2017年5月30日「改正個人情報保護法」が全面施行されました。個人情報保護法が成立した2003年当時は、今ではあたりまえに使われている Twitter、Facebook、LINE などのSNSサービス、AWSなどのクラウドサービス、iPhoneなどのスマートフォン、どれも存在すらしていませんでした。この10余年でWEBやIT技術が劇的に進化したことが、この改正の最大の要因とされています。そこで今回は、「改正個人情報保護法」で注意しておきたいポイントをまとめてみました。
個人情報保護法の目的
まずはじめに、個人情報保護法の目的を確認しておきましょう。個人情報保護法で定められている数々の義務や規律は、この目的を達成するためにあります。
個人情報保護法は「個人の権利利益を保護」することが目的とされています。また、個人情報が経済活動などさまざまな場面で役に立つこと(これを「有用性」といいます)にも配慮するようにとも、個人情報保護法 第1条に書かれています。
改正前の第1条には「個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする」とだけ書かれていましたが、今回の改正で「個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであることその他の個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする」という有用性を具体的に示す文言が追加されました。
今回の改正では、いわゆる名簿業者対策で個人の権利利益の保護を強化していますが、匿名加工情報が定義されたように個人情報を活用して産業や経済を発展させてほしいという思いもあるようです。
個人情報保護法の改正で変わったこと
個人情報保護法の改正の概要は次の通りです。今回はこの中から特に注意しておきたいポイントを5つ詳しく見ていきたいと思います。
| ● 施行日1 2016年1月1日 | ||
| 個人情報保護委員会の新設 | 個人情報保護委員会 | 個人情報の保護に関する独立した機関として、個人情報保護委員会を新設(特定個人情報保護委員会を改組。内閣府の外局) |
| ● 施行日2 2017年5月30日 | ||
| 1. 個人情報の定義の明確化等 | 個人情報の定義の明確化 | 特定の個人の身体的特徴を変換したもの(例:顔認識データ)等を個人情報として明確化。 |
| 要配慮個人情報 | 人種、信条、病歴等が含まれる個人情報については、本人の同意をとって取得することを原則義務化し、本人の同意を得ない第三者提供の特例(以下「オプトアウト手続」という。)を禁止。 | |
| 小規模取扱事業者への対応 | 5,000人分以下の個人情報を取り扱う事業者に対しても個人情報保護法を適用。 | |
| 2. 適切な規律の下で個人情報等の有用性を確保 | 利用目的の変更要件の緩和 | 当初の利用目的から新たな利用目的への変更の要件を緩和。 |
| 匿名加工情報 | 特定の個人を識別することができないように個人情報を加工したものを匿名加工情報とし、その加工方法及び事業者による公表等その取扱いに関する規律を新設。 | |
| 3. 適正な個人情報の流通を確保 | オプトアウト手続の厳格化 | 事業者は、オプトアウト手続によって個人データを第三者に提供しようとする場合、データの項目等を個人 情報保護委員会へ届出。同委員会は、その内容を公表。 |
| トレーサビリティの確保 | 個人データを提供した事業者は、受領者の氏名等の記録を一定期間保存。また、個人データを第三者から受領した事業者は、提供者の氏名やデータの取得経緯等を確認し、一定期間その記録を保存。 | |
| 個人情報データベース等不正提供罪 | 個人情報データベース等を取り扱う事務に従事する者又は従事していた者等が、不正な利益を 図る目的で提供し、又は盗用する行為を処罰する規定を新設。 | |
| 4. 個人情報保護委員会の権限 | 個人情報保護委員会 | 現行の主務大臣の有する権限を個人情報保護委員会に集約し、立入検査の権限等を追加。 |
| 5. 個人情報の取扱いのグローバル化 | 国境を越えた法の適用と外国執行当局への情報提供 | 日本に居住する本人から個人情報を直接取得した外国の事業者についても 個人情報保護法を原則適用。また、個人情報保護委員会による外国執行当局への情報提供が可能に。 |
