【2024年4月】個人情報保護法 関連法令改正(Webスキミング対応)を解説
掲載:2024年03月29日
執筆者:エグゼクティブコンサルタント 伊藤 隆
コラム
日本の個人情報保護法(以下、「保護法」という)は2003年に制定(2005年全面施行)され、その後、2015年に全面改正(2017年施行)されましたが、その際、昨今の情報通信技術の進展の著しさ等から、いわゆる「3年ごとの見直し」規定が設けられました。
その規定に基づいた2回目の見直し改正が今年2024年に予定されており、着々とその準備が進められています。一方で、この保護法を実施するために別途定められる法令類があり、それらはより頻繁に改正が行われます。
本稿では、保護法を補足する関連法令にはどんなものがあるのか、保護法とどんな関係性にあるのか、また、それらの最近の改正状況と改正点並びに個人情報取扱事業者(以下、「企業等」という)に対する影響などについて解説していきます。
保護法を補完する関連法令とは
一般的に、ある法律が定められるとその法律を実施するために関連法令類が別途定められますが、保護法の場合は以下の3種類の法令類があります。
| 法令類略称 | 概要 |
|---|---|
| 「施行令」 |
|
| 「規則」 |
|
| 「ガイドライン」 |
|
最後のガイドラインですが、特に企業等に対しては現在以下の4編が定められています。
| # | ガイドライン | 概要 |
|---|---|---|
| 1 | 通則編 |
|
| 2 | 外国にある第三者への提供編 | 外国にある第三者(含む日本企業等の海外法人)へ個人データを提供する場合に特化した、企業等の守るべき事項を定めている |
| 3 | 第三者提供時の確認・記録義務編 | 第三者に個人データを提供する場合の記録及び第三者から提供を受ける場合の確認・記録義務に特化した、企業等の守るべき事項を定めている |
| 4 | 仮名加工情報・匿名加工情報編 | 仮名加工情報及び匿名加工情報の取扱いに特化した、企業等及び仮名加工情報取扱事業者、匿名加工情報取扱事業者の守るべき事項を定めている |
関連法令とガイドラインの改正状況
前述のとおり、いわゆる3年ごとの見直しの2回目が着々と進められている中、委員会は2023年12月27日、以下の規則並びに2編の一部改正及びそれらの施行日を2024年4月1日とすることを発表しました。
また、2024年3月1日には、これらの改正を踏まえたガイドラインに関するQ&Aも更新され、2024年4月1日から適用されると発表しています。
【4月1日に施行が予定されている規則及びガイドライン】
- ① 個人情報の保護に関する法律施行規則
- ② ガイドライン(通則編)
- ③ ガイドライン(第三者提供時の確認・記録義務編)
今回の規則及びガイドラインの改正は昨今頻発し被害の拡大が懸念されるWebスキミングへの対応を目的としています。2023年9月13日に開催された委員会の議事録には以下のように記載されています。
<第253回委員会議事録要旨(抜粋)>
- 近年、サイバー攻撃の一手法であるWebスキミングによる個人情報漏えい事件が頻発している。
- 例えばECサイトに不正なスクリプトを埋め込まれたことにより、そのサイトが乗っ取られると、ユーザーがそのサイトに入力した情報がそのまま流出してしまう。
- この流出した個人情報を悪用した二次被害の発生が個人の権利利益を害する恐れが大きいことから、当該の規則及びガイドラインの改正が必要と考えた。
(参考文献:個人情報保護委員会「第253回 個人情報保護委員会議事録」)
このように、今回のガイドライン改正の直接要因はサイバー攻撃の一つでもあるWebスキミングによる個人情報の漏洩事件の頻発にありました。なお、このWebスキミングについての詳細はこちらをご覧ください。
規則とガイドラインの改正点
それでは、まずは規則の改正内容を見ていきましょう。企業等に関連する部分では、第7条 第3号の改正があげられます。第7条は、保護法第26条が定める「個人の権利利益を害するおそれが大きいものとして規則で定めるもの」の内容を補足しているものですが、以下第3号の下線部分が新しく追加されました。
【規則 第7条 第3号 の改正内容】
三 不正の目的をもって行われたおそれがある当該個人情報取扱事業者に対する行為による個人データ(当該個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、個人データとして取り扱われることが予定されているものを含む。)の漏えい等が発生し、又は発生したおそれがある事態
ここでのポイントは、不正の目的をもって行われた恐れのある漏えい等の対象情報に、既に保有している個人データのみならず、これから取得しようとしている個人情報でかつ個人データとして取扱われることが予定されている個人情報までも含まれる点が新しく追加されています。
このポイントは、関連する第8条(委員会への報告)に規定されている個人データにも追加されました。
ガイドラインの改正内容と関連条項
次にこの規則の改正が2編のガイドラインにどのような影響を及ぼしたのか、その具体的な改正内容を見て行きましょう。
まず、指針全体について定める「通則編」の3-5-1 (「個人データ」の「漏えい等」の考え方) に、3-5-1-1 として「規則第7 条の「個人データ」の考え方」が新しく追加されました。これにより、不正行為による漏洩に関連する個人データには全てこの考え方が適用される旨を明確にしています。
加えて本改正には、直接の引き金となったWebスキミングに関連した事例が幾つか追加されており、不正行為などによる漏えい事態に関わる対象者やその役割責任の明確化並びに従業者による持ち出し情報についても含まれています。
