今年5月にいよいよ施行、改正個人情報保護法について (2017/1/17 企業法務ナビ)
はじめに
昨年5月に改正された個人情報保護法が今年の5月30日に全面施行となります。個人情報保護の強化を図りつつデータの有効活用と取扱のグローバル化を促進することを目的とした今回の改正個人情報保護法。今回は改めてそのポイントを簡単に見ていきたいと思います。
改正の経緯
現在IT技術の進歩により企業や事業者は膨大な顧客データを蓄積し、それを加工や編集を行いネットワークによりその情報が瞬時に世界を駆け巡る状況となってきました。そういった個人情報はビジネスにおいて非常に有用なデータであると同時に、漏洩した際の個人のプライバシー侵害の危険も増大してきたと言えます。
そこで個人情報の保護を図りつつ、パーソナルデータの利活用を促進し、新産業・新サービスの創出と国民の安全・安心の向上を目的として今回の改正がなされることとなりました。旧法では曖昧だった個人情報の定義の明確化や適切な保護の下での個人情報の活用の促進、個人情報保護委員会の新設、個人情報取扱のグローバル化、本人の個人情報に関する開示・訂正・利用停止請求権の明確化が図られております。以下今回の改正のポイントを見ていきます。
改正個人情報保護法のポイント
(1)個人情報定義の明確化
従来の個人情報保護法下では定義が曖昧だとされてきた個人情報の具体的な内容について明確化が図られております。具体的には①住所、氏名、生年月日等の一般的な個人情報(改正法2条1項1号)②顔画像や指紋データ、免許証番号、パスポート番号、保険証番号等の個人識別符号(同1号、2号)③人種、信条、社会的身分、病歴、犯罪歴といった要配慮個人情報(同3項)④個人情報に該当しない匿名加工情報(同9項)等が挙げられます。
(2)適切な規律下での有用性の確保
今回個人情報には該当しない匿名加工情報が新設されました。匿名加工情報とは個人情報を加工し、個人情報として復元できないようにしたもので誰のデータかわからなくなった情報を言います。個人情報ではないため本人の同意を得ずにデータとして第三者に提供することができ、ビジネスやサービスの向上等に有効活用することができます。加工の方法としては住所、氏名、生年月日等を削除したり、生年月日をよりおおまかな年代等にグルーピングする方法や一定の誤差を付加するといったものが挙げられます。ここで求められているのは通常の技術力によっては個人情報として復元できない程度の加工であって、100%復元可能性を排除するほどのものではありません。また個人情報取扱業者の個人情報の利用目的に関して、その変更にあたっては変更前と「相当の関連性」が求められましたが、その点が削除となっております(15条2項)。より柔軟に個人情報を利用することができることとなります。
(3)個人情報流通の適正さの確保
個人情報を第三者に提供するには、あらかじめ本人を同意を得ることが原則です(23条1項)。しかし従来は第三者へ提供する旨、その内容、方法等の一定の事項をあらかじめ通知するか用意に知り得る状態にしておくことによって、本人が反対しない限り同意したものとして第三者提供ができることになっておりました(同2項)。これをオプトアウトと言います。しかしこれでは本人の知らない所で自らの個人情報を第三者に提供されていることになり保護に欠けるとされてきました。そこで今回の改正ではオプトアウトの要件を厳格化しております。具体的には上記一定の事項に本人からの求めを受け付ける方法を加えた上で、個人情報保護委員会への届出が必要となります。届出がなされるとその旨が公表されることとなります。これらの手続に不適切な点がある場合には勧告や措置命令の対象となります(42条1項、2項)。
(4)データベース提供罪の新設
企業や事業者が業務上取り扱った個人情報データベースを不正な利益を得る目的で第三者に提供等をした場合には1年以下の懲役または50万円以下の罰金が課されることになります(83条)。個人情報を業者に転売等することによって利益を得ることに関し罰則が新たに規定されたということです。マイナンバー法にも同様の規定(3年以下、150万円以下)がありますがそれに比べるとまだ軽いものに留まっております。
(5)要配慮個人情報の扱い
人種、信条、犯罪歴等、本人に対する不当な差別や偏見を招くおそれのある情報として新たに要配慮個人情報が新設されました(2条3項)。具体的には先に挙げたものの他に病歴や社会的身分、犯罪被害を受けた事実、その他政令で定めるものが該当します。これらに該当する要配慮個人情報は本人の同意なく取得することが出来ず(17条2項)、オプトアウトによる第三者提供も禁止されます(23条2項)。
コメント
今回の改正の一番の主眼は規制の対象である個人情報の具体的な内容の明確化です。どのような情報が規制の対象である個人情報に該当するかがかなり具体化されました。しかし依然として曖昧なものも存在します。例えば携帯番号やメールアドレスといったものが挙げられます。経産省の個人情報ガイドラインでも携帯番号は、それ単体では個人情報には該当しませんが他の情報と合わせて個人が識別できるのであれば該当し得るとしてきました。今回の改正を踏まえてもこれらについては判然としない状況と言えます。
しかし新たに新設された要配慮情報や匿名加工については今一度、社内の取扱状況等を確認し、またオプトアウト形式で第三者への提供を行っていないかを確認することが必要です。第三者提供を行っている場合は施工後に違法なデータベース提供とならないか、また個人情報保護委員会への届出を要しないかを周知し体制の整備が重要と言えるでしょう。
- 関連記事
- 現金やカードなしで買い物ができる世界に向けて
- サイバー犯罪と会社の責任
- 消費者庁検討会が発表、公益通報者保護制度改正への動き
- なりすましメール防止の「安心マーク」を地方自治体に導入
- 消費者裁判手続特例法が来月から施行、その概要について