個人情報保護教育とは？改定で必要性が増した社員教育のポイントや方法を解説

個人情報保護法が改定され、企業が考えるべき課題も増えてきました。また、個人情報保護法についての教育も必須となっています。しかし、そもそもなぜ個人情報保護がここまで重要となってきたのでしょう。ここでは、個人情報保護法が制定された理由も合わせて、個人情報保護教育の必要性について解説します。

個人情報保護教育とは？

個人情報保護教育とは、個人情報を正しく理解して適切な対応ができるよう、企業が従業員を対象に行う教育です。

生まれたときからインターネットを利用でき、個人の携帯を持つことが当たり前の世代と、紙媒体で情報管理を行ってきた世代とでは、個人情報に対しての危機管理や認識にズレが生じています。そのため、会社全体・社員一人ひとりに対して、個人情報保護に関する教育が必要となっているのです。

【2022年4月施行】改正個人情報保護法の改正点について

個人情報保護法は、2017年5月30日に全面施行された、まだ歴史の浅い法律です。2015年に法改正した際は、3年ごとに個人情報保護制度を見直しが決まり、2022年4月に「事業者の責務」「ペナルティ強化」がくわわりました。

改定を繰り返されたのには訳があります。国際動向や通信技術の進展は留まることを知らず、これらの成長と比例して、法の改定が余儀なくされていたからです。

また。事業者の責務が追加された理由は、制定当時には想定されなかった個人保有データの利用活動が、情報通信技術の発展により可能になったからです。

現行法では、個人情報を利用目的外で使用した場合や、不正方法で情報を取得した場合、利用の停止や消去などの個人の請求権は法違反をなされたときに限定されていました。

改正後は「固有個人データを取扱する必要がなくなった場合」「漏えいが生じた場合」、あるいは「本人の権利または正当な利益が恐れる場合」でも、利用停止・消去・第三者提供も停止を請求できるようになったのです。ペナルティ強化も同様に、これに合わせて厳罰化が進み罰則金額が引き上げられました。

改正の背景その1：情報流出の危険性が高まったため

通信情報網の発展によるプライバシー侵害の危険性が高まりました。技術の発展と共にサイバー攻撃ウイルスによる第三者の不正侵入技術も高度になり、対策ソフトの導入など個人情報流出対策の必要性が高くなったのです。

改正ポイント1：事業者の責務

改正後「個人情報取扱事業者に対して、個人保有データの漏洩などが発生した場合の報告義務及び本人に対する通知義務（個人情報の保護に関する法律 | e-Gov法令検索、第18条参照）」「個人情報取扱事業者の個人情報の不適正な利用の禁止義務」が明文化されました。

改正ポイント2：データ利活用の促進

個人情報を管理・取扱いする際、個人を特定できないように加工した場合でも、加工前と同等の規制対象でした。

しかし改正後は、ほかの情報と照合しない限り、個人が特定できないように加工した個人情報は、開示・利用停止請求への対応などの義務を緩和。ただし、「仮名加工情報取扱事業者の内部分析目的の利用に限定するなどを条件とする」としています。

改正ポイント3：事業者に自主的な取り組みを推進

適正な取扱いの確保に関して必要な業務を自主的に行う民間団体を「認定個人情報保護団体」とする制度はあったものの、すべての分野・事業が対象でハードルが高いものでした。

法改定後は特定の分野が対象にくわわり、自主的な個人情報の管理・取扱いを促すことにつながりました。

改正背景その2：第三者情報記録の開示ルールを明確化するため

第三者情報記録の開示に伴うルールを企業や個人に任せてしまうと思わぬ事態を招く恐れもあります。そのため、開示ルールを明確化する必要性が出てきました。

改正ポイント：本人請求権の拡大

改正後は、個人情報報取扱主任者に対して、利用の停止・開示・請求について細かな点が変わってきました。これまでは、利用停止や消去は個人保有データの目的以外の利用や不正手段で情報取得した場合、第三者提供の停止は本人の同意なくといった「限定」された内容でした。

しかし改正後は、不適正な利用がなされたときも追加され、請求権の拡大がなされています。ここで気をつけたいのが改正後の変更のほかに、保護法と改正法の違いです。

改正背景その3：法にもとづいた情報管理・取扱いを厳罰化するため

これまでも法に基づいた情報管理・取扱いに対して、情報が漏えいした場合や、虚偽の申告をした場合など罰則が設けられていました。しかし、国際動向や通信技術の発展に伴い、より一層厳重な管理・取扱いが求められています。法に記した厳しい罰則をつくることで、危機管理に警鐘を鳴らしています。

改正ポイント：ペナルティの強化

法改正後、法違反に伴う罰則金額が引き上げられました。一番大きな変化は、個人情報保護委員会からの命令へ違反です。改正前は30万円以下でしたが、改正後は1億円以下になりました。

