全3150文字
PR

 政府案では、一定数以上の情報漏洩であれば、原因や情報が機微かどうかを問わず、本人通知や報告を義務化している。個人情報委員会は「詳細は規則案などで公表する」(事務局)とするが、「一定数」は100件程度などの低い水準に置かれる可能性がある。

 小規模な情報漏洩は、個人情報を格納したパソコンや外部記憶媒体といった情報機器の紛失や置き忘れ、管理ミスによる遺失などでも頻発している。JNSAによる2018年の調査では、漏洩の主な原因は不正アクセスに並んで、紛失・置き忘れ、管理ミスが20%台で上位を占めた。報告義務の基準が低い水準に置かれれば、企業は不正アクセス以外にも情報機器管理のさらなる強化・徹底まで求められる。

情報漏洩の原因別件数
情報漏洩の原因別件数
(出所:日本ネットワークセキュリティ協会『2018年情報セキュリティインシデントに関する調査報告書【速報版】』)
[画像のクリックで拡大表示]

罰金は最高1億円に増額

 改正法は、法令違反に対する法人の罰則も強化した。現行法では法人への罰金額は個人と同じ最高30万円だが、改正法では最高1億円に引き上げられた。さらに悪質な場合は社名も公表するとした。

 一般に法人への罰金刑は、監督官庁が違反企業に対して法令順守の勧告や措置命令を出し、それでも改善がない場合に検討される。改正法でも「罰金刑は命令に従わないような悪質な企業に限られる」(渡辺弁護士)ものの、社名を公表されるリスクは個人情報を扱う全企業に及ぶ。

Cookie活用、新たに同意取り直しも必要に

 企業にとって注意すべきは、個人情報と同じように慎重に扱わなければいけないデータの範囲が広がることだ。利用目的を示した同意などが必要となる。

 例えば匿名で集めた閲覧・検索などネットの行動履歴や、匿名のアンケート調査結果などは、そのままでは個人情報には当たらないため、第三者提供などに際して本人の同意を取る義務はない。改正法で新設する漏洩報告の義務もない。

 しかし、改正法はこうした「個人情報は含まないものの個人に関わる情報」を「個人関連情報」と定義したうえで、本人に同意を取る必要があるケースを新たに設けた。それは自社が持つ個人情報とひも付けて使うことを前提に、第三者から個人関連情報を提供してもらう場合である。

 実際に、金融や物販など自社サイトで会員向けサービスを提供している企業は、会員ニーズを分析するために第三者から顧客関連情報を購入しているケースが多くある。Webブラウザーを識別する「Cookie」やIDなどを使い、外部サイトを含む会員のWeb閲覧履歴を個人情報にひも付けて分析し、会員それぞれに合った商品を推奨するなどの使い方だ。

 注意が必要なのは、同意を取る主体は個人関連情報を集めた企業でなく、個人関連情報を個人情報にひも付けて使う企業である点だ。また改正法は、個人関連情報を提供する企業に「提供先の企業が個人から同意を得ているか」を確認することを義務付ける。

 「第三者から提供を受けた個人関連情報を、自社の顧客の個人情報とひも付けて使っている企業は、新たに自社の顧客などから同意を取る必要がある」。渡辺弁護士はこう指摘する。

 個人関連情報を保護する背景にあるのが、2019年に明らかになった「リクナビ事件」である。リクルートキャリアが就職情報サイト「リクナビ」などで集めた学生のWeb閲覧履歴などから内定辞退率を予測し、そのデータを外部企業に提供していた事案である。リクルートキャリアが収集・分析した情報は匿名だったが、Cookieや独自IDなどを使い、提供先の外部企業が学生の氏名を含む個人情報と照合できるように設計していた。

 Cookieを使った企業間での個人に関わる情報のひも付けは、ネット広告や電子商取引などで広く使われている。マーケティング目的などで個人関連情報を使っている場合は、新たに個人からどう同意を取るかの検討を急ぐ必要がある。