2σ Guide

2022年改正個人情報保護法の
実務影響

企業法務、コンプライアンス、情報セキュリティ、内部監査、マーケティング、人事、M&Aの視点から、改正後に企業が整えるべきデータガバナンスを整理します。

2022年4月 全面施行の基準日
3〜5日 漏えい速報の目安
7領域 主要な実務影響
本ページは株式会社Dプロフェッションズ(医師/医療機関/弁護士/弁護士法人ではありません)が運営しています。
一般的な情報提供を目的としており医療上の助言や法律相談等を行うものではありません。
広告(PR)を掲載しています。広告は編集内容や推奨を意味しません。
Video

2022年改正個人情報保護法の 実務影響

まず重要な改正論点と企業対応の広がりを整理します

動画を読み込み中…
2σ GUIDE ・ VIDEO
2022年改正個人情報保護法の 実務影響
まず重要な改正論点と企業対応の広がりを整理します
動画の文字起こし(全文テキスト)

2σ GUIDE ・ VIDEO

  • 2022年改正個人情報保護法の 実務影響
  • まず重要な改正論点と企業対応の広がりを整理します

POINT 1

  • 2022年改正個人情報保護法の実務影響を全体像からつかむ
  • まず重要な改正論点と企業対応の広がりを整理します
  • 次の比較一覧は、改正後に企業で重要性が増した実務領域を整理したものです。

POINT 2

  • 2022年改正個人情報保護法の用語と射程を正確に分ける
  • 令和2年改正、令和3年改正、主要用語、提供類型を整理します
  • 個人情報
  • 個人データ
  • 保有個人データ

POINT 3

  • 2022年改正個人情報保護法対応を運用監査へつなげる
  • 1. 取得と利用目的管理:取得項目、取得方法、利用目的、同意や公表の根拠を整理します。
  • 2. 保管とアクセス制御:保管システム、権限、ログ、暗号化、バックアップ、保存期間を管理します。
  • 3. 委託・第三者提供・越境移転:委託先、提供先、海外アクセス、契約、本人向け説明を台帳で追跡します。
  • 4. 本人請求・漏えい対応:受付、本人確認、報告・通知、広報、証拠保全を横断チームで実行します。
  • 5. 廃棄・監査・改善:削除、返還、バックアップの扱い、監査指摘、規程改訂を継続します。

POINT 4

  • 2022年改正個人情報保護法で漏えい対応と本人請求が実務化する
  • 1. 事実確認、拡大防止、証拠保全:IT・セキュリティがログ、端末、媒体、クラウド設定を保全し、初期情報を法務へ共有します。
  • 2. インシデントチーム招集:法務、CISO、広報、顧客対応、経営、委託先を集め、報告対象性と本人対応を並行検討します。
  • 3. 速報準備:漏えい項目、人数、原因、被害可能性、再発防止の初期方針を整理します。
  • 4. 速報提出:不明点は不明として扱い、追加調査を継続する前提で報告します。
  • 5. 確報提出:原因分析、影響範囲、再発防止策、本人通知状況を整理します。
  • 6. 悪意ある事案の確報:サイバー攻撃、内部不正、持出しなどでは長期調査を見込みます。

POINT 5

  • 2022年改正個人情報保護法と越境移転・Cookie対応
  • 公表事項、海外SaaS、個人関連情報、外部送信を一体で見直します
  • プライバシーポリシーだけでなく、実際のシステム、タグ、委託先、海外アクセスと整合させる必要があります。
  • 国名、契約、本人向け説明、継続確認を分けて読むと、海外SaaSやグループ会社利用の確認漏れを防ぎやすくなります。
  • 次の確認一覧は、Cookie、広告ID、端末ID、閲覧履歴などを扱うマーケティング実務で見るべき項目です。

POINT 6

  • 2022年改正個人情報保護法でデータ利活用と委託契約を見直す
  • 違法または不当な利用
  • プロファイリングとAI
  • 採用、与信、保険、価格差別などに個人データを使う場合、説明可能性、差別、脆弱な個人への影響を確認します。

