改正個人情報保護法で強化された「データ越境移転の規制」

2022年4月1日から改正個人情報保護法が施行されました。クッキー関連の規制が大きく変わったことで、特にデジタルマーケティングに関わる人々の間で大きな話題になっていますが、プライバシー規制やそれに係る罰則規定もかなり変わったため、企業のセキュリティ対策やコンプライアンス/ガバナンス管理に関わる方々にも大きな影響が及ぶと考えられます。

旧法からの具体的な改正点は細かいものを含めると実に多岐に渡るのですが、ここでは企業にとって最も影響が大きいであろう「データ越境移転の規制強化」について紹介したいと思います。もともと日本の個人情報保護法では「本人の同意に基づく移転」「相当措置に基づく移転」「十分性認定に基づく移転」という3つの条件に合致した場合に、企業が保有する個人情報を外国に移転すること(データ越境移転)が認められています。

今回の法改正ではこのうち、本人の同意に基づく移転と相当措置に基づく移転の場合に以下のような義務強化が行われました。

  • 本人の同意に基づく移転
  • 移転元企業は、移転先企業に対して「移転先の国」「移転先の個人情報の保護に関する制度」「移転先の安全管理措置」などに関する情報を確認し、本人の同意を得る際に提供しなければならなくなりました。

  • 相当措置に基づく移転
  • 相当措置に支障が発生し得る移転先の制度、つまり移転先の国の公的機関による情報開示要求(ガバメントアクセス)の制度を特定し、実際に支障が発生した場合は個人データの移転を停止することが義務付けられました。

2021年3月にLINEが個人情報を海外拠点で扱っていたことが発覚し、大きな問題になったことは記憶に新しいところですが、今回の規制強化によってこうした問題が繰り返されることを抑止する効果が期待されています。

各国・地域におけるプライバシー規制の立ち位置を比べてみる

こうしたデータ越境移転に対して、日本に先行して厳しい規制を敷いてきたのが、欧州(EU)が定めるGDPRです。特に2021月6月に決定した、改定版のSCC(標準契約条項)では、ガバメントアクセスのリスクに関しては、データ移転先にガバメントアクセスの通知を義務付けたり、実際にガバメントアクセスが発生した際にはその妥当性を評価し、要求が妥当でないと判断した場合は「その要求に反対すること」を求めています。

このように「プライバシーは基本的人権である」という基本原則を貫く欧州とは対照的に、米国はデータの越境移転を原則的に認め、むしろ国境を越えたデータの流通を活性化して企業活動を後押しすることを優先させています。その根底には「プライバシーは消費者保護の問題であり、企業の責任のもとに管理されるべき」という考え方があるようです。

そして日本は今のところ、欧州と米国の中間的な立ち位置にいると言えるでしょう。2019年のG20大阪サミットで当時の安倍首相が打ち出した「Data Free Flow with Trust(DFFT)」というキーワードからも読み取れるように、米国に倣ってデータの自由な流通と活用を促進しつつも、同時に欧州流のプライバシーやセキュリティへの配慮もしっかり行うという「両面を睨んだ」方向性を打ち出しています。

ただし今回の法改正の内容を見る限りでは、欧州流の「プライバシー重視」の立ち位置に少しずつシフトしつつあるようにも見えます。そのため日本のプライバシー規制の未来を占う意味でも、GDPRの動向には引き続き注意を払っていく必要があるでしょう。

ちなみに中国でも現在、日本の個人情報保護法に相当する法律が制定され、企業に対してもプライバシー保護を求めるようになりました。しかしその基本方針はプライバシーや人権より国家安全維持が最優先され、データ越境移転を厳しく制限するというもので、やはり欧米や日本の立ち位置とは明らかに一線を画しています。

一部の罰則規定で罰金額が大幅に引き上げられている点にも注意!

なお今回の法改正により、一部の罰則規定が大幅に強化された点にも注意が必要です。具体的には「違反への是正措置等命令拒否」「個人情報のデータベース等の不正な提供、盗用」「虚偽報告、検査拒否/妨害等」の3つに抵触した場合の罰則が強化されています。

それぞれに違反した場合、法人に課せられる罰則の上限が定められているのですが、改正前は違反への是正措置等命令拒否は「30万円以下の罰金」、個人情報のデータベース等の不正な提供、盗用は「50万円以下の罰金」と定められていました。しかし改正後は、両方とも「1億円以下の罰金」と一気に罰金額の上限が引き上げられました。

現在GDPRを筆頭に、他の国・地域における同種の法令が高額な罰金を課すようになっており、今回の改正個人情報保護法の罰則強化もそういったグローバルの流れに歩調を合わせたものと考えられます。また当然のことながら、罰則強化によって違反行為に対する抑止効果も意図されています。

裏を返せば、個人情報を扱う企業にとっては新たなリスク要因ともなりかねませんから、これを機にあらためて自社のコンプライアンスの在り方を見直してみることをお勧めします。

サイバーセキュリティ関連の規制動向について

米国のある会社の違反事例

企業で訴えられた例としては2022年1月、米国Eyemed社があります。違法内容としては不十分なサイバーセキュリティ対策による過失(ニューヨーク州法)とのことでした。経緯としては、2020年6月に、 Eメールアカウントが侵害され、約210万人に及ぶ個人情報が流出したとされ、流出した情報には生年月日、社会保障番号、医療保険番号、運転免許証、診療情報等が含まれていました。

その時、指摘されたサイバーセキュリティ対策は下記内容でした。

  • 多要素認証の未実装
  • 脆弱なパスワード要件
  • eメールアカウントの不十分なログ保管と監視
  • 適切な安全管理措置のない不必要なメールアカウントの長期保管
  • 自社のプライバシーポリシーの非遵守

結果として、EyeMed社は、顧客の個人情報漏洩を発端とするニューヨーク州法違反のために、日本円にして約7,700万円を支払うことで合意しました。今後のプライバシー関連規制強化も踏まえて、データ越境移転及び、サイバーセキュリティ対策不足に係る違反事例から自組織の対策状況の妥当性を確認することが推奨されるでしょう。

整備が進むランサムウェア支払い関連の規制

昨今とどまることを知らないランサムウェアの脅威に対して、立法の分野でも対策が進んでいて、特に米国での規制が活発になっています。規制内容の種別としては「支払い禁止」と「報告義務」の2つですが、規制内容は、支払いを行った場合の報告義務、行政機関の支払い禁止や特定のランサムウェア攻撃グループへの支払い禁止など内容は様々です。

先ほど述べたように、米国で規制が活発になっていますが、今後は日本の企業・組織でもサイバーセキュリティ対策はもちろん、ランサムウェアなどのサイバー攻撃を受けた後に法に則った適切な対応を求められる可能性も高いと言えるでしょう。

【ホワイトペーパー】ランサムウェア対策ガイド~二重脅迫型など進化するランサムウェアから情報資産を守るために~

近年、世界中で深刻な問題となっているランサムウェア。

このガイドは、日本における深刻な問題やランサムウェアの歴史を踏まえ、最新のランサムウェア攻撃にはどのような特徴や脅威があるのかについて解説するとともに、巧妙化するランサムウェアに対し私たちはどのような対策を講じれば良いのか。最新のランサムウェア攻撃への5つの対策ポイントをご紹介します。
https://www.cybereason.co.jp/product-documents/white-paper/6525/