企業が知るべき個人情報保護法のポイント！2022年4月の改正法も解説

個人情報保護の理解不足で生じる企業トラブル

次に個人情報保護の理解不足で生じる企業トラブルには、どんなものがあるか解説します。

人為的ミスを起こしやすい

個人情報漏えいの大半は、人為的ミスが多い傾向にあります。大切な情報資産を預かっている責任の希薄さ、情報管理・取扱い認識の甘さやズレによるトラブルが多くなっているため、この点に注意して社員教育をしましょう。

会社の信頼性を失う

個人情報保護の理解と管理が適切でなければ容易に情報が流出してしまいます。結果として会社の信頼を一瞬にして失うことにつながります。

社内環境が悪くなる

個人情報の管理・取扱いに関する理解がすれ違うと、従業員同士のコミュニケーションにも影響をおよぼします。自分が適切に行っていても、同僚・上司・会社が不適切では意味がないうえ、お互いの信頼も失ってしまいます。

知っておきたい情報セキュリティ10大脅威

2024年2月にIPA独立行政法人情報処理推進機構が発行した「情報セキュリティ10大脅威2024（PDF）」から、「組織」に向けた脅威を表で見てみましょう。

順位	「組織」向け脅威	初選出年	10 大脅威での取り扱い （2016 年以降）
1	ランサムウェアによる被害	2016 年	9 年連続 9 回目
2	サプライチェーンの弱点を悪用した攻撃	2019 年	6 年連続 6 回目
3	内部不正による情報漏えい等の被害	2016 年	9 年連続 9 回目
4	標的型攻撃による機密情報の窃取	2016 年	9 年連続 9 回目
5	修正プログラムの公開前を狙う攻撃（ゼロデイ攻撃）	2022 年	3 年連続 3 回目
6	不注意による情報漏えい等の被害	2016 年	6 年連続 7 回目
7	脆弱性対策情報の公開に伴う悪用増加	2016 年	4 年連続 7 回目
8	ビジネスメール詐欺による金銭被害	2018 年	7 年連続 7 回目
9	テレワーク等のニューノーマルな働き方を狙った攻撃	2021 年	4 年連続 4 回目
10	犯罪のビジネス化（アンダーグラウンドサービス）	2017 年	2 年連続 4 回目

出典元：IPA独立行政法人情報処理推進機構「情報セキュリティ10大脅威2024（PDF）」

ここからは表に取り上げられたうち上位5つについて、手口と対策を解説します。

【1位】ランサムウェアによる被害

【個人情報保護を脅かすランサムウェアの手口】

ランサムウェア攻撃者は、個人情報保護が不十分なシステムの脆弱性を狙います。主な感染経路は4つです。

1. VPNなどの脆弱性を悪用したネットワーク経由の侵入
2. 公開サーバーへの不正アクセス
3. メールの添付ファイルやリンクを利用した感染
4. 改ざんされたWebサイトを通じた感染

これらの手口により、攻撃者はセキュリティの弱点を突き、システム全体に侵入し、個人情報を含む重要データを危険にさらします。

【個人情報保護を強化するランサムウェア対策】

ランサムウェア対策には、組織全体での取り組みが重要となります。有効なのは、下記のような対応です。

• 多要素認証の設定
• 不審なメールやリンクへの注意
• 適切なアクセス権管理
• 定期的なバックアップ

被害発生時は、適切な報告・連絡・相談と、バックアップからの復旧を試みましょう。身代金支払いは推奨されません。個人情報保護を含む総合的なセキュリティ戦略の立案と実行が、ランサムウェア対策の要となります。

【2位】サプライチェーンの弱点を悪用した攻撃

【個人情報保護を脅かすサプライチェーン攻撃の手口】

サプライチェーン攻撃は、個人情報保護に深刻な脅威をもたらすものです。攻撃者は、以下のような攻撃を行います。

• セキュリティの弱い取引先や委託先を狙い、そこから標的組織の機密情報を窃取
• ソフトウェア開発元やサービス提供者を攻撃し、製品やサービスにマルウェアを仕込んで、多数の組織に一度に攻撃を仕掛ける

これらの手法は、直接攻撃が困難な組織への侵入口として利用されます。個人情報の大規模流出につながる危険性もあるでしょう。

【個人情報保護を強化するサプライチェーン対策】

個人情報保護を含むサプライチェーンのセキュリティ強化には、組織全体での取り組みが不可欠です。主な対策として、取引先の選定基準の厳格化、契約内容の明確化、定期的な監査の実施があります。

