なにが変わる？「改正個人情報保護法」

A1.一定の基準を満たす個人情報の漏えい(→Q2)が発生した際の義務や罰金が変わります。

具体的には、

個人情報保護委員会への報告義務化。

漏えい被害者本人への通知義務化。

罰金刑の引き上げ(個人情報保護委員会の命令や委員会への虚偽報告等)

の3点となります。

A2.下記のいずれかに該当する場合を指します。

要配慮個人情報(医療情報・犯罪歴等)の漏えい、滅失若しくは毀損

Ex1.)従業員の健康診断等の結果を含む個人データの流出
Ex2.)診断情報や調剤情報を含む個人データを記録したUSBメモリの紛失

財産的被害が発生するおそれがある場合

Ex3.)クレジットカード情報の漏えい
Ex4.)送金や決済機能のあるWebサイトのログインIDとPWの組み合わせの漏えい

不正な目的を以って行われた恐れがあるもの

Ex5.)外部からのサイバー攻撃による漏えい
Ex6.)従業員が顧客の個人データを不正に持ち出して第三者に提供した場合

漏えい被害者が1000人を超える場合

Ex7.)システムの設定ミスや、個人データのご送付等により、1000人超の個人情報が漏えいした場合

A3.情報漏えいが発生した場合、まずは報告対象事由に該当するか否かの判断が必要となります。
また、その判断を素早く行い、迅速な対応にあたるための体制や仕組みの策定、業務フローの見直しなども必要となるでしょう。

A4. 個人情報保護委員会への報告、被害者への通知のために、
以下のような一定の対応と費用が生じる可能性があります。
→専門事業者や弁護士への相談、漏えい被害者への対応
→フォレンジック費用ならびに被害者への見舞い費用
具体的には、下記の3点が工数または費用として発生します。

個人情報保護委員会への報告(義務化)

報告方法

・個人情報保護委員会HPの報告フォームを使用

報告内容

・概要、漏えいした個人データの項目、被害者数、原因、二次被害またはその恐れの有無
・本人への対応の実施状況、公表実施の有無、再発防止措置、その他参考情報
※速報(事由発生から約3～5日以内)と確報(事由発生から30日以内、不正目的の場合には60日以内)の2段階の報告が必要

想定される対応

・インシデント対応、再発防止策策定のための専門事業者との連携
・原因調査被害範囲の特定のためのフォレンジック調査
・報告対象有無の確認や報告フォーム作成のための弁護士相談

漏えい対象となった被害者本人への通知(義務化)

通知方法

・法令上規定されている様式はありません。 通知するべき内容が「分かりやすく」伝わる方法を選択します。(例：文書、メール)

通知内容

・概要、漏えいした個人データの項目、原因、二次被害及びその恐れの有無

想定される対応

・被害者からの問い合わせ対応(コールセンター委託費用、超過人件費等)
・漏えい被害者の名前、連絡先の特定
・通知文書作成における弁護士への相談

罰金刑(引き上げ)

個人情報保護委員会の定める所定の命令に応じない場合や個人情報の不正提供が発覚した場合、最高1億円の罰金が科されます。

A5. 具体的な被害者数や正確な時系列の取得にはログ管理ツールが有効です。

ログ管理ツールを導入することで、いつ・だれが・どのファイルにアクセスしていたかを分析することが可能となるため、何月何日何時何分から被害が発生したのか、被害の範囲がどこまで広がっているのを正確に測定することができます。

今すぐできるログ管理

操作ログ管理ソリューションの「MylogStar（マイログスター）」はお客様の用途に合わせた豊富なラインナップを用意しています。

例えば、管理サーバーの構築が難しい環境であれば、PC端末や重要データが保管されているファイルサーバーをピンポイントに管理することでログの取得が可能です。
例えば、迅速かつ手軽に導入することが必要であれば、管理サーバーも詳細設定も不要なクラウドサービスによるログの取得が可能です。

もちろん、いずれのサービスもログ管理に特化した製品としてPC操作の記録・管理・分析を行うことが可能です。