POINT 7

  • 2022年改正個人情報保護法の実務影響をM&A・労務・業種別に確認する
  • 経営、監査、買収、業種別リスクに落とし込みます
  • 金融・保険
  • 医療・ヘルスケア
  • IT・AI・プラットフォーム

POINT 8

  • 2022年改正個人情報保護法の実務対応ロードマップ
  • 1. 現状把握
  • 2. リスク評価:要配慮情報、金融情報、未成年者情報、位置情報、委託先、海外移転、広告連携の優先度を評価します。
  • 3. 文書整備:プライバシーポリシー、規程、本人請求マニュアル、DPA、共同利用、外国移転、Cookie関連文書を整えます。
  • 4. 運用実装:アクセス権限、ログ、暗号化、委託先審査、本人請求窓口、漏えい訓練、タグ管理を実装します。
  • 5. 監査・改善:内部監査、事故・苦情・請求の分析、委託先と海外移転の継続確認、法令更新の反映を行います。

まとめ

  • 2022年改正個人情報保護法の 実務影響
  • 2022年改正個人情報保護法の実務影響を全体像からつかむ:まず重要な改正論点と企業対応の広がりを整理します
  • 2022年改正個人情報保護法の用語と射程を正確に分ける:令和2年改正、令和3年改正、主要用語、提供類型を整理します
  • 2022年改正個人情報保護法対応を運用監査へつなげる:データライフサイクル、部門連携、規程・台帳を実装単位で整理します
  • 本動画は一般的な情報提供であり、法律上の助言ではありません。記載の数値・金額・期間は目安です。個別事情で結論は変わります。
Overview

2022年改正個人情報保護法の実務影響を全体像からつかむ

まず重要な改正論点と企業対応の広がりを整理します

2022年改正個人情報保護法の実務影響は、プライバシーポリシーを置く静的な対応から、取得、利用、保管、提供、委託、越境移転、漏えい対応、本人請求、廃棄、監査までを継続的に管理するデータガバナンスへ移った点にあります。

次の比較一覧は、改正後に企業で重要性が増した実務領域を整理したものです。法務だけでなく、IT、セキュリティ、マーケティング、人事、内部監査がどこで関わるかを読み取ると、対応範囲の広さが把握しやすくなります。

実務領域重要性が増した論点企業で必要になる対応
漏えい等対応報告・本人通知の義務化インシデント対応規程、初動判断、PPC報告、本人通知、委託先連携を整えます。
本人請求開示、利用停止、消去、第三者提供記録への対応強化本人確認、受付窓口、回答の順番、証跡管理を制度化します。
公表事項保有個人データと安全管理措置の説明充実プライバシーポリシー、社内規程、問い合わせ対応を現行実態に合わせます。
越境移転外国第三者提供時の情報提供と継続確認海外委託先、クラウド、グループ会社、SaaSを棚卸しします。
個人関連情報Cookie、広告ID、端末ID、閲覧履歴等の提供規制広告、DMP、CDP、タグ管理、外部送信説明を見直します。
仮名加工情報内部分析・研究開発に使いやすい類型の整備加工基準、分離管理、目的管理、アクセス制御を設計します。
制裁・当局対応命令違反等の罰則強化、報告徴収、立入検査経営層報告、監査、内部統制、危機対応計画を用意します。
要点この改正は、単発の文書改訂では終わりません。データの流れ、委託先、海外移転、本人対応、漏えい時の初動を、平時から説明できる状態にしておくことが中心になります。
Section 01

2022年改正個人情報保護法の用語と射程を正確に分ける

令和2年改正、令和3年改正、主要用語、提供類型を整理します

2022年改正個人情報保護法の実務影響を正しく把握するには、令和2年改正法と令和3年改正法の射程を分けて理解することが重要です。同じ2022年4月1日でも、民間事業者の義務強化と、行政機関等を含む制度一元化の論点が重なります。

