企業活動において個人情報の取扱いは避けて通れない課題です。
顧客情報や従業員データなど、日々さまざまな個人情報を扱う中で、「うちの会社の対応は本当に法律に適合しているのか」と不安を感じている経営者や担当者の方も多いのではないでしょうか。

令和4年4月に施行された改正個人情報保護法では、企業の義務がさらに強化され、違反した場合の罰則も厳しくなりました。
本記事では、最新の法改正内容を踏まえながら、企業が実際に取り組むべき個人情報保護の実務対応について、具体的に解説していきます。

目次 [ close ]
  1. 1.令和4年改正個人情報保護法で何が変わったのか
  2. 2.企業が今すぐ実施すべき個人情報保護の具体的対応
  3. 3.個人情報漏えいの実態と注意すべきポイント
  4. 4.行政書士ができること・できないこと
  5. 5.よくある質問(FAQ)
  6. 6.まとめ:企業の個人情報保護対応は専門家と共に
  7. ≪南魚沼で行政書士をお探しの方へ≫

1.令和4年改正個人情報保護法で何が変わったのか

令和4年4月に施行された改正個人情報保護法では、大きく6つの観点から制度の見直しが行われました。
個人の権利利益を害するおそれが大きい漏えいなどの事態が発生した場合に、個人情報保護委員会への報告及び本人への通知が義務化されます。

また、個人情報保護委員会からの命令に違反した場合の刑事罰が「1年以下の懲役又は100万円以下の罰金」となり、法人に対する罰金は最大1億円まで引き上げられました。

主な改正内容は以下の通りです。

① 個人の権利保護の強化
改正により、個人データの開示請求方法に電磁的記録(メール等)が加わり、利便性が向上しました。
また、6ヶ月以内に消去する予定の短期保存データも開示請求の対象となり、利用停止・消去請求の要件も緩和されています。

② 漏えい等の報告義務化
改正前は努力義務だった漏えい等の事態に該当する場合に個人情報保護委員会への報告や本人通知が義務化されます。
速報として3~5日以内、確報として30日以内(不正アクセス等の場合は60日以内)の2段階での報告が必要です。

③ 外国への第三者提供時の情報提供充実
海外の事業者に個人データを提供する際、提供先における個人情報の取扱状況などについて本人へ情報提供することが求められるようになりました。

④ 安全管理措置の公表義務
企業がどのような安全管理措置を講じているかについて、原則として公表することが義務化されました。

⑤ 個人関連情報の第三者提供規制
Cookie等の個人関連情報を第三者に提供する際、提供先で個人データとなることが想定される場合には、本人の同意確認が義務化されました。

⑥ 罰則の強化
法人による違反の罰金の上限は、措置命令違反の罰金は最大30万円から最大1億円に変更されるなど、大幅に強化されています。

2.企業が今すぐ実施すべき個人情報保護の具体的対応

改正法への対応には、体系的な準備と実施が必要です。
ここでは企業が具体的に実施すべき対応策をご紹介します。

① 個人情報管理責任者の設置と体制構築
社内における個人情報の取り扱いにつき、全面的に管轄する個人情報責任者(個人情報保護管理者)を設置することが有効です。
責任者は、社内ルールの策定や更新、従業員への研修実施、監査の実施といった業務を担います。

② 社内マニュアルの整備
個人情報保護法に基づいた社内マニュアルを整備することが重要です。
マニュアルには以下の事項を最低限盛り込みましょう。

• 個人情報の利用目的の特定と制限
• 個人情報の取得手続き
• 個人データの更新・消去方法
• 安全管理措置
• 第三者提供に関する同意取得手続き
• 保有個人データの公表・開示・訂正等の手続き
• 苦情処理手続き

③ 個人情報の棚卸しとリスク把握
まずは、自社の管理すべき個人情報はどれが対象になるのか認識し把握します。
そして、どんな時に漏洩する可能性があるか考えます(リスクの把握)。
社内のどこにどのような個人情報があるかを洗い出し、それぞれのリスクを評価することが対策の第一歩です。

