企業が押さえるべき改正個人情報保護法のポイント

2022年4月より全面施行される改正個人情報保護法のポイントは以下の5点です。

参考：個人情報の保護に関する法律等の一部を改正する法律（概要）
https://www.ppc.go.jp/files/pdf/200612_gaiyou.pdf

「②漏えい等報告・本人通知の義務化」と「⑤法定刑の引き上げ」については、特に企業が認識すべきポイントです。個人情報漏洩が発生した場合に、金銭的な損害を生むだけでなく企業イメージの低下といった大きな影響があります。

では、実際に企業はどのような対策を取るべきなのでしょうか。

情報漏洩が想定される３つの場面と有効なソリューション

場面①共有サーバーやローカルフォルダでの個人情報ファイル保管

個人情報ファイルはサイバー攻撃などの外部脅威やヒューマンエラー、内部不正によっていつでも流出する危険があります。そのため、ファイルが流出しても中身の情報を読み取られないようにしておくことが重要です。

ALSIのファイル暗号化ソフト「InterSafe FileProtection」は、ファイル保存時に自動で暗号化するため、社員が意識することなく安全な状態を維持。ファイルが流出しても中身を読み取られる心配はありません。また、改正法では「漏えい等報告・本人通知の義務化」が挙げられていますが、個人情報保護委員会のガイドラインでは、「高度な暗号化等の秘匿化がされている場合」は個人情報が漏洩していないと判断され、報告を要さないとされています。InterSafe FileProtectionは電子政府が推奨するAES256bit形式の高度な暗号化技術を採用しており、万一の際も安心です。

さらに、個人情報検出オプション「InterSafe PIS」と連携することで、ファイルサーバーやクライアント端末に保管された個人情報ファイルを漏れなくチェックし暗号化。属人的な個人情報チェック作業をシステム化することで工数削減にも貢献します。

参考：
個人データの漏えい等の事案が発生した場合等の対応について
https://www.ppc.go.jp/files/pdf/iinkaikokuzi01.pdf
「個人情報の保護に関する法律についてのガイドライン」に関するＱ＆Ａ‐個人情報保護委員会‐（Q6-16参照）
https://www.ppc.go.jp/files/pdf/2109_APPI_QA_4ejj3t.pdf

場面②USBメモリへの個人情報ファイル書出し

USBメモリなどの外部デバイスの紛失による個人情報漏洩事故も後を絶ちません。中には社内規定で禁止されているにもかかわらず、外部デバイスに書き出した結果、漏洩につながった事故もあります。罰則規定がより厳しくなった今、社内のルール設定だけでなく、外部デバイス利用を管理する仕組みが必要です。

ALSIの外部デバイス制御ソフト「InterSafe DeviceControl」と承認申請ワークフロー「InterSafe WorkFlow」を利用することで、利用できるデバイスをきめ細かに制御し、ファイル書き出しを行う際には申請承認によって管理できます。さらに、「InterSafe PIS」と連携することで、書き出し申請を行う際にファイル内の個人情報の有無をチェック。個人情報があった場合は、管理者に承認を得ることで書き出しでき、なかった場合には自動で承認を行えるため、プロセスを簡略化することができます。

場面③ネットワーク分離環境でのファイル転送

自治体や教育、金融、医療などで行われているネットワーク分離環境では、ファイル転送が欠かせません。その際に誤って個人情報を含んだファイルを外部接続ネットワークに転送してしまい、ファイルが流出するリスクがあります。外部デバイス同様にファイル転送時のファイル管理を適切に行うことは重要です。

ALSIのファイル転送システム「InterSafe FileTransporter」では、ブラウザにアップロード/ダウンロードするだけで簡単に受け渡しができます。転送したファイルは原本保管されるため、流出事故が発生した際に証跡管理ができます。さらに「InterSafe PIS」と連携することで、外部接続ネットワークへの転送時にファイルの個人情報有無をチェックし、不用意な個人情報ファイルの持ち出しを防止します。