新年、明けましておめでとうございます。
皆様のご多幸とご健勝をお祈り申し上げます。
2005年4月に「個人情報保護法(以下、旧法という)」が全面施行されてから10年経過した2015年9月に個人情報保護法が改正され(以下、改正法という)公布されました。これには、従来の旧法に対する過大若しくは過少解釈があった他、2013年のJR東日本によるSuicaデータの販売騒動や2014年のベネッセコーポレーションによる大量の個人情報漏えい事件等への社会的な対応要請、IoTの進展他のビッグデータ活用に対する規範の明確化が必要になったという背景があります。
現在は、2017年5月1日(予定)からの改正法の全面施行に向けて準備が進められている処です。既に「行政手続きにおける特定の個人を識別するための番号の利用等に関する法律(以下、番号利用法という)」が施行され、中小企業にとっては何かと未だ整理がついていない中での改正法施行になりますので、業務現場での混乱等が発生するかも知れません。特に、旧法においては適用外だった5,000人以下の個人情報しか取扱っていない小規模事業者も、改正法では例外なく適用対象ですので、その対応準備は周到に進める必要があるでしょう。
とは言え、改正個人情報保護法への対応をゼロから記述すると膨大な量の記事になりますので、今回は旧法と改正法との差の部分、つまり改正点に絞って以下に解説していきたいと思っています。改正個人情報保護法への対応をゼロから始める必要がある場合は、個別にお問合せを頂けると幸いです。また、旧法からの個人情報取扱事業者(取扱う個人情報が5,000人以上)は、ビッグデータ取扱事業者、いわゆる名簿屋、名簿を購入する事業者以外の組織であるなら、今回の改正法による影響は軽微な程度になります。
主な改正項目は、以下のとおりです。
対象範囲:1)個人情報の定義の明確化、2)小規模取扱事業者の特例の廃止
取得局面:3)要配慮個人情報(いわゆる機微情報)、4)トレーサビリティの確保
(受領側)
利用局面:5)利用目的の変更要件の緩和、6)匿名加工情報に関する加工方法や取扱
提供局面:4)トレーサビリティの確保(提供側)、
7)外国にある第三者への個人データの提供制限、
8)オプトアウト規定の厳格化、9)個人情報データベース等提供罪
開示局面:10)開示等請求権の明確化
その他 :11)個人情報保護委員会の新設及びその権限、
12)国境を越えた適用と外国執行当局への情報提供
主な項目について、簡単な説明を以下に加えます。
1) 個人情報の定義の明確化
個人情報に該当するか否かの判断でグレーに思われていた点を明確にした。特に、個人識別符号(顔認識データ、指紋認識データ、旅券番号、免許証番号、基礎年金番号、保険証番号、個人番号等が含まれるもの)は、容易照合性がなくても個人情報であることを明確にした。
2) 小規模取扱事業者の特例の廃止
過去6カ月間のいずれの月においても取扱個人情報が5,000を超えない事業者も、個人情報取扱事業者として改正法の適用を受けることになった。
3) 要配慮個人情報(いわゆる機微情報)
次を要配慮個人情報として明確にするとともに、取得及び提供に本人の事前同意を必須とした。但し、本人や国の機関他の特定の者により公開されている場合や事業承継・共同利用・委託による取得には例外規定があります。もちろん、オプトアウト手続きによる提供は禁止です。
人種(国籍ではない)、信条(思想・信仰も)、社会的身分(職業的地位や学歴は含まない)、病歴、犯罪の経歴、犯罪により害を被った事実、心身機能の障害があること、医師等による健康診断の結果、医師等により心身の状態の改善のための指導又は診療若しくは調剤が行われたこと、逮捕・捜索等の刑事手続きに関する手続きが行われたこと、少年の保護事件に関する手続きが行われたこと。(プライバシーマークで機微情報の一つである労働組合関係活動に関する情報は含まれない)
4) トレーサビリティの確保
・第三者提供を受ける側の義務・・・次の事項を提供者に確認して記録し保管
提供を受けた年月日、第三者の氏名・名称、住所等、取得の経緯、本人の氏名・番号・ID等、
個人データの項目、(オプトアウトによる取得は個人情報保護委員会により公表されている旨)、
本人の同意があるときはその旨
・記録の保存期間(提供側・受領側共通)
授受の都度に作成して、3年間保存
例外措置A:契約書等の代替手段による方法により記録を作成した場合、最後に当該記録に係る
個人データの提供を行った日から起算して1年を経過する日まで保存
例外措置B:一括して記録を作成する方法により記録を作成した場合、最後に当該記録に係る
個人データの提供を行った日から起算して3年を経過する日まで保存
※オプトアウトによる提供の場合は、例外措置の適用はないことに注意