次の一覧は、企業法務が確認する文書群とその役割を示します。条文だけで判断するのではなく、ガイドライン、Q&A、業界ルール、契約、社内規程を組み合わせて読むことが、現場判断の精度を高めます。

文書実務上の意味
個人情報保護法本文義務、例外、制裁、本人の権利の根拠を確認します。
政令・規則報告事項、手続、詳細要件を確認します。
個人情報保護委員会ガイドライン当局解釈、実務運用、具体例を確認します。
Q&A現場で迷いやすい論点の補足を確認します。
業界ガイドライン・契約・社内規程業種別、会社別の実装ルールに落とし込みます。

次の用語一覧は、データ分類ごとに発生しやすい義務を整理したものです。名称が似ていても、第三者提供、委託先監督、本人請求、漏えい等報告の対象が変わるため、分類の違いを読み分けることが重要です。

TERM

個人情報

氏名、生年月日、連絡先、顔写真、音声、顧客ID、Cookie等と他情報の照合で特定個人を識別できる情報が含まれます。

TERM

個人データ

CRM、会員DB、人事システム、問い合わせ管理など、検索可能なデータベースを構成する個人情報です。

TERM

保有個人データ

事業者が開示、訂正、利用停止、消去、第三者提供停止などを行う権限を有する個人データです。

TERM

要配慮個人情報

病歴、健康診断結果、障害、犯罪歴など、不当な差別や不利益が生じないよう特に配慮が必要な情報です。

TERM

個人関連情報

Cookie ID、広告ID、閲覧履歴、位置情報など、提供先で個人データとして取得される可能性がある情報です。

TERM

仮名加工情報・匿名加工情報

仮名加工情報は再識別余地を管理する内部分析向けの制度で、匿名加工情報は復元できない加工を前提にします。

次の比較一覧は、社外に個人データが出る場合の代表的な整理を示します。本人同意、委託先監督、公表事項のどれが中心になるかを見極めるために、提供の名目ではなく実態を確認します。

類型典型例実務上のポイント
第三者提供顧客リストを別会社に販売・提供する場合原則として本人同意、記録、外国提供規制を確認します。
委託配送、給与計算、メール配信、クラウド運用を外部に任せる場合委託元による委託先監督、契約、再委託管理を整えます。
共同利用グループ会社間で共通顧客DBを利用する場合共同利用者、項目、利用目的、管理責任者などの公表を確認します。
Section 02

2022年改正個人情報保護法対応を運用監査へつなげる

データライフサイクル、部門連携、規程・台帳を実装単位で整理します

2022年改正個人情報保護法の実務影響は、文書を作るだけでなく、データのライフサイクル全体を監査できる状態にする点にあります。どの部署が何を管理するかを決めないと、本人請求や漏えい対応が属人的になります。

