改正個人情報保護法 “個人情報”取り扱いのポイント

個人情報保護法は、個人の権利・利益の保護と個人情報の有用性とのバランスを図るため、また民間事業者の個人情報の取扱いについて規定しています。

今回の改正は、情報通信技術の発展、事業のグローバル化等の急速な環境変化、ビッグデータの利活用に対するニーズの高まりと、個人情報の大量流出事案による国民の不安増大など様々な分野からの指摘を背景としています。

今日は、この個人情報法語法の改正点について、詳しく解説します!

改正点① 個人情報の定義の明確化

個人情報の範囲自体は変わらないものの、情報の性質上、特定の個人を識別することができるものを新たに「個人識別符号」として定義しています。

「個人識別符号」とは、基本的に以下2つのどちらかに該当するものをいいます。

①身体の一部の特徴を電子計算機(いわゆるコンピュータ)のために変換した符号
例:顔の骨格、虹彩、声紋、手指の静脈、指紋など

②役務の利用や書類において対象者ごとに割り振られる符号
例:旅券番号、基礎年金番号、免許証番号、マイナンバーなど

関連して、個人情報のうち、本人の人種、信条、病歴など本人に対する不当な差別または偏見が生じる可能性のある個人情報を「要配慮個人情報」と定義しています。

これを取得する場合に原則として本人の同意の取得の義務化や、オプトアウト(※1)による第三者提供が禁止されることなどが盛り込まれました。

※1 オプトアウトとは?
個人情報の第三者提供において、本人が拒否した場合を除き、自由に提供を認めること。

たとえば、従業員の健康診断の結果などを取得する場合、あらかじめ本人の同意が必要です。

image_2870_640_0

改正点② 匿名加工情報の創設

今回の改正により、「匿名加工情報」という概念が創設されました。

これは、もともと個人情報であるデータを誰の情報か分からないように加工するとともに、個人情報として復元できないようにしたものです。

匿名加工情報は個人情報には該当しないため、本人の同意を得ないで第三者提供が可能となります。

企業は匿名加工情報を基に、ビッグデータの利活用に向けた取り組みを促進することができると考えられます。

一方、個人情報をどのように加工すれば匿名加工情報となり得るかがまだ決まっていなません。

今後その加工方法や加工基準については、個人情報保護委員会の委員会規則によって明らかにされる予定です。

改正点③ すべての事業者に適用

改正前、個人情報保護法の対象事業者は、5,000人以上の個人情報を取り扱う事業者のみとなっていました。

改正後の法の適用をうける事業者は、

「顧客情報、取引先情報、従業員情報等において、1人以上の個人情報を有し、それらを事業を営む上で利用している事業者」となります。

そのため、実質的にすべての事業者が適用対象となり、従来以上に個人情報の管理に気をつけなければなりません。

改正点④ データベース提供罪の新設

個人情報データベースなどを取り扱う事務に従事する者又は従事していた者等が、

不正な利益を図る目的で提供もしくは盗用した場合、1年以下の懲役または50万円以下の罰金を科せられます。

これまでは個人情報の漏えい事件が発生しても、法律違反として罰則が適用された例は少なかったです。

しかし、事件の多発等によって、このような罰則強化に向けた法制化が図られました。

image_2871_640_0

改正点⑤ 個人情報の保護を強化

トレーサビリティの確保として、個人データを提供した事業者は、受領者の氏名等の記録を一定期間保存しなければなりません。

また第三者から受領した事業者は、提供者の氏名やデータの取得経緯等を確認し、一定期間その記録を保存しなければなりません。。

例えば、提携先の事業者から顧客を紹介され、その顧客の個人情報の提供を受ける場合、記録作成など適切に対処することが求められます。

当事務所からの提案

個人情報の範囲・内容を正しく認識し、かつ従業員にも周知徹底する!

携帯電話番号やメールアドレスなど、個人情報に該当するかどうかが不明瞭で、グレーゾーンとして取り扱われてきた情報に関し、事業者は社内における情報管理を改めて検討する必要があります。

これを機に、社内の個人情報保護方針や関連する規程・マニュアル等についての見直してみてはいかがでしょうか?

本改正では、前述通り個人データの不正な提供や盗用については厳しく取り締まる姿勢も打ち出されています。

通信端末のパスワード設定やセキュリティソフトの導入、個人データベース設置場所の入退室管理、データベースへのアクセス制御など、

従業員への教育も含め、改めて自社の状況をチェックの上、必要に応じて改善が求められます。