| 外国事業者への第三者提供 | 個人情報保護委員会規則に則った体制整備をした場合、個人情報保護委員会が認めた国の場合、又は本人の同意により、個人データを外国の第三者へ提供することが可能であることを明確化。 | |
| 6. 認定個人情報保護団体の活用 | 個人情報保護指針 | 認定個人情報保護団体は、個人情報保護指針を作成する際には、消費者の意見等を聴くよう努めるとともに個人情報保護委員会へ届出。同委員会は、その内容を公表。同指針を遵守させるための対象事業者への指導・勧告等を義務化。 |
| 7. その他の改正事項 | 開示等請求権 | 本人の開示、訂正、利用停止等の求めは、裁判上も行使できる請求権であることを明確化。 |
個人情報の利活用と保護に関するハンドブック | 個人情報保護委員会 より引用
個人情報保護委員会の新設
改正個人情報保護法の全面施行に先がけて、2016年1月1日「個人情報保護委員会」が新設され、個人情報保護法を所轄しています。改正後の条文には「個人情報保護委員会規則で定める」という文言が多く見られるようになりました。
改正前の個人情報保護法では、事業分野ごとに担当大臣が個人情報取扱事業者を監督していたため、個人情報保護法に関するガイドラインも事業分野ごとに各省庁が定めていました。しかし、平成29年5月30日の改正法の施行後は、個人情報保護委員会が定めるガイドライン(「個人情報の保護に関する法律についてのガイドライン(通則編)」他3編)に、原則一元化されています。
今後は、個人情報保護委員会が定める「個人情報の保護に関する法律についてのガイドライン(通則編)他3編」が事業分野を問わず共通のガイドラインになります。このガイドラインは、個人情報保護委員会|法令・ガイドライン等 のページからダウンロードすることができます。
小規模取扱事業者への対応
改正前は、5,000人分以下の個人情報を取り扱う事業者は個人情報保護法の適用を除外されていましたが、これが撤廃されました。今回の改正で一番大きい変更点だと思います。
個人情報を「データーベース化」して事業活動に利用していれば「個人情報取扱事業者」に該当し、個人情報保護法を守らなければなりません。これは法人に限定されず、営利・非営利は問わないため、個人情報事業主やNPO、自治会や同窓会なども「個人情報取扱事業者」にあたる場合があります。
ここでいう「データーベース化」とは、エクセルで作った名簿はもちろん、パソコンやスマートフォンのメールアドレス帳なども該当しますので、個人情報を活用しているのであれば、個人情報保護法が適用されると思った方がよいでしょう。
だだ、個人情報保護法が適用されたからといって過剰に対応してはいけません。民法などほかの法律はだれにでもあたりまえに適用されています。2005年の個人情報保護法が全面施行された直後に発生したJR福知山線列車事故では、被害者の搬送先の一部の病院が法律違反を恐れて、家族からの安否確認すら拒んでしまい大問題となりました。
個人情報保護委員会が配布している「個人情報の利活用と保護に関するハンドブック」で紹介されているルールを守っていれば法律違反になることはまずありえません。少しでも個人情報を取り扱うのであれば、いちど目を通しておくことをオススメします。
個人情報の定義の明確化
個人情報とは、「生存している個人に関する情報であって、氏名、生年月日、住所などにより特定の個人を識別することができるもの(他の情報と容易に照合でき、それにより特定の個人を識別することができるものを含む)」とされていましたが、今回の改正で「個人識別符号」が含まれるものも個人情報として新たに定義されました。
個人識別符号
「個人識別符号」は次の2つのものが該当します。
1)特定の個人の身体の一部の特徴を電子計算機のために変換した符号
細胞から採取したDNA、指紋認識データ、顔認識データなど
2)対象者ごとに異なるものとなるように役務の利用、商品の購入または書類に付される符号
パスポートの番号、基礎年金番号、免許証の番号、住民票コードなど
これら「個人識別符号」の定義の詳細は、個人情報保護委員会のガイドラインに具体的に書かれています。
他の情報と容易に照合でき、それにより特定の個人を識別〜とは?
