改正個人情報保護法

２０１７年５月３０日に改正個人情報保護法が全面施行されました。１４の改正ポイントをご紹介します。

１．個人情報保護法に該当する対象者が大幅に拡大

改正前は過去６ヵ月以内のいずれの日においても５０００を超えない者は、「個人情報取扱事業者」には該当せずが、５０００以下の個人情報を取り扱う者も、個人情報保護法が求めるさまざまな義務を果たさなければならなくなりました。

２．個人情報の定義の明確化

「何が個人情報なのか」という個人情報の定義が明確化されました。誰の情報かわかるものは、氏名などが記載されていなくても個人情報に該当することが明確になりました。具体的には、個人識別符号（指紋、掌紋、パスポート番号、基礎年金番号、運転免許証の番号、住民票コード、マイナンバー、健康保険証番号等）が含まれる情報も個人情報であると改正されました。

３．法の目的の明確化

個人の権利利益を保護するための法律ではありますが、保護絶対主義ではなく、「個人情報の活用や有用性を配慮した上での保護」を目的とすることを明確化しました。

４．個人情報保護委員会による監督（命令・立入検査等）

改正前は、主務大臣（内閣総理大臣、経済産業大臣等）が個人情報保護について監督することになっていましたが、改正後は、公正取引委員会並みの独立性等を備えた、内閣府の外局である個人情報保護委員会が個人情報保護について監督することになりました。

５．新ガイドライン（法律以上の義務を定めるものではなく、法律のルールをわかりやすく解説したもの）の公表

各主務大臣（経済産業大臣、厚生労働大臣等）がガイドラインをそれぞれ策定し、３８本のガイドラインが公表されていましたが、個人情報保護委員会が原則としてこれらのガイドラインを金融、電気通信、医療の特定分野以外は全分野共通として統一しました。

６．要配慮個人情報

差別や偏見のおそれのある個人情報について、「要配慮個人情報」（信条、病歴、犯罪の経歴等）という類型が新設されました。要配慮個人情報は原則として本人の同意を得て取得することが必要となります。

７．第三者提供時の記録

個人データを第三者提供した際は、原則としてその記録を作成・保存しなければならなくなりました。但し、国、地方公共団体、委託先への提供、法令に基づく提供等の場合は、不要となります。

８．第三者提供を受けたときの確認と記録

第三者から個人データの提供を受けた際は、原則として取得の経緯などを確認し、その記録を作成・保存しなければならなくなりました。但し、国、地方公共団体、委託先への提供、法令に基づく提供等の場合は、不要となります。

９．外国にある第三者への提供

外国へ個人データを第三者提供する場合は、原則本人の同意を得なければならなくなりました。

１０．オプトアウト（一定事項を本人が知り得る状態に置くことによって、本人の同意なく個人データを第三者に提供し、本人の求めがあれば第三者への提供を停止するという仕組み）による第三者提供の伴う届け出義務

個人データをオプトアウトにより第三者提供している場合は、個人情報保護委員会に届け出することが義務づけられました。

１１．消去の努力義務

不要な個人データの消去に努める義務が新設されました。

１２．利用目的の変更基準の緩和

改正前は極めて厳格であった個人情報の利用目的の変更基準が緩和されました。改正前は変更前後の利用目的に「相当の関連性」が必要でしたが、改正後は単純な「関連性」となりました。

１３．匿名加工情報

「匿名加工情報」という類型が新たに設けられました。「匿名加工情報」とは、特定の個人を識別することができる記述や個人識別符号等を削除するなどして、誰に関する情報であるかをわからなく加工した情報のことです。利用目的の特定や本人の同意なく自由に利活用することができます。匿名加工情報を利活用する義務があるわけではなく、利活用できるという一種の規制緩和です。

１４．個人情報データベース等の不正提供・盗用罪

新たな罰則規定が設けられました。個人情報取扱事業者やその従業者等が、業務に関して取り扱った個人情報データベース等を不正な利益を図る目的で提供または盗用した場合に、１年以下の懲役または５０万円以下の罰金となります。

 

以上の中で特に留意する改正点は、

１．→　個人情報保護法全般について対応が必要です。

７．８．→　第三者提供を行った際の記録対応を行い、従業者教育をする必要があります。

９．→　外国にある第三者への提供対応として、CBPR(越境プライバシールール）確認、契約書精査、同意取得等の対応が必要です。

以上です。

 

 

 

 -