LRMでは2021年9月16日(木)に、2022年4月の全面施行が予定されている改正個人情報保護法について解説する無料オンラインセミナーを開催しました。

LRM株式会社について

情報セキュリティと業務効率を両立する「Security Diet」という理念を掲げて情報セキュリティコンサルティング事業を提供。これまで2,000社を超える企業にISMS認証取得、プライバシーマーク取得をはじめとした情報セキュリティ体制構築支援コンサルティングをおこなってきた。

また、コンサルティングで培ったノウハウをもとに、情報セキュリティ関連サービス販売事業、セキュリオ事業もおこなっており、日本で一番身近な情報セキュリティ会社となるために日々活動中。

スピーカー

イベントの内容

アジェンダ

• 昨今の個人情報保護情勢
• 個人情報保護法 頻出用語の解説
• 個人情報保護法 改正点の解説

昨今の個人情報保護情勢

GDPR施行・ISO27701発行など、昨今の個人情報保護情勢を確認しました。また、改正個人情報保護法の公布・施行がどのような過程で決まったのか、時系列での解説もありました。

個人情報保護法 頻出用語の解説

個人情報保護法に頻出の下記のような用語について、それぞれの説明や、類似する用語の違いに関する解説がありました。

• 個人情報
• 個人データ
• 事業の継承
• 委託
• 第三者提供
• 共同利用

個人情報保護法 改正点の解説

用語の確認が終わると、実際に改正点の解説が始まりました。改正点を10個のポイントに分けて、それぞれ順番に説明がありました。

10個のポイント

• 「保有個人データ」の定義が一部拡大
• 仮名加工情報という概念の新設
• 不適正な利用の禁止
• 個人データが漏えいした際の報告義務等
• オプトアウトにより第三者提供できる個人データを制限
• オプトアウトによる第三者提供の際の届出事項の強化
• 個人関連情報の第三者提供の制限等
• 本人への保有個人データ「開示」方法
• 利用停止の請求等の対象範囲の拡大
• 特定の違反行為に対する罰則の強化

特に「個人データが漏えいした際の報告義務等」「個人関連情報の第三者提供の制限等」といったトピックはかなり時間を割いての説明がおこなわれ、視聴者様からも質問がとんでいました。

質問への回答

視聴者様からはイベント中にいくつか質問をいただきましたが、お時間の都合上、イベント中の回答が叶いませんでした。そのため、以下にていただいたご質問に回答してまいります。

個人データの件数定義を教えてください。体系的にまとめている場合、2人の個人情報でも個人データになるのでしょうか？

2人の個人情報だけでも個人データに該当します。2人分の個人データという考え方になります。

当社のホームページは「委託先のサーバー上」にHTMLファイルを配置している。ホームページの閲覧履歴は、HTML内のタグによって当社のデータベースに直接記録される。この閲覧履歴は、当社のインターネットバンキングにログイン済みの方の場合、個人を特定することが可能。このケースでは委託先から当社に対して「個人関連情報を第三者に“提供“」したことに当たるのか？

そのケースですと、「個人関連情報を第三者に提供」していることに当たります。そのため、自社が本人に対して同意を得て、また委託先がその旨を確認する必要があります。

現行法では、第二十三条にて「個人データの提供の場合は、委託先は第三者にあたらない」と明記されている。一方で、「個人関連情報の第三者提供」については、改正法の条文には「委託先は第三者にあたらない」と明記されている箇所が見当たらない。「個人関連情報の第三者提供」における「第三者」の解釈は、現行法と同様の解釈が可能か？現行法「個人データの第三者提供」の第三者と改正法「個人関連情報の第三者提供」の第三者がもし異なるのであれば、どの条文に書かれているか？

ご認識の通り、ガイドラインに現行法と異なるという記載は特に見当たらないので、法律を読む限りは現行法と同様の解釈と考えられます。

イベントについては以上となります。

改正法は2021年4月に完全施行される予定です。それまでに対応を順次進めていきましょう。
もし「法改正への対応の相談に乗って欲しい」「これを機に個人情報保護体制を整備したい」といったご要望がございましたら、ぜひLRMにご相談くださいませ！