・第三者提供をする側の義務・・・・次の事項を確認して記録し保管
提供した年月日、第三者の氏名・名称、住所等、本人の氏名・番号・ID等、個人データの項目、本人の同意があるときはその旨
5) 利用目的の変更要件の緩和
旧法では、「利用目的を変更する場合には、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えて行ってはならない」としていました。今回の改正法では「相当の」という文言が削除されて単に関連性を有すると拡大解釈が可能となりました。
6) 匿名加工情報に関する加工方法や取扱い
JR東日本のSuicaデータ販売騒動に起因することですが、今後のビッグデータの取扱に影響することが予想されます。改正法における匿名加工情報の位置付けは、個人情報と非個人情報の中間に位置する情報ということになります。具体的には、個人を識別することが可能な情報及び個人識別符号の全てを削除して、情報を相互に連結する符号や特異な記述等を削除した上、個人情報データベース等の性質を踏まえたその他の措置を施した情報ということになっています。なお、匿名加工情報の他の情報との照合や加工方法等の情報を取得する行為等、再識別を行うことは禁止されています。
7) 外国にある第三者への個人データの提供制限
外国にある第三者への個人データの提供は制限されるが、次の例外があります。
(ア)本人の同意がある場合、(イ)我が国と同等の水準にあると認められる個人情報保護の制度を有している外国にある第三者(現時点では該当はない)、(ウ)提供の当事者間で、提供先における個人データの取扱について、契約や内規等により法の規定の趣旨に沿った措置の実施が確保されている第三者、又はAPECの越境プライバシールール(CBPR)の認証を得ている第三者、(エ)改正法第23条1項による法令で認められた場合
※事業承継、共同利用、委託による外国への移転は第三者提供の制限の例外に該当しないので本人の同意を得る必要があります。
8) オプトアウト規定の厳格化
オプトアウトによる提供の枠組みが明確にされました。名簿屋は、個人情報保護委員会に届け出る登録制が取られるようになります。個人情報保護委員会は、その内容を公表することとしています。
個人情報取扱事業者は、次に掲げる事項について予め本人に通知し、又は本人が容易に知り得る状態に置いているときは、当該個人データを第三者に提供することができるとしています。
・第三者への提供を利用目的としていること
・第三者に提供する個人データの項目
・第三者への提供の手段又は方法
・本人の求めに応じて個人データの第三者への提供を停止すること
・本人の求めを受け付ける方法
※本人が容易に知り得る状態に置くとは、本人が提供の停止を求めるのに必要な予告期間を置いて、事業所の窓口への書面の掲示・備付、又はウェブサイトへの掲載その他の継続的な方法によることとしています。
9) 個人情報データベース等提供罪
ベネッセコーポレーションの漏えい事故のように、個人情報取扱事業者、若しくはその従業者又はこれらであった者は、その業務に関して取扱った個人情報データベース等(その全部又は一部を複製し、又は加工したものを含む)を自己若しくは第三者の不正な利益を図る目的で提供又は登用した場合は、1年以下の懲役または50万円以下の罰金が科されることになりました。
10) 開示等請求権の明確化
平成19年6月27日の東京地裁では、開示等の請求権の権利性を否定して行政処分のみを認めました。しかし、今回の改正法では、本人が個人情報取扱事業者に対して自身の保有個人データの開示、訂正等及び利用停止等の請求を行う権利を有することを明確にしました。従って、今後は開示等の請求に対して、不当な請求拒否や2週間経過しても対応がない場合は、裁判所へ訴訟提起することができます。
11) 個人情報保護委員会の新設及びその権限、
12) 国境を越えた適用と外国執行当局への情報提供
特定個人情報保護委員会として活動を開始していた組織が、今回の改正法によって個人情報保護委員会に改組され、2016年から機能しています。もちろん、政府機関で個人情報や個人番号を管理する強力な権限が与えられています。詳細はこちらのウェブサイト「http://www.ppc.go.jp/」を参照してください。
-------------------------------------------------------------------------
■執筆者プロフィール
中村久吉(なかむらひさよし) (NPO)ITコーディネータ京都理事長
ITコーディネータ、中小企業診断士、プライバシーマーク主任審査員
e-mail: ohnakamura@gmail.com
コメントをお書きください