改正個人情報保護法が2020年6月5日に成立、12日に公布されました。
2年以内に施行されることになります。
今回の改正では、リクルートキャリアによる内定辞退率の外部提供の問題を受け、規制を強化する面が強くなっています。
改正のポイントとしては、
- 個人データの利用停止を本人が企業に請求する利用停止権
- Webサイトの閲覧履歴を記録をしたCookie(クッキー)を個人と照合して利用する第三者に提供する場合に本人への同意を義務付け
- 罰金の上限を1億円に引き上げ
- 個人を識別できないようにした「仮名加工情報」の場合、条件付きで利用停止請求の対象外とする
などが挙げられます。
2点目のクッキーに関してですが、日本の個人情報保護法は、クッキーを個人情報とは見做しておらず、そのため他の情報と照合して個人が特定できるケースを想定しています。
この点がEUのGDPR(一般データ保護規則(General Data Protection Regulation))やカリフォルニア州消費者プライバシー法(California Consumer Privacy Act)とは異なります。
サイバー攻撃により個人情報が流出した場合には、今回の改正法では、「個人の権利に害を与える恐れが大きい場合」には個人の通知義務を負うことになります。
2022年春を目途にすべからく個人への通知義務及び個人情報保護委員会への通知義務が発生することになる方向です。
違反した場合には最高で1億円の罰金、悪質な場合は社名の公表もあります。
このような情報資産に対するセキュリティ対策はすぐに実践するのは難しく、時間を掛けて取り組んでいく必要があります。
当サイトでも中小企業のセキュリティ対策について紹介していますので、参考にしてみてください。