次の判断の順番は、取得から監査までのデータ管理を表します。順番には意味があり、前段の棚卸しや目的管理が弱いと、後段の本人対応、漏えい対応、削除、監査が遅れます。

データガバナンスの基本順序

取得と利用目的管理

取得項目、取得方法、利用目的、同意や公表の根拠を整理します。

保管とアクセス制御

保管システム、権限、ログ、暗号化、バックアップ、保存期間を管理します。

委託・第三者提供・越境移転

委託先、提供先、海外アクセス、契約、本人向け説明を台帳で追跡します。

本人請求・漏えい対応

受付、本人確認、報告・通知、広報、証拠保全を横断チームで実行します。

廃棄・監査・改善

削除、返還、バックアップの扱い、監査指摘、規程改訂を継続します。

次の役割一覧は、部門ごとの関与を示します。法務だけではシステム設定を把握しきれないため、各部門がどの情報を持ち寄るかを読み取ることが重要です。

LEGAL

法務部門

条文、ガイドライン、契約、本人同意文言、第三者提供、漏えい等報告の法的判断を担当します。

SECURITY

情報セキュリティ

アクセス制御、認証、ログ、暗号化、脆弱性管理、インシデント初動を担当します。

AUDIT

内部監査

規程どおりに台帳、委託先審査、本人請求、漏えい訓練が運用されているかを確認します。

BOARD

経営層

顧客信頼、事業継続、M&A価値、海外展開、AI活用の前提として個人情報リスクを監督します。

次の一覧は、整備すべき文書と主担当を示します。文書名だけでなく、どの運用リスクを下げるための資料かを読み取ると、優先順位を付けやすくなります。

文書目的主担当
個人情報保護規程全社ルールの基礎を定めます。法務・個人情報保護担当
個人データ取扱台帳データ項目、目的、保管場所、提供先を把握します。事業部・法務
委託先管理規程委託先選定、契約、監督、再委託管理を定めます。法務・購買・IT
越境移転台帳外国提供、クラウド、海外アクセスを管理します。法務・IT・海外法務
Cookie・外部送信台帳タグ、SDK、広告・分析ツールを管理します。マーケティング・IT・法務
本人請求対応マニュアル開示、訂正、削除、利用停止等の対応を標準化します。カスタマーサポート・法務
漏えい等対応規程インシデント初動、報告、通知、再発防止を定めます。セキュリティ・法務
データ利活用審査規程AI、分析、研究開発、仮名加工の審査を定めます。法務・データ部門
Section 03

2022年改正個人情報保護法で漏えい対応と本人請求が実務化する

速報、確報、本人通知、本人請求の運用を時系列で整理します

漏えい等報告・本人通知の義務化は、2022年改正個人情報保護法の実務影響の中でも特に大きい論点です。漏えいだけでなく、滅失、毀損、おそれまで含めて初動判断を行う必要があります。

次の一覧は、漏えい等の類型と典型例を整理したものです。名称ではなく、本人の権利利益を害するおそれ、要配慮情報、財産的被害、不正目的、人数規模を読み取ることが重要です。

類型意味
漏えい外部に流出することメール誤送信、サーバ侵害、USB紛失、クラウド設定ミスなどです。
滅失失われることバックアップ不備による顧客DB消失などです。
毀損内容が損なわれることランサムウェアによる暗号化、改ざん、破損などです。
おそれ漏えい等が確定していないが可能性がある状態不正アクセスログ、紛失媒体、権限誤設定などです。

次の時系列は、疑いを把握してから確報までに整理する対応を示します。期限の目安と担当部門を同時に見ることで、発覚直後に何を優先するかが分かります。

発覚直後

事実確認、拡大防止、証拠保全

IT・セキュリティがログ、端末、媒体、クラウド設定を保全し、初期情報を法務へ共有します。

数時間以内

インシデントチーム招集

法務、CISO、広報、顧客対応、経営、委託先を集め、報告対象性と本人対応を並行検討します。

1〜3日程度

速報準備

漏えい項目、人数、原因、被害可能性、再発防止の初期方針を整理します。

3〜5日以内目安

速報提出

不明点は不明として扱い、追加調査を継続する前提で報告します。

30日以内目安

確報提出

原因分析、影響範囲、再発防止策、本人通知状況を整理します。

60日以内目安

悪意ある事案の確報

サイバー攻撃、内部不正、持出しなどでは長期調査を見込みます。

本人請求対応では、受付から回答・記録までの順番を固定しておくことが重要です。次の一覧は、遅延や過剰取得を避けるために各ステップで何を確認するかを示します。

ステップ実務対応注意点
受付Webフォーム、メール、郵送、窓口で受け付けます。請求種別を分類します。
本人確認ID、登録情報、二要素認証、代理権確認を行います。過剰な本人確認データ取得に注意します。
対象データ特定システム、部署、委託先、ログを確認します。データマップがないと遅延します。
法的判断開示可否、除外情報、第三者情報を検討します。営業秘密、第三者の権利侵害、業務支障を検討します。
回答作成形式、理由、手数料、期限管理を整理します。不開示・一部不開示では理由説明が重要です。
実行訂正、利用停止、削除、提供停止を反映します。システム反映、委託先反映、証跡保存が必要です。
記録対応履歴を保存します。後日の紛争や当局対応に備えます。
注意委託先事故でも、委託元の監督責任や報告・本人通知対応が問題になる場合があります。事故通知、調査協力、再委託先事故、費用負担、再発防止を契約で具体化しておくことが重要です。
Section 04