また、SBOM（ソフトウェア部品表）の導入やセキュリティ認証の取得も有効です。被害発生時には、迅速な報告・連絡・相談と、関係組織との連携が重要となります。これらを通じて、サプライチェーン全体での個人情報保護体制を構築することが求められているのです。

【3位】内部不正による情報漏えい等の被害

【個人情報保護を脅かす内部不正の手口】

内部不正は個人情報保護に深刻な脅威をもたらします。主な手口として挙げられるのは、下記のとおりです。＋

• アクセス権限の悪用：付与された権限を使って重要情報を窃取や改ざん
• 退職者による旧アカウントの悪用：削除されていない旧アカウントでの不正アクセス
• 内部情報の持ち出し：USBメモリーやクラウドストレージなどを使用した情報の外部流出

これらの行為は、組織の信用失墜や経済的損失を引き起こし、個人情報の大規模流出につながる危険性があります。

【個人情報保護を強化する内部不正対策】

個人情報保護を含む内部不正対策には、組織全体での取り組みが不可欠です。主な対策として、下記のようなものがあります。

• 基本方針の策定と経営層の関与
• 重要情報の管理と保護（アクセス権管理、DLPツールの導入）
• 物理的管理（入退室管理、外部媒体の制限）
• 従業員教育とコンプライアンス徹底
• システム操作履歴の監視
• インシデント発生時の迅速な対応体制の整備

これらを通じて、組織全体で個人情報保護の意識を高め、内部不正のリスクを最小化することが求められています。

【4位】標的型攻撃による機密情報の窃取

【個人情報保護を脅かす標的型攻撃の手口】

標的型攻撃は、個人情報を含む機密情報の窃取や業務妨害を目的とした巧妙な手法で、主な手口として下記のようなものがあります。

• 偽装メール：業務関連を装った添付ファイルやリンクでウイルス感染を誘導
• 水飲み場型攻撃：ひんぱんに利用するWebサイトを改ざんしてウイルスを仕込む
• 不正アクセス：クラウドサービスやVPN装置の脆弱性を悪用して侵入

攻撃者は長期潜伏して活動することもあり、個人情報の大規模流出や事業継続への重大な影響をもたらす可能性があります。

【個人情報保護を強化する標的型攻撃対策】

個人情報保護を含む標的型攻撃対策には、組織全体での多層的な取り組みが不可欠といえます。主な対策として挙げられるのは下記のとおりです。

• 情報の適切な管理と暗号化
• 継続的な脅威情報の収集と従業員教育
• インシデント対応訓練の実施
• サーバー、クライアント、ネットワークの適切なセキュリティ対策
• アプリケーション許可リストの整備
• 取引先や海外拠点のセキュリティ対策確認

また、従業員レベルでは不審なメールやリンクへの注意が重要です。これらの対策を通じて、組織全体で個人情報保護の意識を高め、標的型攻撃のリスクを最小化することが求められています。

【5位】修正プログラムの公開前を狙う攻撃（ゼロデイ攻撃）

【個人情報保護を脅かすゼロデイ攻撃の手口】

ゼロデイ攻撃は、ソフトウェアの脆弱性が公開される前に行われる攻撃で、個人情報保護に深刻な脅威をもたらします。攻撃者は未公開の脆弱性を悪用し、DDoS攻撃、不正なスクリプト実行、特権アカウント作成などを行うのです。

たとえば、2023年にはHTTP/2プロトコルの脆弱性を利用した大規模DDoS攻撃や、WinRARの脆弱性を悪用したスクリプト実行攻撃が発生しました。これらの攻撃は、個人情報を含む機密データの漏えいやシステム停止を引き起こす可能性があり、対策が困難なためとくに危険です。

【個人情報保護を強化するゼロデイ攻撃対策】

個人情報保護を含むゼロデイ攻撃対策には、予防と迅速な対応が重要といえます。主な対策として挙げられるのは下記のようなものです。

• セキュリティサポートが充実したソフトウェアの使用
• 脆弱性情報の継続的収集と管理
• 適切なセキュリティ対策の実施
• インシデント対応体制の整備

脆弱性が公開されたときは即時に回避策や緩和策を適用し、必要に応じてソフトウェアの使用を一時停止します。そして修正プログラムがリリースされたら速やかに適用し、被害が発生したら影響調査と対策強化を進めていきます。

これらを通じて、組織全体で個人情報保護の体制を強化し、ゼロデイ攻撃のリスクを最小化することが求められているのです。

IPAによる個人情報保護を含んだ情報セキュリティ対策の基本

2024 年 2 月にIPA独立行政法人情報処理推進機構が発行した「情報セキュリティ10大脅威2024（PDF）」では、情報セキュリティ対策の基本として下記のような表を発表しています。