④ 漏えい等発生時の報告体制整備
報告は努力義務でしたが、改正法下では法的義務が生じていますので、企業はそのための体制を整えておく必要があります。
具体的には以下の対応が必要です。

• 漏えい発見時の社内報告フローの確立
• 速報(3~5日以内)と確報(30日または60日以内)の報告手順の整備
• 漏えい調査のための仕組みづくり(ログ管理等)
• 本人への通知方法の確立

⑤ 安全管理措置の実施と公表
企業は個人データの安全管理のために講じた措置を公表する義務があります。
具体的な措置としては以下が挙げられます。

組織的安全管理措置
• 個人データ取扱規程の策定
• 責任者・担当者の明確化
• 定期的な監査の実施

人的安全管理措置
• 定期的な従業員教育・研修の実施
• 誓約書の取得

物理的安全管理措置
• 入退室管理の徹底
• 個人データを含む書類やデバイスの施錠管理
• 盗難・紛失防止策

技術的安全管理措置
• アクセス制御の実施
• 不正アクセス対策
• 暗号化やパスワード管理の徹底

⑥ 従業員教育の実施
個人情報の利用目的やルールを浸透させるために、社内で教育をします。
教育は似たような内容でも構わないので定期的に繰り返すと浸透できます。
人為的ミスによる漏えいが多いことを踏まえ、全従業員への継続的な教育が不可欠です。

⑦ プライバシーポリシーの見直し
改正法に対応したプライバシーポリシー(個人情報保護方針)への更新が必要です。
特に以下の点を確認しましょう。

• 利用目的の記載が具体的か
• 安全管理措置の内容が記載されているか
• 外国への第三者提供を行う場合の情報提供内容
• 保有個人データの開示等の請求手続き

3.個人情報漏えいの実態と注意すべきポイント

個人情報の漏えいは年々増加しており、企業にとって深刻なリスクとなっています。

① 漏えい件数の推移と現状
2024年に上場企業とその子会社が公表した個人情報の漏えい・紛失事故は、189件(前年比8.0%増)で、漏えいした個人情報は1,586万5,611人分(同61.2%減)でした。
事故件数は2012年の調査開始以降、2021年から4年連続で最多を更新しています。

また、別の調査結果では、年間の個人情報漏えい件数は21,646,108件、クレジットカード情報漏えい件数は272,237件とあり、問題の深刻さがうかがえます。

② 漏えいの主な原因
原因別は、「ウイルス感染・不正アクセス」の114件(構成比60.3%)が最多で、6割を占めています。
次いで、「誤表示・誤送信」が41件(同21.6%)で、メール送信時のCC、BCCの取り違え、システムの誤設定などの人為的なミスで情報を流失させたケースが続きます。
主な漏えい原因は以下の通りです。

⑴ ウイルス感染・不正アクセス(60.3%)
• ランサムウェアによる攻撃
• 不正アクセスによるデータ窃取
• 業務委託先が攻撃を受けることによる二次被害

⑵ 誤表示・誤送信(21.6%)
• メールのCC/BCCの取り違え
• 添付ファイルの間違い
• システムの誤設定

⑶ 紛失・誤廃棄(10.5%)
• 書類やUSBメモリの紛失
• パソコンや携帯端末の盗難・紛失

⑷ 不正持ち出し・盗難(7.4%)
• 従業員による意図的な情報持ち出し
• 内部不正

③ 企業が特に注意すべきポイント
⑴ 業務委託先からの漏えいリスク
近年特に問題となっているのが、業務委託先からの漏えいです。
情報処理サービスを専門に請け負う企業が不正アクセスを受けたことで、業務を委託した側の顧客情報が流出して被害が拡大したケースが問題化しました。
自社だけでなく、委託先のセキュリティ体制も確認する必要があります。