2022年改正個人情報保護法と越境移転・Cookie対応

公表事項、海外SaaS、個人関連情報、外部送信を一体で見直します

公表事項、越境移転、Cookie・個人関連情報は、2022年改正個人情報保護法の実務影響が文書・契約・広告運用へ広がる代表領域です。プライバシーポリシーだけでなく、実際のシステム、タグ、委託先、海外アクセスと整合させる必要があります。

次の一覧は、プライバシーポリシーに反映すべき主要項目を示します。列ごとに、何を説明するかだけでなく、実態と一致しているかを読み取ることが重要です。

項目実務上の記載ポイント
取得する情報氏名、連絡先、決済情報、端末情報、Cookie、ログ、位置情報等をサービスごとに整理します。
利用目的抽象的すぎず、将来利用も見据えて合理的範囲で記載します。
第三者提供提供先類型、提供目的、提供項目、同意取得方法を明確にします。
委託委託する業務の類型、委託先監督の考え方を説明します。
共同利用共同利用者、項目、目的、管理責任者を明示します。
越境移転外国にある第三者への提供、外国制度情報、継続的措置を整理します。
安全管理措置組織的、人的、物理的、技術的措置の概要を説明します。
Cookie・広告個人関連情報、同意管理、オプトアウト方法、外部送信を説明します。
本人請求開示、訂正、利用停止、消去、第三者提供停止等の手続を示します。

次の一覧は、越境移転を管理するために整備する資料を示します。国名、契約、本人向け説明、継続確認を分けて読むと、海外SaaSやグループ会社利用の確認漏れを防ぎやすくなります。

資料内容
越境移転台帳提供先、国・地域、データ項目、目的、法的根拠、契約の有無を記録します。
外国制度確認メモ提供先国の個人情報保護制度、公的アクセス、本人権利、規制当局等を確認します。
契約・DPA目的外利用禁止、安全管理、再委託、監査、漏えい通知、削除、越境再移転を定めます。
継続確認記録提供先の体制、法令変更、認証、監査結果、インシデント履歴を確認します。
本人向け説明プライバシーポリシー、同意画面、問い合わせ回答を実態に合わせます。

次の確認一覧は、Cookie、広告ID、端末ID、閲覧履歴などを扱うマーケティング実務で見るべき項目です。送信情報と送信先での利用を同時に見ることで、個人関連情報の第三者提供や外部送信規律の論点を把握できます。

確認事項具体的な問い
タグ・SDKどの外部タグ、SDK、ピクセル、計測ツールを設置しているかを確認します。
送信情報Cookie ID、広告ID、IPアドレス、閲覧URL、購買情報、会員ID等が送信されるかを確認します。
送信先広告事業者、解析事業者、SNS、アフィリエイト、CDP、DMPを確認します。
送信目的広告配信、効果測定、アクセス解析、レコメンド、プロファイリングかを確認します。
提供先での利用提供先が個人データとして取得・突合することが想定されるかを確認します。
同意・通知同意管理、Cookie表示、外部送信規律、プライバシーポリシー記載を確認します。
契約提供先の利用目的、再提供、越境移転、削除、監査、責任分担を確認します。
Section 05

2022年改正個人情報保護法でデータ利活用と委託契約を見直す

仮名加工情報、不適正利用、委託先管理、AI利用を整理します

仮名加工情報、不適正利用の禁止、委託先管理は、データ利活用を続ける企業にとって重要な論点です。匿名化したつもりで外部提供する、委託先が自社目的で利用する、AI学習に流用する、といった場面では特に慎重な整理が必要です。