攻撃の糸口	情報セキュリティ対策の基本	目的
ソフトウェアの脆弱性	ソフトウェアの更新	脆弱性を解消し攻撃によるリスク を低減する
ウイルス感染	セキュリティソフトの利用	攻撃をブロックする
パスワード窃取	パスワードの管理・認証の強化	パスワード窃取によるリスクを低 減する
設定不備	設定の見直し	誤った設定を攻撃に利用されな いようにする
誘導（罠にはめる）	脅威・手口を知る	手口から重要視すべき対策を理 解する

また同資料では、

順位が高いか低いかに関わらず、自身または組織が置かれている立場や環境を考慮して優先度を付け、適切な対応を取る必要がある。

とも述べています。言い換えれば自社の状況をしっかり把握してどの対応が必要か判断し、速やかに実施することがどの企業にも求められているのです。

出典元：IPA独立行政法人情報処理推進機構「情報セキュリティ10大脅威2024（PDF）」

個人情報保護の社員教育で気をつけるべきこと2つ

個人情報保護の社員教育で気をつけるべきポイントは以下の通りです。

情報漏えいの危険性を知っておく

個人情報が漏えいすると、どのような事態になるのかを理解する必要があります。個人情報は、個人を識別できる個人保有データです。氏名・年齢・住所やパスワードが漏えいするとどんな危険が起こるか、教育時には必ず想定させましょう。

個人情報保護法違反が身近に起きるケースとは？事例や起きないための予防策も解説

情報を取り扱う責任を意識する

「自分がやらなくても誰かがやってくれる」「会社や上司が確認してくれる」といった他人任せでは、情報漏えいの危険に拍車をかけます。一人ひとりの行動が個人情報漏えいの危険にさらされている意識を持たせることが社員教育のポイントです。

個人情報保護に関する社員教育の具体例4つ

社員教育はどのように実施すればよいのか、具体例をご紹介します。

定期的な社内研修の実施

個人情報保護法の社内研修は義務化していますので、多くの企業が定期的な社内研修を実施しています。外部講師による教育、eラーニングなどを活用した教育が一般的です。実施時期は自社の状況に合わせて行ってください。

個人情報保護研修とは？実施内容と押さえておきたいポイントを解説

個人情報取扱いに対するガイドブックの作成

個人情報保護法研修で学ぶ以外に誰もがすぐに確認できるガイドブックの作成もオススメです。個人情報保護法に関する著書は書店やAmazonなどで購入も可能なので、自主的に閲覧できるようにするのも効果があります。

チェック体制の徹底

個人情報を取り扱う際、パスワードの二重化、デジタルサインなどさまざまな対策は行えるでしょう。しかしやはり人の目で確認をすると人為的ミスを防げます。一人で行わず二人以上で確認する、といったようにチェック体制を徹底することが大切です。

社内環境の改善

最近では在宅ワークも増え、社員同士のコミュニケーションが難しくなり、個人情報に関する疑問があってもすぐに確認できないことがあります。また誰に聞けばよいか不明なことも多いため、社内環境を見直してすぐ確認できるようにするのも大きなポイントです。

個人情報保護の社員教育の指導タイミング

最後に個人情報保護の社員教育の指導タイミングについてご説明します。

新入社員が入社したとき

新入社員に対して、社内ルールや業務を早く覚えさせたいと思いがちです。しかし個人情報保護も同時に教育が必要といえます。いくら仕事ができても個人情報保護への理解・取扱いに不安があれば大切な人材を失ってしまうかもしれません。

ヒヤリハットが起こったとき

ミスの大小にかかわらず、個人情報保護で何か問題が起きたときはすぐに指導しましょう。社員教育で大事なことは、ミスを責めるのではなく、どうして起きてしまったのかを考え、対策と改善を考えること。こうした適切な教育が従業員を成長させます。

社内報告や共有がうまくいっていないと気づいたとき

個人情報保護に関する教育をどれだけ行っても、理解には個人差があります。日々の業務に追われて忘れてしまう人もいれば、面倒になってやらなくなる人もいるでしょう。そのような事態を発見したときはすぐに教育が必要となります。

個人情報保護の社員教育にオススメの「manebi ラーニング」

個人情報保護の教育で最も効果的なのが、個人情報保護法に関する研修を行うこと。しかし、講師を招いて行う研修は時間とコストがかかるため。最近ではeラーニングなどを活用したオンライン研修の導入をする企業が増えています。

そこでオススメなのが5,000以上の豊富なコンテンツを有し、多くの企業・団体が導入して個人情報保護教育を初めとした各種研修に活用している「manebi eラーニング」。個人情報保護教育以外にも、企業研修に活用できるコースがあり、自社に合わせて社員のスキルアップに貢献しています。

パソコンやスマートフォンでいつでも・どこでも学べるので、時代にマッチした教育手法です。まずはお気軽にご相談・お問い合わせください。