインなどを意識していたのでしょうか。特にウェブスキミング対策については、安全管理措置の実施例の1つとして新たに追加されています。なお、ウェブスキミングとは下記のような手法の個人情報の搾取方法です。
引用:https://cybersecurity-jp.com/column/41663
ガイドラインには事例として下記を記載しています。
個人情報取扱事業者のウェブサイトの入力ページが第三者に改ざ んされ、ユーザーが当該ページに入力した個人情報が、当該第三者に送信された場合であり、かつ、当該個人情報取扱事業者が、当該 ページに入力される個人情報を個人情報データベース等へ入力する ことを予定していたとき
つまり、今回の改正により、ウェブスキミング対策(基本的にはウェブサイトが改善されないように、必要な対策を講じることになりますが)を実施せよ、という安全管理義務が追加したと読むこともできます。
