個人情報保護法の改正ポイントと中小企業のIT対応チェックリスト
「個人情報保護法の対応は大企業の話」と思っていませんか。実は従業員数十人規模の中小企業であっても、顧客情報や従業員情報を扱う以上、個人情報保護法の義務は等しく適用されます。
本記事では、直近の改正で中小企業に影響の大きいポイントを整理し、IT環境で具体的に何を対応すべきかをチェックリスト形式で解説します。
中小企業に影響が大きい改正ポイント
漏洩等報告の義務化
2022年4月の改正で、一定の要件に該当する個人データの漏洩が発生した場合、個人情報保護委員会への報告と本人への通知が義務化されました。「1,000人以上のデータが漏洩した場合」だけでなく、不正アクセスや要配慮個人情報の漏洩は件数を問わず報告義務が生じます。
ランサムウェア感染で顧客データが暗号化された場合も「漏洩のおそれ」として報告義務の対象になりえます。速報は事態を知った日から3〜5日以内、確報は30日以内(不正目的は60日以内)に提出する必要があります。
安全管理措置の具体化
個人データを取り扱う事業者には「安全管理措置」を講じる義務があり、組織的・人的・物理的・技術的の4つの側面から対策が求められます。中小企業であっても、取り扱う個人データの量と質に応じた措置を講じる必要があります。
越境移転規制の強化
海外のクラウドサービスに個人データを保管する場合、移転先の国における個人情報保護の制度を確認する義務があります。グローバル展開しているSaaSを利用する場合も注意が必要です。
IT環境での対応チェックリスト
アクセス制御
- 個人データを含むシステムへのアクセスを業務上必要な者に限定している
- 個人データへのアクセス権限を定期的に見直している
- 退職者のアカウントを即日で削除するフローがある
- 共有IDを使用せず、個人ごとにIDを発行している
データ保護
- 個人データを含むファイルやデータベースを暗号化している
- ノートPCのディスク暗号化(BitLocker等)を有効にしている
- USBメモリ等の外部記録媒体の利用を制限している
- 不要になった個人データを適切に削除する手順がある
ネットワーク・システム
- ファイアウォール / UTMを導入し、不正アクセスを防止している
- ウイルス対策ソフトを全端末に導入し、最新状態を維持している
- OSやソフトウェアのセキュリティアップデートを定期的に適用している
- VPN装置のファームウェアを最新の状態に保っている
監視・記録
- 個人データへのアクセスログを取得・保管している
- ログを定期的に確認し、不審なアクセスがないか監視している
- ログの保管期間を定めている(推奨: 1年以上)
組織・体制
- 個人情報の取り扱いに関する社内規程を策定している
- 従業員に対して個人情報保護に関する教育を実施している
- 漏洩等が発生した場合の報告・通知手順を定めている
- 委託先(クラウドサービス含む)との間で個人データの取り扱いに関する契約を締結している
対応のコストと優先順位
すべてを一度に対応するのは現実的ではありません。まずは以下の3つを優先しましょう。
- 漏洩時の報告体制の整備: 報告義務を果たせないこと自体がリスクです
- アクセス権限の棚卸し: 退職者のアカウント放置は最も多い「穴」です
- 端末のディスク暗号化: 紛失・盗難時のリスクを大幅に軽減できます
IT専任者がいない企業では、これらの対策を外部の専門家と協力して進めるのが効率的です。情シス365では、個人情報保護法に対応したIT環境の整備を月額18万円〜の定額制で支援しています。60分無料相談をご活用ください。