2022年4月より個人情報保護法が改正されます。

昨今のサイバー攻撃とも密接に関連する本改正についてわかりやすく解説いたします。

従来努力義務だった以下の報告・通知が原則義務付けられます。

①個人情報保護委員会への報告

②本人に対する通知

サイバー攻撃による情報漏洩も上記に含まれます。

個人情報保護委員会からの是正勧告や命令があり、違反事業者を公表、最高で１億円の罰金刑に処せられる可能性があります。

（欧米では数百億円の支払命令も実際に出ています）

従来5000人以上の個人情報取扱事業者でしたが、改正後は全ての事業者が対象になります。

情報漏洩のおそれのある事態を知った日から概ね３〜５日以内に報告する「速報」と、原因や再発防止策等も盛り込み30日以内（サイバー攻撃による漏洩の場合は60日以内）に報告する「確報」の２段階の報告が求められます。

個人情報漏洩が発生すると、報告・通知義務等の対応が必須となり、その負担やコストはかなり増大することが見込まれます。

本人への通知が必須になり、顧客や取引先にセキュリティレベルの低い企業ととらえられ、以後の業績や取引状況にも多大なる影響を与えるおそれが生じます。