投稿日: 投稿者: dolphin

改正個人情報保護法の概要〜改正の内容 (その2)

前回の「改正個人情報保護法の概要〜改正の背景と目的 (その1)」では何故改正されたのかその背景と目的について説明しました。今回はその具体的な改正法の強化内容についてポイントを説明したいと思います。

改正の内容

前述の課題、目的に対応するために強化された改正ポイントを以下簡単にまとめてみます。

個人情報の再定義

改正法では個人情報の定義を以下のように明確化しました。

(従来)
「生存する個人に関する情報であって、氏名、生年月日その他の記述等により特定の個人を識別することができるもの」

(今回)

  • 曖昧であった「記述等」の対象を明確化し、「文書、図画、電磁的記録」とした。
  • 個人識別符号を追加
    身体特徴データ型、サービス番号型
  • 要配慮個人情報を追加
    人種、信条、社会的身分、病歴、犯罪歴、犯罪の被害事実その他不当な差別、偏見その他の不利益が生じないように特に配慮を要するもの

全事業者への適用

従来法では取り扱う個人情報が過去6ヶ月間で5,000件を超えない事業者への適用は除外されていましたが、改正法ではこの適用除外を撤廃し、すべての事業者に法令順守を課しています。

注意しないといけないのは、改正法の施行後に取得した個人情報は当然ですが、施行前に取得した個人情報についてもその取扱いについては義務が課せられることになります(取得時の通知・同意については過去にさかのぼってとる必要はありませんが今後の取扱は全て改正法に則ります)。改正法施行前に取得した個人情報についても改めて見直すことが必要です。

トレーサビリティの強化

簡単に言うと名簿業者対策です。自ら取得し管理している個人情報は当然ですが、第三者から入手したもの、第三者へ提供するものの入口、出口も明確にして個人情報受け渡しの追跡を可能とするものです(トレーサビリティの強化)。

第三者から提供を受ける際は、第三者の氏名(法人なら名称、代表者氏名)、住所、取得の経緯、年月日など規定のものを記録保存しなければなりません。また第三者へ提供する個人情報は本人同意が必要であることなどが規定され、違反した場合は罰則が適用されるといった名簿屋対策が講じられてます。第三者に個人情報を提供することを利用目的とする事業者は事前に個人情報保護委員会への届出が必要です。

ここでは何が個人情報で誰が第三者にあたるかを判断し、自社業務の個人情報の取扱範囲における厳格な管理をとることが必要です。

グローバル対応

従来の個人情報保護法は、日本国内における事業者に適用され、例えば海外の事業者が日本でサービス展開する上で個人情報を取得する場合や海外の第三者への提供などの場合に対して考慮されていませんでした。そこで外国政府と協力し個人情報の保護を行えるよう国際水準の制度に強化する必要があり、外国の第三者への個人情報提供のルールの明確化、外国の第三者への個人情報の提供についての本人同意などの義務を強化しています。

これはEUやAPECなどの海外事業者が日本の企業との取引を安心して行えるようになる、または日本企業が安心して取引ができるようになり海外事業の拡大に繋がります。海外子会社へのアウトソーシングや協業、M&Aなどを行っている会社は自社と海外との情報やりとりについて確認する必要があります。

匿名加工情報

個人情報の保護という観点とは別に、ビッグデータの活用による事業拡大のためにパーソナルデータを積極的に活用したいというニーズが高まっており、個人情報の保護と活用という二面のニーズを実現するために、パーソナルデータの利活用をする際のルールが新たに規定されました。ルールを守れば活用できますということです。

「個人情報」を特定個人が識別できないように加工し、個人情報への復元もできないようにした「匿名加工情報」として定義しなおすことで、「個人の権利利益を侵害することがなく、誰でも利活用できる情報」として取り扱うことができるようになります。たとえば、ポイントカードの購買履歴、交通系ICカードによる移動履歴などのデータを利用した新サービス、新商品の開発などに活用することなどができます。匿名加工情報を作成するためには、保有する情報の中で何が個人情報かを正確に理解し、加工方法やその取扱いについてのルールを定めることが必要です。

パーソナルデータとは、個人情報保護法で規定の個人情報に限定されない個人に関する行動・状態に関するデータです。個人情報を含んだ広い範囲の個人に関するデータであり、プライバシー保護の観点で慎重な取り扱いが求められています。

罰則強化~実効性の担保

某通信教育大手の事件では個人情報保護として直接罰する法律がなく、不正競争防止法で罰しましたが、今回はデータベース提供罪(個人情報データベース等提供罪)の創設で不正提供、盗用には刑事罰が科されます(1年以下の懲役または50万円以下の罰金)。これは不正行為者だけが罰せられるのではなく両罰規定といい事業者も処罰されますので社内の内部規定の整備や従業員・関係会社への教育啓蒙が重要となります。

以上が改正法の概要ですが、事業者はこれらへどのように対応したらよいのでしょうか?(次回へ続く)

Copyright © 2017 ドルフィン行政書士事務所 All Rights Reserved.