⑵ ヒューマンエラーへの対策
誤交付や誤送付などのいわゆるヒューマンエラーによる漏えい事案が特に増加しました。
企業におけるその発生件数は2022年から2,577件多い6,104件(発生要因の86.3%)でした。
技術的対策だけでなく、従業員教育の徹底が不可欠です。

4.行政書士ができること・できないこと

個人情報保護に関して、行政書士がサポートできる範囲とできない範囲を正しく理解することが重要です。

〈 ✔ 行政書士ができること〉
① プライバシーポリシー(個人情報保護方針)の作成
昨今では、個人情報保護法の改正やマイナンバー法の成立にともない、プライバシーポリシーや秘密保持契約書の作成を主に担当する事務所も増えてきました。
行政書士は、企業のプライバシーポリシーや個人情報の取扱規程などの書類作成を支援できます。

② 個人情報保護に関する社内規程の整備支援
企業の個人情報保護体制を構築するための各種規程(個人情報取扱規程、安全管理措置規程など)の作成や見直しをサポートできます。

③ 個人情報保護に関する相談対応
個人情報保護法の内容や改正事項についての一般的な相談に応じることができます。
法令の解釈や企業がとるべき対策についてアドバイスを提供できます。

④ 官公署へ提出する書類の作成
個人情報保護に関連する各種届出書類など、官公署に提出する書類の作成を代行できます。

⑤ 契約書等の作成
業務委託契約書や秘密保持契約書(NDA)など、個人情報の取扱いに関する契約書類の作成ができます。


〈 ✖ 行政書士ができないこと〉
① 法律上の訴訟代理
個人情報漏えいに関する訴訟対応や法廷での代理行為は、弁護士の専管業務であり、行政書士は行うことができません。

② 法的紛争の代理交渉
個人情報漏えい事故後の被害者との示談交渉や損害賠償交渉など、法的紛争の代理人として交渉することはできません。

③ 個人情報保護委員会への報告義務の代行
漏えい等事案発生時の個人情報保護委員会への報告は、事業者自身が行う義務です。
行政書士は報告書類の作成支援はできますが、報告義務自体を代行することはできません。

④ 法的判断を伴う助言
具体的な法的紛争における解決策の提示や、訴訟の見通しについての助言は弁護士の業務範囲です。

⑤ システム構築や技術的対策の実施
セキュリティシステムの導入やIT技術面での対策は、専門のIT事業者の領域であり、行政書士の業務範囲外です。

⑥ 監査や第三者認証の付与
プライバシーマークやISMS認証などの第三者認証に関する審査や認証の付与は、認定機関の業務であり、行政書士が行うことはできません。


行政書士に相談するメリット〉
行政書士は個人情報保護法の専門知識を持ち、企業の実務に即した書類作成や規程整備のサポートが可能です。
特に中小企業にとっては、弁護士に依頼するよりもコストを抑えながら、必要な書類整備や体制構築の支援を受けられるメリットがあります。

ただし、既に個人情報漏えい事故が発生し法的紛争に発展している場合や、訴訟に関する助言が必要な場合は、弁護士への相談が必要となります。

5.よくある質問(FAQ)

Q1. 個人情報保護法はどんな企業が対象ですか?
A. 個人情報を1件でも取り扱う全ての事業者が対象です。
以前は5,000件以上という基準がありましたが、2017年の改正により撤廃され、中小企業や個人事業主も含めすべての事業者に適用されます。

Q2. 従業員の個人情報も個人情報保護法の対象ですか?
A. はい、対象となります。
従業員の氏名、住所、マイナンバーなどの情報も個人情報に該当するため、適切な管理が必要です。
採用時の応募書類や人事情報なども同様です。

Q3. プライバシーポリシーは必ず作成しなければなりませんか?
A. 法律上、プライバシーポリシーの作成自体は義務ではありませんが、個人情報の利用目的を本人に通知または公表する義務があります。
多くの企業がホームページ等でプライバシーポリシーを公表することで、この義務を果たしています。