次の比較一覧は、仮名加工情報と匿名加工情報の違いを示します。再識別可能性と主な利用場面を分けて読むと、内部分析向けか外部提供向けかを判断しやすくなります。

比較項目仮名加工情報匿名加工情報
再識別可能性他の情報と照合すれば識別可能な余地があります。復元できないよう加工することが前提です。
主な利用場面社内分析、研究開発、目的変更の柔軟化です。統計、外部提供、データ販売、研究です。
管理の中心対応表・削除情報の分離管理です。加工基準、識別行為禁止、公表です。
法務リスク匿名化したと誤認して外部提供することです。加工が不十分で再識別されることです。

次の一覧は、仮名加工情報が有用になりやすい場面を示します。活用例だけでなく、各行の注意点を読むことで、再識別、要配慮情報、目的外利用のリスクを確認できます。

場面活用例注意点
商品改善氏名を削除し購買履歴を分析します。少数データで再識別されないか確認します。
医療・ヘルスケア患者IDを置換して傾向分析します。要配慮情報、倫理審査、契約を確認します。
不正検知利用ログを仮名化して異常検知します。元データとの対応表を厳格管理します。
AI開発学習・検証データから直接識別子を削除します。生成結果からの再識別、目的外利用に注意します。
人事分析社員番号を置換して離職傾向分析します。労務、ハラスメント、評価情報との関係に注意します。

次の確認一覧は、委託契約で個人情報条項を整える際の視点を示します。漏えい通知、再委託、越境移転、AI利用の有無を同時に確認することで、委託先事故や目的外利用のリスクを下げられます。

条項確認ポイント
取扱目的委託業務の範囲を超えた利用を禁止しているかを確認します。
データ項目取り扱う個人データの種類・範囲が明確かを確認します。
安全管理措置組織的・人的・物理的・技術的措置が定められているかを確認します。
再委託事前承諾、再委託先監督、再委託先一覧があるかを確認します。
漏えい通知何時間以内に、どの事項を通知するかを確認します。
越境移転保存国、アクセス国、外国制度、再移転の管理を確認します。
データ返還・削除契約終了時の返還、削除証明、バックアップ削除を確認します。
統計・AI利用委託先が自社目的で利用しないか、学習利用を禁止するかを確認します。

次の要注意項目は、不適正利用やデータ倫理の観点から検討すべき場面を示します。形式的な同意や利用目的だけでなく、本人の合理的期待や差別・不利益のリスクを読み取ることが重要です。

違法または不当な利用

違法に取得された名簿、本人を欺く取得、詐欺やなりすましを助長するデータ提供は、形式的な契約があっても重大なリスクになります。

プロファイリングとAI

採用、与信、保険、価格差別などに個人データを使う場合、説明可能性、差別、脆弱な個人への影響を確認します。

委託先の独自利用

委託先が複数委託元のデータを突合して自社分析に使う場合、委託の範囲を超える可能性があります。

Section 06

2022年改正個人情報保護法の実務影響をM&A・労務・業種別に確認する

経営、監査、買収、業種別リスクに落とし込みます

M&A、労務、人事、業種別対応は、2022年改正個人情報保護法の実務影響が経営判断へつながる場面です。漏えい履歴、Cookie管理、越境移転、本人請求の運用不備は、買収価格、補償、監査指摘、役員責任にも影響し得ます。

次の一覧は、M&Aデューデリジェンスで確認する領域を示します。対象会社の文書だけでなく、実データ、タグ、委託先、過去事故、監査結果を合わせて読むことが重要です。

領域確認事項
データ台帳顧客、従業員、取引先、会員、ユーザー、患者、求職者等のデータ分類を確認します。
利用目的現在の利用が公表済み利用目的の範囲内かを確認します。
同意第三者提供、越境移転、広告利用、要配慮情報取得の同意記録を確認します。
漏えい過去の事故、当局報告、本人通知、再発防止策を確認します。
委託主要ベンダー、DPA、再委託、クラウド、SaaSを確認します。
Cookieタグ、SDK、広告事業者、外部送信、個人関連情報を確認します。
本人請求開示、削除、利用停止請求の件数と対応履歴を確認します。
監査内部監査、脆弱性診断、認証、是正状況を確認します。

