JMRA顧問弁護士の鈴木理晶(まさあき)です。
今回は、2024年4月1日に施行される個人情報保護法施行規則の改正ポイントについて解説します。
1.個人情報保護法施行規則第7条3号等の改正
個人情報保護法26条1項は、個人データの安全の確保に係る事態であって、個人の権利利益を害するおそれが大きいものとして個人情報保護法施行規則7条に定める事態が生じた場合に、個人情報取扱事業者に個人情報保護委員会への報告義務を課しています。
この個人情報保護法施行規則7条に定める事態は現在、以下の4つです。
- (1) 要配慮個人情報が含まれる個人データ(高度な暗号化その他の個人の権利利益を保護するために必要な措置を講じたものを除く。)の漏えい、滅失若しくは毀損(以下この条及び次条第一項において「漏えい等」という。)が発生し、又は発生したおそれがある事態
- (2) 不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態
- (3) 不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態
- (4) 個人データに係る本人の数が千人を超える漏えい等が発生し、又は発生したおそれがある事態
しかし、2024年4月1日から、上記③について、「不正の目的をもって行われたおそれがある当該個人情報取扱事業者に対する行為による個人データ(当該個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、個人データとして取り扱われることが予定されているものを含む。)の漏えい等が発生し、又は発生したおそれがある事態」と改正されます。また、これに伴って、個人情報保護法施行規則第8条3号及び個人情報保護法ガイドラインも細かな改正がされます。
2.改正の背景
この改正は、近年、個人情報取扱事業者のWEBサイトの入力リンクやボタンを改ざんして攻撃者のサーバにも個人情報を送信させる「WEBスキミング」によって、個人情報が盗み出される攻撃が多発しているためです。
WEBスキミングでは、個人情報取扱事業者が管理している個人データが盗み出されるのではなく、あくまで本人から直接に、「個人データ(容易に検索可能なデータベース等を構成する個人情報)になる前の『個人情報』」が盗み取られます。そのため、「不正の目的をもって行われたおそれがある個人データ」だけでなく、「個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、個人データとして取り扱われることが予定されているもの」の漏えい等の発生も、個人情報保護委員会への報告対象として追加されたわけです。
3.Pマーク取得事業者の対応について
では、今回の個人情報保護法施行規則第7条3号等の改正に対して、Pマークを取得しているJMRA会員社はどのような対応が必要でしょうか?
まず、今回の個人情報保護法施行規則第7条3号等の改正は、あくまで個人データの漏えい等が生じた場合の個人情報保護委員会への報告対象事態が追加されただけですが、個人情報保護法ガイドラインにより、「個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、個人データとして取り扱われることが予定されているもの」に対する安全管理対策も講じる必要があると解釈されています。
もっとも、現行の青本ガイドライン(JISQ15001:2017がベース)では、特定した個人情報は個人データと同様に取り扱うことが要求されているため、Pマークを取得しているJMRA会員社は、「個人データとして取り扱われることが予定されているか否か」にかかわらず、個人情報取扱事業者が取得した「個人情報」については安全管理対策がすでに講じられているはずです。
他方、「取得しようとしている個人情報」は、個人情報保護マネジメント文書(PMS文書)に規定がないため、個人情報保護方針、緊急事態対策規程や安全管理規程において、事故報告対象や安全管理対策対象として「個人情報(取得しようとしている個人情報を含む)」などと追記することを推奨する説もあるようです。
もっとも、Pマークを取得しているJMRA会員社は、これまでもSQLインジェクション対策やクロスサイトスクリプティング対策等の自社の個人情報入力用WEBサイトの安全管理対策は講じてきています。厳密にいえば、SQLインジェクション対策やクロスサイトスクリプティング対策は、JMRA会員社が管理するWEBサーバへの攻撃であり、まさに「個人データ」への攻撃であるのに対し、WEBスキミングは本人から直接に個人情報が盗み取られているという「違い」はありますが、「JMRA会員社が管理する個人情報を入力するWEBサイトへの攻撃」という意味において、大きな違いはありません。
他方で、2024年10月には、Pマーク審査基準がJISQ15001:2023をベースとしたものに変わる予定です。Pマークを取得しているJMRA会員社は、JISQ15001:2023をベースとした新しい個人情報保護マネジメントシステム(PMS)を構築する必要があり、PMS文書も近々に修正が必要になることが予想されます。
これらのことを総合考慮すると(さらには、取得しようとしている個人情報への安全管理対策等は、個人情報保護委員会自体も個人情報保護法の改正ではなく、あくまで解釈上導き出しているに過ぎない点も考慮すると)、「取得しようとしている個人情報」の追記は、JISQ15001:2023をベースとした新しいPMS文書の策定タイミングにあわせて、後回しにしてもよいのではないかと考えます。
ただし、より積極的にPMS文書に「個人情報(取得しようとしている個人情報を含む)」等と追記することを禁止するものではありません(むしろ「あるべきPMS体制」です)。
また、PMS文書改定の有無にかかわらず、モニターの個人情報を保護するためWEBスキミング対策は講じていただく必要があります。
そして、2024年4月1日以降は、万一WEBスキミング被害や、自社のWEBサイト上に設置された入力ページに遷移するためのリンクやボタンが第三者によって偽入力サイトに誘導するように改ざんされ、当該偽入力サイトを本物と誤信させて個人情報を入力させるパターンの「(自社WEBサイト改ざん型)フィッシングサイト被害」等にあった場合には、個人情報保護委員会及びJMRAPマーク審査会に対して事故報告が必要であることは忘れないでください。
以上