改正個人情報保護法の概要

         

              【改正個人情報保護法の概要】

  

(1)個人情報保護法の改正

平成17年(2005年)9月に施行された「個人情報の保護に関する法律」(平成15年法律第57号)が、約10年ぶりに改正され、平成27年(2015年)に「改正個人情報保護法」が国会で成立し公布されました。その後、平成29年(2017年)5月30日より施行されています。

 

個人情報の定義の在り方、個人情報の取扱いルールが変更になり、平成29年(2017年)5月施行の改正法に基づいた対応、例えば、契約書の個人情報保護条項秘密保持契約(NDA)、個人情報保護規程等の社内規程の改正個人情報保護法に依拠した修正やカスタマイズが企業において必要になってきます。

 

(2)主な改正点について
個人情報保護法は、制定後10年以上が経過しました。IT技術の飛躍的な進歩や国民の個人情報や権利意識の変化などに対応する必要が生じ、このため個人情報の保護を図りつつも個人データの利活用を促進することによる新サービスの創出と国民の安全、安心の向上の実現を狙いとして、個人情報保護法は、制定後初めての大幅な改正がなさなれました。


  a「個人情報」の定義の明確化        b「要配慮個人情報」の定義化
  c「匿名加工情報」の定義化           d 利用目的の変更についての規定の整備
  e 第三者提供に係る確認及び記録作成等の義務化
  fオプトアウト規定の厳格化          g 小規模事業者除外規定の廃止
  h 立入調査権等を持つ個人情報保護委員会の設置
  i 個人情報等が国を超えて取り扱われる場合に関する規定の設置
  j 個人情報データベース等不正提供・盗用罪の新設

  以上のように幅広く改正されています。特に重要な論点にいて次に掲載します。

 

(3)「個人情報」の定義の明確化
  @「個人情報」の定義に関しては、「個人識別符号が含まれるもの」との記述が加わりました(法2条1項2号)。個人識別符号の例としては、顔認識、生体認証用のデータ、運転免許証番号、パスポート番号などがあります(同条2項)。

また、クレジットカード番号、メールアドレス、個人契約の携帯電話番号、各種ID番号などが個人識別符号に含まれるか否かは、政令の制定などによって明確になります。

 

(4)「要配慮個人情報」の定義
「要配慮個人情報」は、「人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報」と定義され(法2条3項)これの取得または第三者への提供に原則として本人の同意が必要とされました(法17条2項)。

また、オプトアウト方式による第三者提供はできない事とされました(法23条2項)。

 従来の問題となっていたセンシティブ情報、機微情報とされていた情報に関して、新たに規定され
 @ 信条とは、「宗教上の信仰を意味することの他に、それにとどまらず広く思想上・政治上の主義を含む」とされています。

 A 社会的身分とは「人が、社会において一時的ではなしに占める地位」または、「ある個人にその境遇として固着していて、一生の間、自らの力では容易にそこから脱しえないような地位」といわれています。


 オプトイン・オプトアウトについて
@ オプトインは、選択を意味する英語ですが、本人が選択したサービスのみを提供する場合に用いられ、例えば、本人が事前にダイレクトメール受け取りを許可した場合をオプトインメールといいます。
個人情報保護法においては、個人情報の第三者提供を原則として、オプトインを採用しており、本人が「同意・選択」した場合に限り第三者提供が認められています。

 

A オプトアウトとは、本人が事前に承諾していないサービスを提供して、本人の拒否によりサービスを停止することを意味します。
例えば、事前の承諾を得ないままに送付されるダイレクトメール等の末尾に「今後このようなご案内が不要な方は、下記連絡先までご連絡ください」と記載されている場合です。

 

個人情報保護法では、個人情報の第三者提供の例外としてオプトアウトが認められており、特定の条件が具備する場合に限り本人の同意がなくても第三者提供ができるとされています。

 

(5)匿名加工情報」の定義化
「匿名加工情報」が定義されました(法2条9項)。条文上詳細に定義されていますが、ポイントは、特定の個人を識別できないように個人情報を加工し、当該個人情報を復元することができないようにしたものです

「匿名加工情報取扱事業者」(法2条10項)は、匿名加工情報の作成・提供・安全管理のための措置、再識別の禁止等につき一定の義務を負うこととれさました(法36条〜39条)。

匿名加工情報は、個人情報に該当しないものとされ、本人の同意がなくとも第三者に提供することができるとされています。
 
しかし、ある情報が匿名加工情報に該当するか否かの判断のためには、さまざまなな問題がありま

す。

 

(6)利用目的の変更についての規定の変更
「個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲 を超えて行ってはならない」(法15条)とされ、「変更前の利用目的と相当の関連性」とされている改正前よりも,個人情報利用目的を変更できる範囲が拡大されました。

 

しかしながら、どのような場合が「変更前の利用目的と関連性を有すると合理的に認められる」かはについては条文から明確に認識することはできず、個別具体的な判断基準、具体例は、個人情報保護員会等のガイドラインを検討することが必要と思われます。

 

(7)第三者提供に係る確認及び記録作成等の義務化
@ 個人情報取扱事業者が第三者から個人データの提供を受けた場合、当該第三者の情報や当該第三者が当該個人データを 取得した経緯を確認し、提供の日付等とともに記録し一定期間保存する義務を負うこととされました(法26条)。

また、個人情報取扱事業者が個人データを第三者に提供する際にも、原則として記録保存が必要とされました(法25条)。これは、名簿業者などによる不適切な個人情報の流通への対策とされています。

A 個人情報保護法25条,26条の確認、記録、保存義務は、個人情報取扱事業者にとり業務上過大な負担となることから(平成27年個人情報保護法改正時に衆議院・参議院の付帯決議により、個人情報取扱事業者に対する過重な負担が示されていた。)確認、記録義務が適用されない第三者提供としてガイトラインには、解釈により負担軽減方法が提示されています。

詳細は、当事務所までお問い合わせください

 

(8)規模事業者除外規定の廃止
改正前においては、取り扱う個人データの数が過去6ヶ月以内に一度も5000件を超えたことがない事業者は、「個人情報取扱事業者」ではないとされていました。

改正個人情報保護法では,この除外が廃止され(法2条5項)、個人情報データベース等を事業の用に供している事業者は、すべて個人情報取扱事業者に該当します。

 

 従って、企業は個人情報保護体制の構築又は再検討・再構築が必要になってきます。

 

(9)個人情報データベース等不正提供・盗用罪の新設
個人情報取扱事業者もしくはその従業者、またはこれらであった者が、その業務に関して取り扱った個人情報データベース等を自己もしくは第三者の不正な利益を図る目的で提供し、または盗用した場合には、1年以下の懲役または50万円以下の罰金に処せらます(法83条、個人情報データベース等不正提供・盗用罪)。

 

 

      個人情報サポートのご案内はこちら

 

        ご依頼・ご相談はこちら

 

     ▼▼お電話でのご依頼・ご相談はこちら▼▼ 

            TEL:03-6311-8727

 

             このページのトップに戻ります