しかし、変わらず解釈に悩むのは、個人情報保護法 第2条(定義)にも書かれている「他の情報と容易に照合でき、それにより特定の個人を識別することができるものを含む」ではないでしょうか?(これは改正前から書かれていました)
これについて、情報法を専門としている弁護士の方が、次のような具体例と考え方を示されています。
(「他の情報と容易に照合でき、それにより特定の個人を識別することができるものを含む」の)具体例をあげると、顧客番号や社員番号だけで氏名やその他の個人を特定できる記述等がない書類を、社内で別に用意した氏名入りの台帳といつでも簡単に照合できるようなケースです。その一方、社外の者にとっては、簡単には台帳と突き合わせることができませんので、個人識別性がなく、個人情報にはあたりません。このように、個人情報となるかどうかについては、ある程度、立場に応じて相対的に変わらぜるをえない性格のものです。
個人情報保護法の知識<第4版> P97 より引用
例えば、A社の社員番号は、A社の人にとっては「個人情報」になりますが、A社以外の人には「個人情報」にはなりません。単に情報そのものだけをみて個人情報と判断するのではなく、どういった立場で情報を扱うのかも考慮するのが必要ということですね。
適正な個人情報の流通を確保
今回の個人情報保護法の改正は、法律の内容を明確にしたり、個人情報の利活用を促進するような内容が多いですが、ルールを厳しくしたのが「適正な個人情報の流通を確保」に関する部分です。
おそらくこの改正の背景にあるのは、2014年に発生した株式会社ベネッセコーポレーションの個人情報漏洩事件です。この事件ではベネッセの業務委託先元社員が個人情報を不正に取得し、約3,000万件分の情報を名簿業者3社へ売却してしまいました。
これに対し今回の改正では「個人情報データベース等不正提供罪」で個人情報の盗用するような行為を処罰の対象とし、「オプトアウト手続きの厳格化」と「トレーサビリティの確保」で名簿業者が不正に入手した個人情報を第三者に売却などできないようにされています。
オプトアウト手続きの厳格化
オプトアウトによる第三者提供を行うには、次の(1)から(5) までに掲げる事項をあらかじめ本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出る必要があります。
- (1) 第三者への提供を利用目的とすること。
- (2) 第三者に提供される個人データの項目
- (3) 第三者への提供の方法
- (4) 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。
- (5) 本人の求めを受け付ける方法
また、今回の改正で新たに定義された「要配慮個人情報」(個人情報のうち、人種、信条、社会的身分、病歴、犯罪 の経歴、犯罪により害を被った事実等が含まれるも)は、オプトアウトにより第三者に提供することはできません。
トレーサビリティの確保
「トレーサビリティの確保」では、個人データを第三者に提供した事業者、個人データを第三者から受領した事業者、この双方に提供者の氏名やデータの取得経緯等を確認することや一定期間その記録を保存する義務が発生します。これについては別紙のガイドライン「個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編)」用意されるほど、細かくルールが決められています。
委託先への個人データの提供は第三者提供ではない
ただし、委託先への個人データの提供は第三者提供にはあたりません。しかも本人の同意も必要ありません、その代わりに委託先への監督義務が課せられます。
住宅地図業者(表札や郵便受けを調べて住宅地図を作成・販売)のような事業を行なうなどよっぽどの理由がない限り「オプトアウトによる第三者提供」を使う必要はまずないと思います。
匿名加工情報
「匿名加工情報」とは、特定の個人を識別することができないように個人情報を加工したものです。その加工方法及び事業者による公表など取扱いに関する規律が新設されました。「匿名加工情報」についても別紙のガイドライン「個人情報の保護に関する法律についてのガイドライン(匿名加工情報編)」が定められています。
事業者にとって「匿名加工情報」制度のメリットは、匿名加工情報を第三者への提供できることです。例えば年代別のECサイトの利用状況のような統計データを販売することができます。
ただし、匿名加工情報を作成した場合は「匿名加工情報取扱事業者」としての次のような義務を守らなければなりません。
- 加工して作成した情報の項目の公表
- 加工方法等情報の取り扱いに関する規定類の整備
- 加工方法等情報を取り扱う者の権限及び責任を明確に定めること
などなど、、
一見メリットが大きそうな「匿名加工情報」の制度ですが、課せられる義務やルールも多くそれを守るためにかなりの手間が発生します。「匿名加工情報」を商売にしない限りは、むやみに匿名加工せずに個人情報取扱事業者としてのルールの範囲内で個人データを取り扱うのが良さそうです。
おわりに
この記事を書くのにあたって書籍「個人情報保護法の知識〈第4版〉 (日経文庫)
コメント