それらをまとめると、ガイドラインの主な改正点は以下のようになります。
| # | 主な改正点 |
|---|---|
| 1 | 規則第7条第3号で追加された個人データに対する補足情報「(当該個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、個人データとして取り扱われることが予定されているものを含む。)」の意味合いの、直接的、間接的な追加 |
| 2 | Webスキミングに関連した報告を要する漏えい事例の追加 |
| 3 | 不正行為の対象者に、事業者に加え、事業者が当該個人データの取扱いを委託している委託先及び当該個人データの取扱いに利用している外部サービスの提供者も含まれることの追加 |
| 4 | 不正行為による漏えい事故に関する事業者と委託先の役割の明確化 |
| 5 | サイバー攻撃に関連する漏えいの発生した恐れのある事例にWebスキミングに関連した事例の追加 |
| 6 | 従業者による情報持ち出し事案の説明へ、個人データに加えて個人情報を追加 |
次に、これらの改正点が実際にガイドラインのどの条項に反映されているかを見てみますと、そのほとんどが指針全体を取りまとめている「通則編」の条項であり、1項のみ「第三者提供時の確認・記録義務編」に反映されています。
上記の改正点と関連条項を表で表すと、ガイドライン条項と主な改正点一覧は以下のようになります。
| 条項番号 | タイトル | 主な改正点(〇:追加/改訂) | |||||
|---|---|---|---|---|---|---|---|
| #1 | #2 | #3 | #4 | #5 | #6 | ||
| 3-4-2 | 安全管理措置 | 〇 | |||||
| 3-5-1-1 | 規則第7 条の「個人データ」の考え方 | 〇 | |||||
| 3-5-1-2 | 「漏えい」の考え方―事例 (6) | 〇 | 〇 | 〇 | |||
| 3-5-3-1 | 報告対象となる事態 (3) | 〇 | |||||
| 【報告を要する事例】 | 〇 | 〇 | 〇 | ||||
| (4) 千人を超える漏えい等が発生した事態 脚注 | 〇 | 〇 | 〇 | ||||
| 3-5-3-2 | 報告義務の主体 | 〇 | |||||
| 3-5-3-3 | 速報 | 〇 | |||||
| 3-5-4-1 | 通知対象となる事態及び通知義務の主体 | 〇 | 〇 | ||||
| 3-5-4-3 | 通知の内容 | 〇 | |||||
| 3-8-1 | 保有個人データに関する事項の公表等 | 〇 | |||||
| 10 | (別添)講ずべき安全管理措置の内容 | 〇 | |||||
| 2-2-2-1 | 法第30 条の「個人データ」の該当性 (第三者提供時の確認・記録義務編) |
〇 | |||||
なお、先にも触れましたが、本改正内容の理解を深めてもらうため、ガイドライン「通則編」に関するQ&Aが別途公表されていますので、こちらも参考にしてください。
また、本稿では直接触れませんが、Webスキミングによる被害は民間企業にとどまらず、公的組織にても発生が想定されるため、ガイドライン(行政機関等編)も合わせて改正され、同様に4月1日に施行されることになっています。
企業等における対応上の留意点
それでは、この改正を受けて対象となる個人データを取り扱う企業等はどのように対応すべきなのでしょう。
まずは、本改正の直接原因であるWebスキミングへの対応が最重要と考えられますが、個人情報入力者であるユーザーがWebスキミングを事前に検知することは非常に困難です。そのため、当該Webサイト管理者による、Webサイトとその利用者を守る対策の実践が求められます。
Webサイト管理者は、以下のような対策によって、攻撃者の侵入や不正なスクリプトの埋め込みを防ぐことが可能です。そのためには、専門家との連携による対応策検討が必要と考えます。
- 定期的なセキュリティパッチ適用
- 不正アクセスを検知するシステムの導入
- セキュアコーディングの徹底
- コンテンツセキュリティポリシー(CSP)の設定
また、技術的対策に加え、運用ルール及び体制の見直し整備が必要と考えます。これまでは「個人データ」を中心とした保護並びに不正行為に伴う漏洩対応でしたが、改正規則等の施行に伴い「取得しようとしている個人情報であり、当該個人情報取扱事業者が個人データとして取り扱うことを予定しているもの」の意味合いが追加されます。
その対応策として規程類整備を始め以下の対策検討をおすすめします。
- 個人情報特定及びリスクアセスメント手順への、「取得しようとしている個人情報であって、当該個人情報取扱事業者が個人データとして取り扱うことを予定している個人情報」の特定手順の追加改訂と従業員への周知
- 当該個人情報の特定及びリスクアセスメント結果に基づく安全管理策の見直し改訂と周知
- 当該個人情報に対する不正行為による漏えい事項に対する対応手順の見直し改訂と周知
- 改正に伴うルール変更及び体制整備状況の内部監査による確認と改善支援
まとめ
これらの改正規則及びガイドラインの施行日は目前に迫っています。Webスキミングへの対応は技術的にも難しく、専門家との連携による対応策検討がおすすめです。
また、不正行為による情報漏洩に関する「取得しようとしている個人情報であって、当該個人情報取扱事業者が個人データとして取り扱うことを予定している個人情報」の追加への対応は、広範囲にわたりますので、運用ルール改訂及び体制整備の速やかなる着手と、内部監査によるその対応結果確認と改善の検討をおすすめ致します。
