IT ライブラリー − 注目の「ITニュース」(2017.03)
改正「個人情報保護法」
−2017年5月30日全面施行!
□ 2005(平成17)年4 月に施行された個人情報保護法(正式名称「個人情報の保護に関する法律」2003(平成15)年5月30日法律57号)が2015(平成27)年9月に改正され、2017(平成29)年5月30日に全面施行されます。
□ 改正の背景と骨子 個人情報保護法が成立してから既に10年が経過します。近時、制定当時には予想されていなかった問題が顕在化するようになりました。そこで、個人情報の保護を図りつつ、パーソナルデータの利活用を促進することによる新産業・新サービスの創出と国民の安心・安全の向上実現のため、改正が行われました。
骨子となっているのは、次の3つです。
@ 個人情報に該当するか否かの判断が困難なグレーゾーンの拡大
A パーソナルデータを含むビッグデータの適正な利活用ができる環境の整備
B 事業活動がグローバル化し、国境を越えて多くのデータが流通することへの対応
□ 改正の内容 この度の改正点は多岐に及びます。企業が早期に対応しなければならない主な事項は次のとおりです。
(1)個人情報取扱事業者の定義の変更:改正前の個人情報保護法では、5,000人を超える個人情報を保有する事業者のみが個人情報保護法の適用対象でした(旧法2条3項5号、旧施行令2条)。しかし、改正後は、同条項が削除され、小規模事業者も適用の対象になります。
(2)「個人情報」の定義の変更:「個人情報」とは、「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別できるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む)」をいいます。また、「紙媒体・電子媒体を問わず、特定の個人情報を検索できるように体系的に構成したもの」を「個人情報データベース等」と呼んでいます。
改正法では、「個人識別符号」という概念が新設されました(法2条1項2号)。ここで「個人識別符号」とは、指紋・掌紋データや容貌データ、DNAの塩基配列など「特定の個人の身体の一部の特徴」を変換した符号によって本人認証ができるようにしたもの、または旅券番号や免許証番号、住民票コードなど個人に割り当てられる符号をいいます(施行令1条)。
このような情報は、改正前は、それらの情報単独では個人情報とは扱われず、「特定の個人を識別できる情報」と結びついてはじめて個人情報と扱われていました。しかし、改正後は、個人識別符号に該当する情報も、単独で個人情報に該当することになります。
<個人情報>
●個人情報に含まれるもの: 氏名・生年月日・住所・電話番号/クレジットカード情報/顔の画像/防犯カメラ(画像・音声データ)/銀行口座番号/個人識別が可能なメールアドレス
●改正後含まれるもの: 指紋認証・顔認証データ/パスポート番号/免許証番号/端末IDや機器に関する情報
●改正後、取扱いについて特に配慮を要する個人情報:人種・信条・社会的身分/病歴/犯罪歴・被害歴
(3)要配慮個人情報に対する規制の新設:改正法では、「要配慮個人情報」という概念が新設されました(法第2条3項)。ここで「要配慮個人情報」とは、心身の機能障害や健康診断結果、刑事事件に関する手続きがおこなわれたことなど、本人に不当な差別や偏見などが生じないように特に配慮が必要な情報、すなわち、センシティブデータ(機微情報)をいいます(政令第2条)。要配慮個人情報については、本人の同意がある場合や、法令に基づく場合など一定の場合を除いて、取得が禁止されます(法17条2項)。また、要配慮個人情報に当たる個人データは、その他の個人データと異なり、オプトアウト手続きによる第三者提供をすることができません(法23条2項括弧書き)。
(4)第三者提供を行う場合の手続き(トレーサビリティの確保):@ 個人データを第三者に提供したときは、提供先の氏名等、個人情報保護委員会が定める事項の記録を作成し、一定期間保管する必要があります(法25条)。また、個人データの第三者提供を受け取る側も、提供者や個人データの取得経緯等を確認した記録を作成し、一定期間保管する必要があります。
A 記録しなければならない事項は、以下のとおりです。
ア. 本人の同意を得て第三者に提供する場合(規則13条1項2号)
1. 個人データの提供先の氏名又は名称その他の第三者を特定するに足りる事項
2. 本人(個人情報の主体、以下同)の氏名又は名称その他の本人を特定するに足りる事項
3. 個人データの項目
4. 本人の同意を得ている旨
イ. オプトアウト手続きにより第三者に提供する場合(規則13条1項1号)
1〜3. 上記「本人の同意を得て第三者に提供する場合」と同様
4. 個人データを提供した年月日
B 記録方法 文書、電磁的記録又はマイクロフィルムとされています(規則12条1項)。
C 保存期間 一括記録の方法がとられる場合(規則12条2項但し書き)や、個人データを含む書類の保管により代替する場合(規則12条3項)を除き、作成した日から3年間とされています(法26条4項、規則14条)。
※ なお、本人がその個人データを提供する場合や、本人に代わって個人データを提供する場合には、このような義務を負いません。例えば、SNSに本人が書き込んだ個人データをSNS運営事業者が公開している場合など、実質的に本人による提供である場合や、本人の求めに応じて提携事業者に取り次ぐために提携事業者に本人の同意を得た上で、本人に代わって個人情報を提供する場合には、事業者による第三者への提供ではないため、記録義務は負いません。
(5)第三者提供を受ける場合の手続き(トレーサビリティの確保):@ 改正後は、個人データを第三者に「提供する場合」のみならず、第三者から個人データの提供を「受ける場合」にも確認・記録する新たな義務が新設されました(法26条)。
A 確認義務 ア. 第三者から個人データの提供を受ける場合には、提供者に関する以下の情報を確認しなければなりません(法26条1項1号)。
イ. 提供を受ける個人データの取得の経緯も確認しなければなりません(法26条1項2号)。この場合、個人データの取得の経緯を示す書面(契約書や同意書、本人が個人データを示した書面など)の提示を求める必要があります(規則15条2項)。
B 記録義務 個人データを第三者に提供する場合と同様、個人データを受領した場合も記録を作成しなければなりません(法26条)。
◎ LEGAL NETでは、ブランディングを踏まえた各種販売促進ツールの制作を行っています。お気軽にお問い合わせ下さい。