企業にとって衝撃的な法改正、個人情報保護法

2020年6月12日、個人情報保護法の改正が発表(公布)された。改正のきっかけは、多発するサイバー攻撃の被害と日経が報じたリクナビの「内定辞退率」を企業に提供した問題である。この改正は、企業にとって非常に大きな意味を有する衝撃的なものだ。

改正のポイントは、以下のとおりである。

【不正アクセスなどの情報漏洩事故が企業で発生した場合】

 これまで改正後(2022年6月までに施行)
被害者への通知義務なしあり 怠ると罰則あり
被害者への通知内容規制なし詳細な情報提供が求められる

改正の詳細はこれから更に議論が詰められるが、企業側にとっては非常に大きな負担となる。これまでは、情報漏洩事故が発生した場合、企業側としては、被害者への個別通知を行わずに、ホームページ上で告知を行い、問い合わせ窓口を設置し、その窓口を確認した被害者からの問い合わせがあったときに対応する、という形で事故対応を行う企業が多い。しかし、改正後は、上記対応では足りず、被害者全員への個別通知が求められる。違反した場合には最大1億円の罰金や個人情報保護委員会による公表措置がある。

私自身、情報漏洩事故の企業側の対応を行った経験があるが、クレジットカード情報など個人の財産に直結する情報が漏洩した場合のお客様からの問い合わせ対応は、企業活動を混乱に陥れる。

法改正に伴い、悩ましいのが、被害者が特定しきれないケースだ。実際、不正アクセスなどがあった場合、どの個人情報が漏洩したのか明確化できないケースが少なくない。このときに、被害の可能性がある顧客すべてへの個別通知を行うことができるのか、という問題である。

今後、改正の具体的な内容が明らかになっていくが、被害者の保護の観点から大切な改正である一方、企業側にとっては、徹底した情報漏洩リスク対応が求められる時代となった。