マイナンバーだけじゃない!?中小企業が知っておくべき個人情報保護法の改正のポイントとは? (2016/2/10 Bizer)
平成28年も明け、地方自治体における税と社会保障分野でのマイナンバーの運用が始まっています。
民間企業でもマイナンバーへの対応、収集が進んでいますが、マイナンバー法とともに改正個人情報保護法も平成27年9月3日に成立しています。
この改正個人情報保護法は、情報通信技術の進展により、膨大なパーソナルデータの収集・分析が可能となるビッグデータ時代の到来を背景に、個人情報の範囲の曖昧さ(グレーゾーン)を解決し、企業の自由な利活用を認めることでの経済の活性化、また、名簿屋問題(某大手教育企業の大量流出)により生じた個人情報の取り扱いについての懸念対策として、不正な個人情報の流通を抑止するというのが主な目的です。
改正個人情報保護法が施行されるのは成立から2年以内と、現時点では具体的な施行日が定められていませんが、中小企業が事前に知っておくべき個人情報保護法の改正のポイントについて解説します。
1.個人情報保護法の規制対象事業者の拡大
個人情報保護法では、個人情報データベース(特定の個人情報を電子計算機を用いるなどにより容易に検索することができるように体系的に構成したもの)を事業のために取扱う者を個人情報取扱事業者と定めています。
旧法では、過去6ヶ月以内に取り扱った個人情報が5,000件以下の事業者は個人情報取扱事業者から除外され、個人情報保護法の規制対象外でしたが、改正により5,000件要件が撤廃され、すべての個人情報取扱事業者が規制対象となります。
これまで個人情報取扱事業者に該当していなかった事業者であっても、個人情報を取り扱い、何らかの管理、および運用をされている事業者は、個人の権利利益の侵害に考慮し対応する必要があります。
2.個人情報とは?
今まで、5,000件要件もあったためにどのような情報が個人情報にあたるのかをしっかりチェックしていなかった事業者も多いと思います。改正個人情報保護法では、「個人情報の定義の明確化」が改正内容の大きな柱のひとつでもあります。
個人情報の定義について確認します。
改正個人情報保護法では個人情報を以下のように定めています。
(定義)
第2条
この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
一 「当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ。)で作られる記録をいう。第十人条第二項において同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二 個人識別符号が含まれるもの
具体的には、
(1)氏名、住所、生年月日
(2)「個人識別符号」は個人情報に該当しますが、「個人識別符号」を含む情報も全体が「個人情報」に該当します。「個人識別符号」には、以下の2種類がありますが、具体的には、今後の政令で定められます。
(a)顔・指紋などをデジタル化した生体認識情報
(b)個人毎に異なるよう定められた番号・文字などの符号で特定の個人を識別できるもの。
国会では以下のように説明されています。
・マイナンバー、運転免許証番号、旅券番号、基礎年金番号、保険証番号は該当する。
・単に機器に付番される端末ID、IPアドレスのようなものは該当しない。
・携帯電話番号、クレジットカード番号、メールアドレスおよびサービス提供のための会員IDについては、様々な契約形態や運用実態があることから、現時点では、一概に個人識別符号に該当するとはいえない。
(個人情報にあたる例)個人別のインターネットサイトでの購入データ
⇒個人が特定できる情報を含んでいるので「個人情報」にあたる
(個人情報にあたらない例)年代別のインターネットサイトでの購入データ
⇒20代男性などの年代別データでは個人は特定できないので「個人情報」にはあたらない
(個人情報にあたらない例)飲食業の店舗別電話番号リスト
⇒「個人」ではないので個人情報にはあたらない
3.個人情報の取得・利用で行うべきこと
個人情報取扱事業者は、個人情報を取得するにあたってはその利用目的をできる限り特定する必要があります。
多くのサービスの利用規約では、個人情報の利用目的について定められていると思いますが、きちんと利用目的が特定されているか確認しましょう。
利用規約等で定めた利用目的を変更する場合は、
(1)変更前の利用目的との関連性について、旧法では「相当の関連性」とされていましたが、改正法では「関連性」を有すると合理的に認められる範囲であれば本人の同意は不要と、緩和されました。
(例)「当社の行う○○事業における新商品・サービスに関する情報のお知らせ」とした利用目的において「既存の商品・サービスに関する情報のお知らせ」を追加すること。
