「改正個人情報保護法」のポイントとは? ガイドラインの要点を整理!
個人情報保護法(正式名称:個人情報の保護に関する法律)が約10年ぶりに改正され、「改正個人情報保護法」として、2017年5月30日に全面施行されました。
このことを受け、個人情報を取り扱う事業者には、この改正個人情報保護法を踏まえた新しいルール策定が求められるようになりました。
昨今では、スマートフォンの普及をはじめ、マイナンバー制度の全面施行、ビッグデータを利用した新たなサービスの創出など、社会環境の発展には目覚ましいものがあります。
しかしその一方で、そこで利用される個人情報が新しいリスクにさらされることになり、より慎重かつ厳重な取扱いが必要になりました。
そうした課題を背景に、改正個人情報保護法が成立しました。
そして、プライバシーマークの新規格「JIS Q 15001:2017」では、この流れを受けた改定が行われており、プライバシーマーク取得事業者には新たな対応が求められます。
ここでは、条文やガイドラインを参照しながら、改正個人情報保護法の中でも特に事業活動に影響があると考えられる内容を取り上げ、簡単に解説していきたいと思います。
個人情報を取扱うすべての事業者が対象に
従来の個人情報保護法では、個人情報の取り扱い件数が5,000以下の事業者は、法規制の対象から外されていました。しかし、今回の改正で、この条件が撤廃され、個人情報を取り扱う全ての事業者が対象になりました。
この「事業者」には、個人事業主・NPO法人なども該当します。
個人情報の分類がより明確に
改正個人情報保護法では、個人情報のカテゴリーが整理され、より明確に再定義されました。
以下、その内容を見ていきます。
個人識別符号
改正個人情報法では、以下のいずれかが「個人識別符号」にあたると定義しています。
- 特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの
- 個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行されるカードその他の書類に記載され、若しくは電磁的方式により記録された文字、番号、記号その他の符号であって、その利用者若しくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ、又は記載され、若しくは記録されることにより、特定の利用者若しくは購入者又は発行を受ける者を識別することができるもの
条文では分かりにくいですが、具体的に言うと、
- 1は、指紋データ、顔認識データ、DNA情報、声紋、虹彩 など、特定の個人の身体情報を元にしたデータ
- 2は、旅券番号、基礎年金番号、運転免許証番号、個人番号(マイナンバー)
などが想定されます。
要配慮個人情報
改正個人情報保護法では、「要配慮個人情報」は以下のように定義されます。
本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報
つまり、第三者に知られることにより、本人が差別などの不利益を被る可能性があり、特別に配慮が必要な個人情報のことです。
プライバシーマークで「特定の機微な個人情報」として扱われるものと概念は近いですが、条項の記述を見ると、厳密には少し違います。(2つの違いについては、別の機会に触れたいと思います。)
事業者が要配慮個人情報を取得する場合、あらかじめ本人に同意を得る必要があります。
関連記事
改正個人情報保護法(2017年5月30日施行)では個人情報のカテゴリーが明確化され、「要配慮個人情報...
個人情報保護法やプライバシーマーク制度では、個人情報を適切に管理することが求められます。
匿名加工情報
改正個人情報保護法では、「匿名加工情報」という定義が新設されました。
匿名加工情報とは簡単に言うと、個人情報を加工し、元の状態に復元できないようにした情報のことです。
この匿名加工情報は個人情報として取り扱う必要がないことから、第三者提供に本人の同意を必要とせず、より自由度の高い情報活用が可能になります。
匿名加工情報についての概念とルールは、昨今のビッグデータやIoTの一般化などによる情報活用の実効性を高めるために考案されたと言えます。
個人情報提供のルールが強化
オプトアウト手続きの厳格化
個人情報を第三者に提供する可能性があることをあらかじめ本人に通知する、または知り得る状況に置くことで第三者への提供について同意を得たこととし、提供が可能になることをオプトアウトと言います。
改正個人情報保護法ではこのオプトアウトで第三者提供を行う場合に、個人情報保護委員会に届け出をすることが義務付けられました。
また、前述の要配慮個人情報はオプトアウトでの提供はできないので注意が必要です。
トレーサビリティの確保
トレーサビリティの確保とは、簡単に言うと、個人情報のやりとりを追跡可能にすることです。
具体的には、個人情報のやりとりの記録を取ることです。個人情報を提供をする側、提供を受ける側両方に記録義務があります。
必要な記録項目は、個人情報保護委員会のガイドラインに詳しく書かれていますので、ご参照ください。
グローバル化への対応
企業活動のグローバル化に対応する形で、個人データを外国の第三者に提供に関するルールが策定されました。
このルールの要点を簡単に言うと、特別な場合を除き、外国の第三者に個人データを提供するには、本人の同意が必要であるということです。
外国の第三者とは、個人データの本人及びそれを取り扱う事業者を除く、外国にある法人のことで、外国政府もこれにあたります。また、法人格の有無で判断されますので、現地支店や駐在所などはこれにあたりません。
データベース提供罪の新設
従来の個人情報保護法には、個人情報の不正な持ち出しや提供を罰する規程はありませんでした。
しかしながら、大きな社会問題になったベネッセの従業者による名簿の不正提供事件などを背景に、事件を抑止するという観点から、刑事罰の必要性が論じられるようになり、改正個人情報法ではデータベースの不正提供についての罰則が加えられ、個人情報データベース等を自己又は第三者の利益を不正に得るため、提供または盗用した場合、1年以下の懲役、もしくは50万円以下の罰金が課せられることになりました。
ガイドライン・条文等 参照先
ここでは、個人情報保護法の改正を受け、特に事業活動に影響がありそうな項目をピックアップしました。
ただし、当ページの内容はあくまで要点をまとめたものですので、詳細については以下URLのガイドラインや条文などを参照のうえ、理解を深めていただければと思います。
