個人情報保護法の改正内容
個人情報保護法の改正内容を整理すると、表1の通りとなります。個人情報の定義や要配慮個人情報、匿名加工情報などについて、いくつか解説します。
「個人情報の利活用と保護に関するハンドブック」(個人情報保護委員会)
(https://www.ppc.go.jp/files/pdf/personal_280229sympo_pamph.pdf)を加工して作成
個人情報の定義の明確化
個人情報に該当するか判断が困難なケースが増えているという観点で、個人情報の定義が一部修正されました。具体的には、新たに個人識別符号という用語が条文に加わり、以前に比べて個人情報の定義が明確化されました。
個人識別符合とは「①特定の個人の一部の特徴を電子計算機のために変換した符号」と「②対象者ごとに異なるものとなるように役務の利用、商品の購入又は書類に付される符号」に分かれます。それぞれの詳細は表2に記載します。
要配慮個人情報
人種、信条、病歴、社会的身分、犯罪経歴等が含まれる個人情報より、本人に対して不当な差別や偏見その他の不利益が生じないように配慮されるものが、要配慮個人情報として定められました。これらの情報を取得する場合は本人の同意をとることが義務化され、本人の同意を得ない第三者提供の特例(オプトアウト手続き)についても禁止とされます。
匿名加工情報
IT技術の進化により、多種多様なビックデータが蓄積され分析されることで、ビジネスに活用される事が一般的になりました。このような時代背景の中で、パーソナルデータの利活用に向けて一定の条件の下で、特定の個人を識別することができないように個人情報を加工したものを匿名加工情報とし、その加工方法及び事業者による公表等その取扱いに関する制度が新設されました。
改正個人情報保護法が適用となった事業者の5つのポイント
改正法に伴って、小規模取扱事業者にも個人情報保護法が適用されることになりますが、これらの事業者向けに個人情報保護委員会から案内が出ています。その内容をまとめたものが下記になります。
1.個人情報を取得する時のルール
● 事業者は、個人情報を取り扱うに当たっては、その利用目的を特定しなければなりません。また、個人情報を取得するに当たっては、取得前にあらかじめその利用目的を公表するか、個人情報を取得した後速やかに、その利用目的を本人へ通知、又は公表しなければなりません。
なお、書面によって本人から直接個人情報を取得する場合には、あらかじめ本人にその利用目的を明示しなければなりません。
● 事業者は、偽りその他不正な手段によって個人情報を取得してはなりません。要配慮個人情報を取得するに当たっては、原則として本人の同意をとる必要があります。【改正】
2.個人情報を利用する時のルール
● 事業者は、特定した利用目的の範囲内で個人情報を取り扱わなければならず、その目的の範囲を超えて取り扱う場合には、あらかじめ本人の同意をとる必要があります。もっとも、変更前の利用目的に関連すると合理的に認められる範囲内であれば、利用目的を変更することができます。【改正】
利用目的を変更した場合は、変更された目的を本人へ通知、又は公表する必要があります。
3.個人情報を保管する時のルール
● 個人データは正確で最新の内容に保ち、利用する必要がなくなったときはデータを消去するよう努めなければなりません。(第19条)【改正】
● 個人データの漏えいや滅失を防ぐため、セキュリティソフトの利用やパスワード設定を行うなど、事業の規模等に応じた適切な技術的措置等をとらなければなりません。(第20条)
● 安全にデータが管理されるよう、正社員、契約社員、アルバイト等の従業者に対して、適切な監督を行わなければなりません。(第21条)
また、個人データの取扱いを委託する場合には、委託先に対しても、適切な監督を行わなければなりません。(第22条)
4.個人データを他人に渡す時のルール
● 原則として、あらかじめ本人の同意をとれば、事業者は個人データを他の事業者に提供することができます。なお、次の①~③のいずれかに該当する場合には、例外的に、本人の同意がなくても提供することができます。(第23条)
①以下のいずれかによって提供する場合
- 法令に基づく場合(例:警察から刑事訴訟法に基づく照会があった場合)
- 人の生命、身体又は財産の保護に必要であり、かつ、本人の同意を得ることが困難な場合(例:災害や事故の緊急時に患者に関する情報を医師に伝える場合)
- 公衆衛生・児童の健全な育成に特に必要であり、かつ、本人の同意を得ることが困難な場合(例:児童虐待防止のために、児童や保護者に関する情報を児童相談所、学校等で共有する場合)
- 国の機関等へ協力する必要があり、かつ、本人の同意を得るとその遂行に支障を及ぼすおそれがある場合(例:統計調査に協力する場合)
②以下の3点すべてを行って提供する場合 (オプトアウト手続。要配慮個人情報を提供する場合を除く。)
- 本人の求めに応じて、その本人の個人データについて、第三者への提供を停止することとしていること
- 本人の求めを受け付ける方法等をあらかじめ本人に通知、又は継続的にHPに掲載するなど本人が容易に知ることができる状態に置くこと
- 本人に通知等した事項を個人情報保護委員会に届け出ること【改正】
③委託、事業承継、共同利用に伴って提供する場合には、「第三者」に提供する ものとはされません。
5.本人から個人情報の開示を求められた時のルール
● 事業者は、その個人情報が保有個人データである場合には、第三者の利益を害する等の一定の場合を除き、原則として本人からの開示請求に応じる必要があります。(第28条)【改正】
● 本人からの請求に応じて、保有個人データの内容に誤りがある場合には訂正・削除を、事業者が第16条、第17条、第23条第1項、第24条の義務に違反している場合には保有個人データの利用の停止・消去等をする必要があります。(第29条、第30条)【改正】
● 保有個人データの利用目的や事業者の名称等を継続的にHPへ掲載するなど本人が知ることができる状態に置き、本人の求めに応じて、その本人の保有個人データの利用目的を通知しなければなりません。(第27条)
「個人情報の理活用と保護に関するハンドブック」(個人情報保護委員会)
(https://www.ppc.go.jp/personal/pr/)を加工して作成
上記ポイントである「3.個人情報を保管する時のルール」には、安全管理措置の必要性について記載がありますが、こちらについては別途ガイドラインも示されております。このガイドラインは主に「組織的安全管理措置」「人的安全管理措置」「物理的安全管理措置」「技術的安全管理措置」から構成されています。
改正法では、個人情報保護強化の観点でデータベース提供罪が創設されたことからも分かるように、今後安全管理措置の重要性が大きくなっています。個人情報の不正な提供や盗用については厳しく罰せられます。従って、個人情報データベースなどの安全管理体制( 安全管理区画の設備 入退室におけるパスワード認証・ICカード認証・生体認証)に関しては、定期的に自社の状況を確認した上で、必要に応じた改善が必要になってきます。