【2024年施行】個人情報保護法施行規制とガイドラインの改正ポイントを解説！とるべき対策も

2024年4月から、個人情報保護法施行規制とガイドラインが改正されたのをご存じでしょうか。とくに注目すべきは「個人データ」から「個人情報」へと規制対象が拡大された点です。本改正により、多くの企業や組織は新たな対応を迫られています。そこで今回は、改正のポイントと具体的な対策について解説します。

【2024年施行】個人情報保護法施行規制とガイドラインの改正ポイント

2024年4月に施行された個人情報保護法施行規制とガイドラインの改正は、企業の情報管理に大きな変革をもたらします。今回の改正では、規制対象が「個人データ」から「個人情報」へと拡大され、より包括的な情報保護が求められるためです。ここでは、改正のポイントを解説し、企業が早急に取り組むべき対策についても説明します。

改正の概要

2024年4月の個人情報保護法施行規制とガイドラインの改正の最大のポイントは、規制対象が「個人データ」から一部、「個人情報」へと拡大されたことです。これは、デジタル化の進展により、個人情報の取り扱い形態が多様化したことへの対応です。
改正の主な内容は4つあります。

• ・規制対象の拡大（個人データから一部、個人情報へ拡大）
• ・漏えい等の報告義務および本人への通知義務の対象の拡大
• ・安全管理措置の対象明確化（拡大）
• ・WEBスキミング対策の強化

個人情報と個人データの違い

個人情報は、生存する個人に関する情報であり、氏名、生年月日、住所など、特定の個人を識別できる情報を指します。たとえば、企業の採用面接時に応募者が記入した履歴書や病院での問診票に記載された患者情報などが個人情報に該当し、一方、個人データは、個人情報データベース等を構成する個人情報を指します。
具体例として、企業が従業員の情報を電子化して人事システムで管理している場合や、会員情報をデータベースで管理している場合の情報が該当します。つまり、検索可能な状態で体系的に構成された個人情報が個人データです。そして、2024年4月から改正法されたことで、企業は個人情報と個人データの両方について、適切な保護措置を講じる必要があります。

改正前の規制対象

改正前の個人情報保護法施行規制とガイドラインでは、紙媒体主体の個人データが規制対象でした。多くの企業や組織が紙ベースでの情報管理を中心としており、電子データの取り扱いは比較的限定的だったためです。具体的な規制対象には、紙の顧客名簿、従業員の個人情報が記載された書類、契約書類などが含まれていました。こうした情報は、施錠可能なキャビネットでの保管、シュレッダーによる適切な廃棄など、物理的な管理方法で保護されてきました。
しかし、本規制範囲では急速に発展するデジタル社会への対応が不十分なため、電子メールやクラウドサービスの普及により、個人情報の電子化が進み、従来の規制では対応しきれない新たな課題が浮上しました。そのため、デジタル時代に即した施行規制とガイドラインの改正が必要不可欠となり、今回の改正へとつながったのです。

改正の目的

2024年の個人情報保護法施行規制とガイドラインの改正では、WEBスキミングによる情報漏洩への対策が強化されました。WEBスキミングとは、ECサイトやWEBフォームに悪意のあるコードを仕込み、利用者が入力したクレジットカード情報や個人情報を不正に収集する手法です。近年、オンラインショッピングの普及に伴い、この手法による被害が急増しています。
改正前の個人情報保護法施行規制とガイドラインでは、情報漏洩の報告義務は「個人データ」に限定されていたため、WEBスキミングによって顧客情報が漏洩した場合でも、ECサイトの事業者には報告義務が課されませんでした。こうした法的不備により、被害の実態把握が困難で、適切な対策を講じられないといった難しい状況が続いていました。
しかし、今回の改正でWEBスキミングによる情報漏洩も報告対象に含まれます。これにより、事業者は不正アクセスの検知や防御体制の強化、インシデント発生時の迅速な報告体制の整備が必要です。具体的にはセキュリティ監視の強化、従業員教育の徹底、インシデント対応マニュアルの整備などが求められます。
さらに、事業者には顧客情報を預かる責任者としての自覚と、より高度なセキュリティ対策の実施が欠かせません。これらの対策は、デジタル社会における個人情報保護の新たな基準を示すものであり、オンラインでの取引の信頼性向上にも寄与します。

