Select Language : English 日本語

南北アメリカ

ブラジル: English / 日本語 / Português do Brasil
アメリカ: English

ヨーロッパ、中東、アフリカ(EMEA)

EMEA:
(ベルギー, フランス, ドイツ, オランダ, スペイン, アラブ首長国連邦, イギリス)
English / 日本語 / Español / Deutsch / Français
ロシア: English / 日本語 / русский

アジアパシフィック

日本(法人のお客さま): English / 日本語
日本(個人のお客さま): English / 日本語
オーストラリア(NTT Com ICT Solutions): English
中国本土: English / 日本語 / 簡體中文
香港/マカオ: English / 日本語 / 繁体中文 / 簡體中文
インド: English / 日本語
インドネシア: English
韓国: English / 日本語 / 한국어
マレーシア: English
フィリピン(DTSI): English
シンガポール: English / 日本語
台湾: English / 日本語 / 繁体中文
タイ: English / 日本語
ベトナム: English / 日本語

改正個人情報保護法、5月から全面施行!

ECサイトの運営で急成長するベンチャー企業でIT担当者として働くK.Mさんに、ある日突然社長からメールが飛んできた。「改正個人情報保護法が施行されるが、ウチは大丈夫なのか。調査して教えてくれ」という内容である。K.Mさんも気にはなっていたが、日々の業務に忙殺されてなかなか身動きが取れなかったのだ。しかし社長の命令ということもあり、さっそく個人情報保護法がどのように変わったのかを調査することにしたのだが...?

ここに注目

2005年から全面施行された「個人情報の保護に関する法律」、いわゆる個人情報保護法を全面的に見直した、「改正個人情報保護法」が2017年5月30日から施行されています。改正のポイントとしては、取り扱う個人情報が5,000件を超えない事業者に対する例外が撤廃されたこと、個人情報の定義が見直されたこと、そして刑事罰が設けられたことなどが挙げられます。個人情報を保有しているのであれば、これを機に改めて取り扱い方法について見直さなければなりません。

刑事罰が新たに盛り込まれた改正個人情報保護法

改正のポイントで見逃せないのは、取り扱う個人情報の件数が5,000件を超えない事業者であっても、「個人情報取扱事業者」に該当することになった点です。従来の個人情報保護法では、個人情報の取り扱い件数が5,000件を超えなければ個人情報取扱事業者に該当しないという例外があったため、これに当てはまれば安全管理措置などの義務を負う必要はありませんでした。しかし、この例外が改正個人情報保護法では撤廃されたため、これまで個人情報取扱事業者に当てはまらなかった企業でも、法律に則った形で個人情報を取り扱わなければなりません。

個人情報の定義も見直されています。従来は「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう」と定義されていました。改正個人情報保護法では、以前の内容に加え、DNAや虹彩など身体の一部の特長をデータ化した内容、あるいはサービスの利用者や個人に発行される書類などに割り当てられた文字や番号、符号などを「個人識別符号」と定義し、これが含まれるものを個人情報としています。

不正な利益を図ることを目的とした個人情報の提供や盗用に対し、1年以下の懲役または50万円以下の罰金を処するとした、データベース提供罪が新設されたことも見逃せません。もし内部不正などによって保有している個人情報が外部に持ち出されたなどといった事件が発生し、この処罰を受けることになれば大きなダメージを被ることになるでしょう。

安全管理措置を実施する上でのポイント

個人情報を取り扱う事業者に対し、安全管理措置の実施を求めているのは従来の個人情報保護法から変わりません。安全管理措置の具体的な内容は以下のようなものが挙げられます。

組織的安全管理措置 組織体制や規定の整備、事故や違反への対処など
物理的安全管理措置 入退室管理の実施や盗難の防止、機器や装置の物理的な保護など
人的安全管理措置 従業員との非開示契約の締結や個人情報保護に関する内部規定の周知徹底、教育など
技術的安全管理措置 アクセス制御や各種操作の記録、不正ソフトウェア対策、情報システムの監視など

個人情報の多くがITシステムに蓄積されていること、さらに標的型攻撃などによる個人情報漏えい事件が後を絶たないことを考えると、技術的安全管理措置は極めて重要でしょう。具体的な対策としては、ウイルス対策ソフトやファイアウォールをはじめとするセキュリティ機器の利用が考えられますが、単に導入しただけでは高度なサイバー攻撃から個人情報を守ることはできません。

たとえば標的型攻撃では、まず取引先や顧客を装ってマルウェアを添付したメールを送信します。このマルウェアに感染したパソコンを踏み台として使い、サーバーなどに不正にアクセスして個人情報を窃取するといった流れで攻撃が行われます。この際、メールに添付されたマルウェアをウイルス対策ソフトで検知できれば攻撃を防げますが、昨今ではウイルス対策ソフトで検知できないマルウェアが使われることが多く、それだけではサイバー攻撃を防げないケースが増加しているのです。

関連記事

建設業界の中堅企業で営業を担当しているY.Tさんは、繁忙期でバタバタしている時期に「パソコンがおかしいから見てくれ」と上司から急に呼び出された。パソコンに保存したファイルが開けず、さらに画面上に「ファイルを元に戻すなら金銭を支払え」と要求するメッセージが表示されるという。【続きを読む】

情報セキュリティ対策を考える際、「セキュリティに詳しい人材がいないから対策が進まない」などと考えてはいないでしょうか。それでは、いつまで経っても適切なセキュリティ対策を実施することはできません。【続きを読む】

企業が持つ機密情報、あるいは金銭を狙ったサイバー攻撃が多発し、多くの企業が被害を受けています。昨今のサイバー攻撃の実情を踏まえつつ、企業が実施すべきセキュリティ対策について考えていきます。【続きを読む】

特集コンテンツ

この記事が注目されています

このページのトップへ