Q4. 個人情報を委託先に提供する場合、本人の同意は必要ですか?
A. 業務委託に伴う個人情報の提供は、利用目的の範囲内であれば本人の同意は不要です。
ただし、委託先に対して適切な監督を行う義務があります。

Q5. 名刺交換で得た情報も個人情報保護法の対象ですか?
A. はい、対象となります。
名刺に記載された氏名、会社名、連絡先などは個人情報に該当します。
営業目的で使用する場合は、利用目的を明示する必要があります。

Q6. 個人情報漏えいが発生した場合、必ず個人情報保護委員会に報告しなければなりませんか?
A. すべての漏えいが報告対象となるわけではありません。
個人の権利利益を害するおそれが大きい場合(1,000件以上の漏えい、要配慮個人情報の漏えい、財産的被害のおそれがある場合など)に報告義務が生じます。

Q7. クラウドサービスを利用する場合の注意点は?
A. クラウドサービスの利用は外部委託に該当するため、委託先の安全管理体制を確認し、適切な監督を行う必要があります。
また、海外のクラウドサービスを利用する場合は、外国への第三者提供に関する規定が適用されることがあります。

Q8. 防犯カメラの映像は個人情報ですか?
A. 特定の個人を識別できる映像は個人情報に該当します。
防犯カメラを設置する場合は、利用目的を明示し、適切な管理を行う必要があります。

Q9. 個人情報保護法違反にはどのような罰則がありますか?
A. 個人情報保護委員会からの命令違反の場合、個人は1年以下の懲役または100万円以下の罰金、法人は最大1億円の罰金が科せられます。
また、データベースの不正提供などには刑事罰も設けられています。

Q10. 社内で個人情報保護の責任者を置く必要はありますか?
A. 法律上、責任者の設置は義務ではありませんが、個人情報の適切な管理のためには、責任者を明確にすることが推奨されます。
多くの企業では個人情報保護管理者を設置しています。

6.まとめ:企業の個人情報保護対応は専門家と共に

令和4年の個人情報保護法改正により、企業の責務はさらに強化されました。
漏えい等の報告義務化、罰則の強化など、コンプライアンス違反のリスクは年々高まっています。

個人情報の適切な管理は、企業の信頼性を維持し、顧客や取引先との良好な関係を保つために不可欠です。
しかし、法律の内容は専門的で複雑なため、自社だけで完璧に対応することは容易ではありません。

プライバシーポリシーの整備、社内規程の作成、従業員教育の実施など、企業が取り組むべき課題は多岐にわたります。
特に中小企業では、専門の法務部門を持たないケースも多く、どこから手をつけてよいか分からないという声もよく聞かれます。

プライバシーポリシーの作成や見直し、社内規程の整備、改正法への対応など、お困りのことがございましたら、専門家(行政書士など)へのご相談をご検討ください。

出典・参考
• 個人情報保護委員会:「改正個人情報保護法対応チェックポイント」
• 政府広報オンライン:「個人情報保護法改正~知っておくべき2つのポイント(個人編)」
• 政府広報オンライン:「『個人情報保護法』を分かりやすく解説。個人情報の取扱いルールとは?」
• 総務省:「行政書士制度」

≪南魚沼で行政書士をお探しの方へ≫

当事務所では、各種許認可申請、相続手続きなど、地域に寄り添ったサポートを行っております。
ご相談の内容により、他の専門家(司法書士・税理士など)との連携や、ご紹介をさせていただきます。
まずはお気軽にご相談ください。

当事務所の詳細はホームページをご覧ください。
        
「にわの行政書士事務所」のホームページ


※本記事は令和8年1月時点に入手可能な公的情報をもとにしています。年度によって制度内容が変更されている可能性があります。必ず最新の法改正情報などでご確認ください。