改正個人情報保護法で何が変わったか。中小企業が今すぐ取り組むべき証跡管理の要点

セキュリティ2026.05.21

2022年4月に施行された改正個人情報保護法は、日本の個人情報保護の歴史において最大規模の改正でした。「規模が小さいから適用されない」という特例もなくなり、すべての民間事業者が対象です。この改正が中小企業の経営に直接影響する内容を整理します。

改正で変わった3つの重要ポイント

①漏洩時の報告義務が新設された
改正前は、個人情報の漏洩が発生しても必ずしも当局への報告や本人通知は義務ではありませんでした。改正後は、一定規模以上の漏洩（1,000件超、要配慮個人情報、財産的被害が生じる恐れがある場合など）が発生した場合、個人情報保護委員会への報告と本人への通知が義務となりました。

②罰則が大幅に強化された
個人情報の不正提供・漏洩に対する法人への罰金が最大1億円に引き上げられました（改正前は最大50万円）。20倍の強化です。

③「適切な安全管理措置」がより厳格に問われるようになった
漏洩が発生した際に、企業が「適切な安全管理措置」を講じていたかどうかが問われます。何もしていなかった場合と、ログ管理や操作記録を実施していた場合では、行政指導・処分の重さが変わる可能性があります。

「安全管理措置」としてのPC操作ログ

個人情報保護委員会のガイドラインでは、安全管理措置の一つとして「アクセスログの記録・管理」「内部不正への対策」が挙げられています。PC操作ログの記録・管理は、法律が求める「安全管理措置」の具体的な実装として位置付けられます。万が一漏洩が発生した場合にも、「このような管理措置を実施していた」という証明ができることで、監督当局への対応や、取引先・顧客への説明において、企業の誠実な姿勢を示すことができます。