お付き合い先の企業よりご依頼いただき、２０１７年６月２１日の情報セキュリティ対策セミナーで、「改正個人情報保護法のポイントと企業の対応事項　サイバー問題・情報漏えい事件における賠償リスク」と題する講演をさせていただきました。

改正個人情報保護法は、２０１７年５月３０日に施行となりましたが、中小企業ではまだまだ十分な対応が進んでいないのが実情です。
旧法では取り扱う個人情報の数が５０００件以下の小規模事業者は個人情報保護法の対象外とされていましたが、今回の改正でこの５０００件要件が撤廃され、すべての事業者が個人情報保護法の対象となりました。
したがって、これまで個人情報保護法を踏まえた管理体制を取っていなかった中小企業では、新たに体制整備が必要となったのです。

また、５０００件要件の撤廃以外にも改正事項は多岐にわたり、①一定のデリケートな個人情報が「要配慮個人情報」とされて、通常の個人情報よりも厳格な取扱いルールが定められたこと、②個人情報の第三者提供について、いわゆるオプトアウト方式の要件が厳格化されたほか、提供年月日や提供先／提供元の名称等を記録・保存する義務が課されたこと、③利用する必要がなくなった個人情報の消去の努力義務が定められたことなどは、実務に大きな影響を与えるものです。
これまでは旧法を前提とした個人情報の管理体制を運用してきた企業でも、新法に対応する管理体制への見直しが必要となったのです。

講演では、まずは、このような個人情報保護法の主な改正点について、解説させていただきました。
また、サイバー攻撃や人的ミスによる個人情報の漏えい事件が発生した場合に、企業にはどのようなリスクがあるのかといった点や、中小企業が取るべき個人情報管理の対応事項について、ご説明させていただきました。
ここで重要なのは、①不正アクセスへの防止措置を怠った結果、サイバー攻撃による情報漏えいが発生した場合に、企業の賠償責任が認められた裁判例や、②従業員の人的ミスによる漏えい事件において、企業が個人情報保護や守秘義務についての従業員教育（研修など）を十分に行っていなかったことが、企業の責任原因とされた裁判例が存在することです。

したがって、企業としては、パソコンのウイルス対策ソフトおよびＵＴＭといったウイルス・不正アクセスへの技術的な面での対策を講じることがまずは必要となります。
そして、人的な要因による情報漏えいを防止するために、組織体制や社内規程等の整備、従業員に対する教育・訓練の実施など、様々な対策を講じていくことが求められています。
八戸シティ法律事務所では、個人情報の適正管理のための各種規程・マニュアル・書式の整備、研修などの従業員教育といった体制整備・新法対応をご支援させていただきます。
関心がおありでしたら、お気軽にお問い合わせいただければと存じます。

【講演内容】
１　個人情報保護法の主な改正点
（１）個人情報保護法の適用範囲の拡大
（２）個人情報の定義の明確化
（３）要配慮個人情報の新設
（４）匿名加工情報の新設
（５）オプトアウトの厳格化
（６）トレーサビリティの規定の新設
（７）個人情報の消去の努力義務の新設
２　サイバー問題・情報漏えい事件の賠償リスク
（１）個人情報漏えい事件の原因
（２）損害賠償額の相場（事例）
（３）従業員による秘密漏えい・名誉毀損の事例
（４）不正アクセスによる個人情報漏えい事件は会社の責任になるのか？
（５）個人情報漏えい事故が企業に与える影響
３　中小企業が取るべき個人情報管理の対応
（１）個人情報管理の体制整備
ア　組織的安全管理措置
イ　人的安全管理措置
ウ　物理的安全管理措置
エ　技術的安全管理措置
（２）　新個人情報保護法への対応
（３）　中小企業でも体制整備・新法対応は必要？
（４）　中小企業でも情報セキュリティ対策は必要？