次の分野別一覧は、業種によって重くなる論点を示します。扱う情報の性質と、漏えい時の被害可能性を読み取ることで、監査や教育の重点を決めやすくなります。

SECTOR

金融・保険

本人確認、与信、取引履歴、金融資産、保険金支払、健康情報など、財産的被害や金融規制との関係が重要です。

SECTOR

医療・ヘルスケア

病歴、検査結果、服薬、遺伝情報、健康アプリデータなど、要配慮性の高い情報を慎重に管理します。

SECTOR

IT・AI・プラットフォーム

ログ、Cookie、広告ID、端末情報、投稿情報、AI学習データについて、目的、越境移転、再識別を確認します。

SECTOR

小売・EC

購買履歴、配送先、決済情報、レコメンド、広告連携、返品・不正注文対策を整理します。

SECTOR

不動産・建設

入居者情報、保証人情報、反社チェック、監視カメラ、現場入場者情報などを委託・第三者提供と合わせて管理します。

SECTOR

教育・研究

学生・生徒情報、成績、学習ログ、未成年者データ、共同研究契約、倫理審査を確認します。

次の重要ポイントは、役員会で確認したい問いをまとめたものです。詳細なシステム設定ではなく、体制、期限、重大リスクの報告経路を読み取ることが狙いです。

役員会で確認する中心質問

当社は、誰の、どの個人データを、どの目的で、どの法的根拠・同意・契約に基づき、どの部署が、どの委託先・第三者・外国事業者と関係しながら、いつまで保有し、請求や漏えい時にどう対応するかを説明できる状態にしておく必要があります。

Section 07

2022年改正個人情報保護法の実務対応ロードマップ

現状把握、文書整備、運用実装、監査改善まで段階化します

2022年改正個人情報保護法の実務対応は、一度で完成させるよりも、現状把握から監査・改善まで段階化すると進めやすくなります。中小企業やスタートアップでは、データ所在、漏えい連絡体制、主要委託先契約から優先するのが現実的です。