(2)変更前の利用目的の達成に必要な範囲を超えた個人情報の取扱いには、あらかじめ本人の同意が必要です。
(例)就職のための履歴書情報をもとに、自社の商品の販売促進のために自社取扱商品のカタログと商品購入申込書を送る場合
なお、個人情報のうちマイナンバーが含まれるものは「特定個人情報」となり、利用規約等で定めた場合であってもマイナンバー法で定めた利用目的以外の利用はできませんのでご注意ください。
4.個人情報管理のポイント
<1>社内体制の整備
個人情報を適切に管理・保管するためには4つの観点から社内体制を整備する必要があります。
(1)組織的安全管理措置
個人情報取扱規程や個人データ取扱台帳の整備、個人情報保護管理責任者の選定など、社内ルールと責任体制を定めます。
(2)人的安全管理措置
従業員の入社・退社時や業務委託先との間で個人情報の非開示契約を締結するとともに、定期的に個人情報保護に関する研修等を実施します。
(3)物理的安全管理措置
個人情報が流出しないように、入退室を制限した室内で個人情報を取り扱ったり、USB等の記憶媒体へのコピーを禁止するなどの対策をします。
(4)技術的安全管理措置
一部の人しか個人情報を取扱えないようにID/パスワードによる制限や、閲覧・使用履歴の記録、ウイルス対策ソフトウェアの導入などを行います。
<2>個人情報取得時
個人データを取得するにあたっては、
(1)本人から提供された年月日
(2)受領者の氏名等
の取得経緯を記録・保存した「個人データ取扱台帳」を整備する必要があります。
病歴や宗教、犯罪歴やデモ活動等については、「要配慮個人情報」として原則として取得しないことが金融分野ガイドラインで定められています。
<3>業務委託先に提供する場合
事業者が個人情報の利用目的の達成に必要な範囲内で、個人データの取扱いの全部又は一部を外部に委託する場合については本人の同意は不要です。
(例)個人情報の管理を外部のセキュリティーサーバーで行う場合
(例)ダイレクトメールの発送を外部に委託する場合
業務委託先の選定にあたってはPマークを取得しているかなども基準にして選定し、必要かつ適切な監督を行う義務があります。
<4>利用しない個人情報の廃棄
利用する必要がなくなった個人情報は遅滞なく消去する努力義務があります。
5.個人が特定されないように情報を加工した場合
事業者がビッグデータを活用するためにデータ分析会社にデータを提供する場合に、個人が特定できないように加工したデータを「匿名加工情報」といい、匿名加工情報を取扱う事業者を「匿名加工情報取扱事業者」といいます。
「匿名加工情報」は「個人情報」には該当しないので、本人の同意を得る必要なく第三者にデータを提供することができますが、以下のような取扱いが必要となります。
<1>データ提供会社の取扱い
(1)個人情報を削除又は復元することができないようにする
(2)個人を識別するために匿名加工情報を他の情報と照合しない
(3)第三者(データ分析会社)に提供する項目等を公表
(4)第三者(データ分析会社)に提供する際に匿名加工情報であることを明示する
<2>データ受領企業(データ分析会社)の取扱い
(1)匿名加工情報の安全管理措置について公表する
(2)データ提供会社が削除したデータの取得やデータ加工方法の取得の禁止
⇒例えばユーザーIDを一定の法則で変換してデータ分析会社に提供した場合に、変換法則を提供すると個人情報が復元できてしまうためNG。
(3)他の情報との照合の禁止
⇒他の情報と照合することにより、個人情報が復元される可能性があるためNG。
※例えばデータ分析会社に100万件の匿名加工情報から、優先販売を告知するための1万件を抽出する場合に、
(適切な方法)データ分析会社が1万件を抽出するための抽出条件を返答する場合
⇒抽出条件からは個人が特例されないため、匿名加工情報の利用方法は適切
(不適切な方法)データ分析会社が抽出した1万件の匿名加工情報を返答し、データ提供会社がその1万件のデータを個人情報に復元する場合
⇒匿名加工情報を他の情報と照合するためNG。
内閣官房の資料では、改正個人情報保護法の全面施行を平成28年末に予定しています。
平成28年当初には、包括的、専門的な規制機関としての「個人情報保護委員会」の設置が予定され、委員会の規則、ガイドラインなどの策定が進められます。
平成28年は、すべての事業者が、個人情報保護法への対応準備を行なうべき一年となります。
<参考資料>
http://www.meti.go.jp/policy/it_policy/privacy/downloadfiles/01kaiseikojinjoho.pdf
http://www.meti.go.jp/policy/it_policy/privacy/