2026/05/17
コンプライアンス個人情報保護法(以下「個情法」)は、2022年4月施行の改正(令和2年改正)を経て、企業に対してより高い水準のコンプライアンス対応を求めるようになりました。漏えい時の報告・通知義務の創設、個人の権利強化、越境データ移転規制の厳格化、不適正利用の禁止など、従来の運用では対応しきれない論点が一気に増えた形です。
さらに、個人情報保護委員会(PPC)による監督・執行も強化されており、違反企業への勧告・命令・罰則が現実のリスクとして浮上しています。実際に、大手企業が是正勧告を受けたケースや、行政指導を受けた事案が相次いで報道されるなか、「対応済み」と思っていた企業ほど見直しが必要な局面に差し掛かっています。
本稿では、中堅・大企業の法務部担当者を対象に、最新の個情法改正の主要ポイントを整理したうえで、社内整備のチェックリストを具体的に提示します。法務部が主導して体制を整えるための実務的な視点から解説します。
令和2年改正は、2022年4月の全面施行により、企業実務に大きな変化をもたらしました。法務部として最低限把握しておくべき改正項目を以下に整理します。
改正前は漏えい時の報告は努力義務でしたが、改正後は一定の要件を満たす漏えいについて、個人情報保護委員会への報告および本人への通知が義務化されました。報告が必要となる類型は以下のとおりです。
報告は漏えいを「知った」時点から速報(3〜5日以内の目安)と確報(30日以内)の2段階で行う必要があります。法務部としては、インシデント対応フローに漏えい報告の手順を組み込み、IT部門・広報・経営層との連携体制を整備することが急務です。
改正により、本人が企業に対してできる請求の範囲が拡大しました。具体的には、利用停止・消去・第三者提供停止の請求事由が広がり、従来は「目的外利用」や「不正取得」に限られていた利用停止請求が、個人の権利・正当な利益が害されるおそれがある場合にも認められるようになりました。
また、開示請求に対する電磁的記録での提供も本人が求めれば対応する義務が生じます。これに対応するために、社内の個人情報管理台帳の整備や、請求受付窓口の手続き整備が必要です。
海外のグループ会社やクラウドサービスへの個人データ提供に関するルールが厳格化されました。外国への第三者提供に際しては、相手国の個人情報保護制度の情報提供や、適切な措置を講ずる旨の本人への情報提供が求められます。
特に、EU一般データ保護規則(GDPR)との対比で日本の個情法が注目されるなか、グローバルに事業展開する企業では、各国の規制との整合性を確認しながら移転先管理を行う必要があります。
個人情報の「不適正な方法」による利用が明示的に禁止されました。違法または不当な行為を助長・誘発するおそれがある方法での個人情報利用は、たとえ本人の同意があっても許容されません。また、第三者提供時の確認・記録義務の対象も整理され、オプトアウトによる第三者提供の要件が厳しくなりました。
改正対応においては、法務部が単なる「チェック部門」ではなく、社内横断的なプロジェクトの主導役を担うことが求められます。以下に、体制整備の主要論点を解説します。
自社がどのような個人情報を、どの部門で、どのような目的で、どのくらいの期間、どこに保管しているかを把握する「個人情報管理台帳」の整備は、すべての対応の出発点です。改正対応では、特に以下の項目を台帳に追加・更新する必要があります。
台帳の整備は一度やって終わりではなく、定期的なアップデートが必要です。事業部門との協力体制を構築し、新規サービス開始やシステム変更の際に台帳の更新が漏れないよう、ルール化することが重要です。
漏えい報告義務が法定化されたことで、インシデント発生時の対応フローを改正法に合わせて見直す必要があります。対応フローには以下の項目を盛り込む必要があります。
特に「速報は3〜5日以内」という時間的なプレッシャーを踏まえると、判断が遅れることのないよう、事前に「誰が何を判断するか」を明確にしておくことが不可欠です。
プライバシーポリシーは、法改正の内容を踏まえて改定が必要です。特に以下の点を確認してください。
また、社内の個人情報取扱規程・プライバシー規程・情報セキュリティポリシーとの整合性も確認し、必要に応じて一括改定することを検討してください。規程だけ整備して実態が伴わないケースが多いため、規程改定と同時に現場への周知・研修を実施することが重要です。
個情法対応は法務部だけで完結できるものではなく、マーケティング・IT・人事・営業など、個人情報を取り扱う各事業部門との密接な連携が必要です。
台帳整備や規程改定を進める前提として、各部門が実際に扱っている個人情報の実態を把握するためのヒアリングが必要です。ヒアリングでは以下のような論点を確認します。
ヒアリング結果を整理することで、リスクの高い業務プロセスを特定でき、優先的に対応すべき箇所を明確にできます。
個人情報の漏えいの多くは、外部からの不正アクセスではなく、内部の人的ミス(メール誤送信・ファイル誤添付・USBの紛失など)によるものです。法改正対応では、規程や技術的な管理措置に加えて、社員の意識・行動を変えるための教育が不可欠です。
研修のポイントは以下のとおりです。
法務部が研修コンテンツを作成し、人事部門が受講管理を行うという役割分担が機能している企業が多く見られます。
個人データを外部委託先や業務パートナーに提供する場合、個情法上、委託元は委託先に対して必要かつ適切な監督を行う義務を負います。改正後は、委託先が再委託を行う際の規律も整理されており、委託先管理はより重要な論点となっています。
委託先の選定にあたっては、以下のような観点から評価することが求められます。
また、委託契約書には以下の条項を必ず盛り込んでください。
委託先と契約を締結するだけでは不十分です。個情法上の「監督」義務を果たすためには、定期的な確認・監査が必要です。実務的には、年1回程度のアンケート調査や現場確認を実施している企業が多く見られます。リスクの高い委託先(大量の個人データを扱う先・要配慮個人情報を取り扱う先)については、より頻度を高めた確認が望まれます。
以下に、法務部が個情法対応の進捗を確認するためのチェックリストを示します。定期的にこのリストに照らして自社の状況を評価し、未対応項目の解消に取り組んでください。
個人情報保護法への対応は、規程の整備にとどまらず、台帳管理・インシデント対応・委託先管理・社員教育と多岐にわたります。法務部のリソースだけで対応しきれないケースも多く、外部の専門家や法務アウトソーシングの活用が現実的な選択肢となっています。
LeONEでは、企業法務部向けの業務アウトソーシング・法務部コンサルティング・法務人材コネクトなどのサービスを通じて、個情法対応をはじめとするコンプライアンス体制の整備を支援しています。法務部の体制強化や業務効率化にお悩みの方は、ぜひお気軽にご相談ください。
法律の要件を満たすだけでなく、顧客・従業員・ビジネスパートナーからの信頼を守るための個人情報保護体制の構築に、LeONEは全力でお手伝いします。