【2024年施行】個人情報保護法施行規制とガイドラインの改正内容

2024年4月からの個人情報保護法施行規制とガイドラインの改正により、企業の情報管理体制は大きな転換点を迎えています。改正後は個人データから一部、個人情報へ規制対象にが拡大され、企業は新たな対応を迫られているからです。そこで以下では、改正によって変更されるポイントを解説し、企業が早急に取り組むべき課題を明らかにします。

漏えい等報告等義務の対象拡大

これまで、個人データの漏えいのみが報告対象でしたが、2024年4月からは委託先等の第三者に対する不正アクセス等によって生じた漏えい等も報告対象に加わりました。本改正は、デジタル化の発達で増加するサイバー攻撃やデータ窃取への対策を強化するものです。
個人情報保護法では、以下の4つのケースで漏えいが発生した場合、事業者には個人情報保護委員会への報告と本人への通知が、原則、義務づけられています。

• ・要配慮個人情報が含まれる個人データの漏えい

要配慮個人情報とは、人種、信条、病歴、犯罪歴などの機微な個人情報を指します。これらの情報は、差別や偏見につながる可能性があるため、とくに厳格な保護が必要とされます。

• ・不正に利用されることにより財産的被害が発生するおそれがある個人データの漏えい

クレジットカード番号や銀行口座情報、各種パスワードなどが該当します。これらの情報が悪用されると、直接的な金銭被害につながる危険性が高いためです。

• ・不正の目的をもって行われたおそれがある当該個人情報取扱事業者に対する行為による個人データの漏えい

ハッキングやフィッシング、マルウェアなどの不正アクセスによって個人情報が取得された場合が該当します。今回の改正では、この不正行為による個人データの漏えいが新たに報告対象として追加されました。

• ・漏えいした個人データに係る本人の数が1,000人を超える場合

個人データに係る本人の数が1,000人を超える漏えい等が発生し、又は発生したおそれがある事態は社会的影響が大きく、迅速な対応が求められます。

事業者は、不正アクセスによる情報流出を検知した場合、速やかに被害者本人に通知し、必要な対策を講じなければなりません。
これらの報告・通知義務の拡大により、事業者にはより高度な情報管理体制の構築が求められます。また、漏えい等が発生した際の報告・通知体制を事前に確立し、迅速な対応ができる体制の整備も重要です。

安全管理措置の明確化（対象拡大）

今回の個人情報保護法施行規則とガイドラインの改正により、個人情報取扱事業者が講ずべき安全管理措置は、事業者が個人データとして取り扱うことを予定している個人情報の漏えい等を防止するために必要かつ適切な措置が含まれる点が明確化されました。

このことは、ガイドライン（通則編）において。「個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損（以下「漏えい等」という。）の防止その他の個人データの安全管理のため、必要かつ適切な措置を講じなければならないが、当該措置は、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の規模及び性質、個人データの取扱状況（取り扱う個人データの性質及び量を含む。）、個人データを記録した媒体の性質等に起因するリスクに応じて、必要かつ適切な内容としなければならない。」とし、「その他の個人データの安全管理のために必要かつ適切な措置」には、「個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、当該個人情報取扱事業者が個人データとして取り扱うことを予定しているものの漏えい等を防止するために必要かつ適切な措置も含まれる。」としています。

また、個人情報保護委員会は、ガイドライン（通則編）の上記改正について、「「その他の個人データの安全管理のために必要かつ適切な措置」には、個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、当該個人情報取扱事業者が個人データとして取り扱うことを予定しているものの漏えい等を防止するために必要かつ適切な措置も含まれます。本ガイドライン案の御指摘の箇所は、このような従前からの解釈を明確化したものです」（パブコメ29等）としていますが、少なくとも従前のガイドライン（通則編）においては、そのような解釈についての言及はなされていませんでした。したがって、今回の改正により、安全管理措置は、対象が明確化されたことにより、実質的に拡大されたものと理解できます。