次の時系列は、実務対応の進め方を示します。前の段階で得た情報が次の段階の判断材料になるため、順番を飛ばさずに読み取ることが重要です。

Phase 1

現状把握

データ台帳を作り、個人データ、要配慮個人情報、個人関連情報、システム、委託先、海外移転、Cookieタグを棚卸しします。

Phase 2

リスク評価

要配慮情報、金融情報、未成年者情報、位置情報、委託先、海外移転、広告連携の優先度を評価します。

Phase 3

文書整備

プライバシーポリシー、規程、本人請求マニュアル、DPA、共同利用、外国移転、Cookie関連文書を整えます。

Phase 4

運用実装

アクセス権限、ログ、暗号化、委託先審査、本人請求窓口、漏えい訓練、タグ管理を実装します。

Phase 5

監査・改善

内部監査、事故・苦情・請求の分析、委託先と海外移転の継続確認、法令更新の反映を行います。

次の一覧は、実務で使うミニ文書の内容を整理したものです。項目ごとに埋める情報を決めておくと、事故時や審査時に判断材料を短時間で集めやすくなります。

01

漏えい等発覚時の社内報告

発覚日時、発覚者、対象システム、対象データ、要配慮情報、対象人数、拡大防止、証跡保全、委託先関与、PPC報告と本人通知の初期見解を記録します。

初動証跡
02

委託契約の個人情報条項

取扱目的、個人データ項目、目的外利用禁止、再委託、漏えい通知、調査協力、監査、外国移転、返還・削除、費用負担を確認します。

契約委託
03

Cookie・個人関連情報チェック

使用タグ、送信先、送信情報、送信目的、自社会員IDとの紐付け、提供先取得の想定、通知・同意、オプトアウト、越境移転を記録します。

広告外部送信

次の一覧は、限られたリソースで優先すべき対応を示します。優先度と理由を合わせて読むことで、最初に着手する作業を選びやすくなります。

優先度対応理由
最優先どの個人情報を持っているか把握します。データ所在が不明だと全対応ができません。
最優先漏えい時の連絡体制を作ります。速報・本人通知に間に合わないリスクが高いです。
プライバシーポリシーを現行実態に合わせます。実態と文書の乖離は苦情・当局対応で問題になります。
主要委託先との契約を確認します。漏えい、再委託、クラウドが主要リスクになります。
アクセス権限と退職者アカウントを点検します。現実の漏えい原因になりやすいです。
Cookie・広告タグを棚卸しします。Web施策で個人関連情報の問題が生じやすいです。
本人請求の順番を作ります。請求が来てからでは対応が遅れます。
FAQ

2022年改正個人情報保護法の実務影響に関するよくある質問

一般的な制度説明にとどめ、個別事案の判断は専門家確認を前提に整理します

Q1. 2022年改正個人情報保護法の実務影響として、まず何を確認しますか。

一般的には、自社が取り扱う個人データの棚卸しが出発点とされています。どの部署が、どのシステムで、どのデータを、どの目的で、誰に渡し、どの国で処理し、いつ削除するのかを整理する必要があります。具体的な対応範囲は事業内容やデータの性質によって変わるため、資料を整理したうえで弁護士等の専門家へ相談する必要があります。

Q2. プライバシーポリシーを改訂すれば十分ですか。

一般的には、プライバシーポリシーの改訂だけでは十分でないとされています。文書と実態が一致していなければ、データ台帳、委託先契約、本人請求の順番、漏えい対応規程、Cookie台帳、越境移転台帳も見直す必要があります。具体的な優先順位は、サービス内容や運用状況によって変わります。

Q3. Cookieは個人情報ではないので対応不要ですか。

一般的には、Cookie IDや広告IDが単体では個人関連情報にとどまる場合でも、他の情報と容易に照合して個人を識別できる場合には個人情報に該当する可能性があります。また、提供先で個人データとして取得されることが想定される場合には、個人関連情報の第三者提供規制が問題になる可能性があります。

Q4. 委託先で漏えいした場合、自社は責任を負いませんか。

一般的には、委託先で発生した事故でも、委託元の監督責任や報告・本人通知対応が問題になる場面があります。委託契約、事故通知、調査協力、再発防止、費用負担、再委託管理の有無で対応は変わります。具体的な責任関係は契約と事実関係により判断が変わります。

Q5. 海外SaaSを使うだけでも越境移転になりますか。

一般的には、海外事業者が個人データを取り扱うのか、海外からアクセスされるのか、委託なのか第三者提供なのかによって整理が変わります。データ保存国、サブプロセッサー、契約、セキュリティ文書、本人向け説明を確認する必要があります。具体的な対応は、SaaSの仕様と契約を確認したうえで専門家へ相談する必要があります。

Q6. 仮名加工情報にすれば自由に使えますか。

一般的には、仮名加工情報にしても自由に使えるわけではありません。加工方法、削除情報等の管理、利用目的、安全管理措置、第三者提供制限が問題になります。匿名加工情報とも制度が異なるため、個別のデータ利用計画に応じて確認する必要があります。

Reference

参考資料・一次情報

公的資料と中立的な一次情報のみを掲載します

一次情報・公的資料

  • 個人情報保護委員会「令和2年 改正個人情報保護法について」
  • 個人情報保護委員会「令和2年改正個人情報保護法 特集」
  • 個人情報保護委員会「令和3年改正個人情報保護法について」
  • 個人情報保護委員会「法令・ガイドライン等」
  • e-Gov法令検索「個人情報の保護に関する法律」
  • 個人情報保護委員会「漏えい等の対応とお役立ち資料」
  • 個人情報保護委員会「個人情報保護法Q&A」
  • 個人情報保護委員会「いわゆる3年ごと見直し」

ガイドライン

  • 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」
  • 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)」
  • 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(仮名加工情報・匿名加工情報編)」