個人情報保護法施行規則とガイドラインの改正によるとるべき対策

2024年4月の個人情報保護法施行規則とガイドラインの改正により、企業はこの改正に則った対策を講じなければなりません。しかし、改正の内容を理解していなければ、企業の信頼を失墜する大きなトラブルに巻き込まれる可能性もあります。
そこで今回の改正によって「実施すべき対策」を紹介します。これから説明する対策を実施することで、企業の法令遵守と情報セキュリティの向上が実現できるでしょう。

プライバシーポリシーの改訂

プライバシーポリシーを見直し、改訂する必要があります。今回の改正では個人データの取り扱い範囲が拡大され、より詳細な説明が求められているためです。プライバシーポリシーの改訂では、以下の点に注意を払わなければなりません。
先ず、新たに規制対象となった情報について、適切に記載して、個人情報の利用目的をより具体的に示し、第三者提供に関する方針も詳しく説明する必要があります。さらに、安全管理措置の内容や、本人からの開示請求への対応方法も明記すべきです。
具体的な改訂ポイントとして、個人情報の取得方法や保管場所、保護のための技術的対策などを明確に示すことが重要です。WEBサイトでの情報収集に使用している技術（Cookieなど）の説明や、クラウドサービスを利用している場合のデータ保管に関する説明を追加します。

また、個人情報の取り扱いに関する問い合わせ窓口や苦情処理の手続きについても、第三者が理解しやすく記載しなければなりません。改訂したプライバシーポリシーは、WEBサイトやアプリケーション上で容易に確認できる場所に掲載し、利用者が常時アクセスできる状態にしておきます。
なお、重要な変更がある場合は、メールマガジンやお知らせ機能を介して、ユーザーに変更内容を通知することも推奨されます。プライバシーポリシーの改訂は、単なる法令遵守のためだけではありません。適切な個人情報の取り扱い方針を示すことで、企業への信頼性が高まり、ビジネスの持続的な成長にもつながります。
定期的な見直しと更新を行い、常に最新の法令や社会情勢に対応したプライバシーポリシーを維持していくことが大切です。

従業員に改正内容を周知

企業は従業員に対し、個人情報保護法施行規則とガイドラインの改正内容を確実に周知させなければなりません。改正により個人データの取り扱い範囲が拡大され、これまで以上に厳格な管理体制が求められるためです。具体的な周知方法として、まず社内研修やeラーニングの実施があげられます。改正のポイントや実務に関連する対応について、実例を交えながら説明します。

また、部署別の勉強会を開催し、各部門の業務特性に応じた個人情報の取り扱い方法といった具体的な指導もよいでしょう。さらに、社内イントラネットやメールマガジンを活用し、定期的に改正内容や注意点を発信するのも効果的です。とくに重要な変更点については、ポスターやデジタルサイネージを活用して、目に入りやすい場所に掲示します。
また、マニュアルやガイドラインを作成し、従業員がいつでも参照できる環境を整備します。そして、周知活動の効果を高めるため、理解度テストや確認テストを実施し、従業員の理解状況を把握するのもおすすめです。テスト結果に基づき、必要に応じて追加研修や個別指導をおこない、全従業員が確実に改正内容を理解するまでフォローします。
改正内容の周知は、単なる情報提供にとどまらず、企業の情報管理体制を強化する重要な機会です。経営層から現場の従業員まで、組織全体で個人情報保護の重要性を再認識し、より強固な情報管理体制を構築することが求められます。

まとめ

本記事では、2024年4月に施行された個人情報保護法施行規則とガイドラインの改正内容と企業が取るべき対策について解説しました。改正により、規制対象が「個人データ」から一部、「個人情報」へと拡大され、漏えい等の報告義務や安全管理措置の対象も広がりました。企業はプライバシーポリシーの改訂や従業員への周知など、具体的な対策を講じる必要があります。