中小企業の法律相談
福岡の弁護士、近江法律事務所が提供している法律コラムです。
改正個人情報保護法施行に向けての準備は進んでいますか
改正の経緯
平成27年9月に、「個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律」(改正個人情報保護法)が成立しました。
「個人情報の保護に関する法律」(個人情報保護法)は、平成15年5月に成立し、平成17年4月に全面施行された後、実質的な改正は行われていませんでした。
しかし、社会や市場に存在する多種多様なビッグデータの中でも特に有用性が高いとされるパーソナルデータ(購買履歴や位置情報、移動履歴等の個人の行動や状態に関するデータ)の利活用の推進を図りつつ、大規模漏えい事件などから消費者の権利を保護すること、また、企業活動等のグローバル化に伴った国際的に調和のとれた規定を整備することなどを目的として、今回、約10年ぶりに改正が行われることになりました。
改正法の概要
改正法の概要は、以下のとおりです。
これまで、取扱う個人情報が5000人以下の小規模事業者については、個人情報保護法の対象外とされていましたが、改正法では、このような小規模事業者についても、規制が適用されることになりますので注意が必要です。
- 個人情報の定義の明確化等
- 個人情報の定義の明確化
「個人情報」に「個人識別符号」(個人の一部の特徴をデータ化した文字、番号、記号その他の符号(例:指紋認識データ、顔認識データ)、及び商品の購入等のサービスの利用者や個人に発行されるカードその他の書類に割り当てられた文字、番号、記号その他の符号(例:旅券番号、免許証番号))が含まれることが明記されました。なお、その詳細については、政令で定められる予定です。 - 要配慮個人情報に関する規定の整備
「要配慮個人情報」(人種、信条、社会的身分、病歴、犯罪被害情報、犯罪の経歴等)について、本人の同意を得ない取得が原則禁止され、また、オプトアウトによる第三者提供も禁止されることが明記されました。 - 小規模取扱事業者への対応
取扱う個人情報が5000人以下の小規模事業者を個人情報取扱事業者から除外する規定が廃止され、小規模事業者も個人情報保護法の適用を受けることになりました。
- 個人情報の定義の明確化
- 適切な規律の下で個人情報等の有用性を確保
- 匿名加工情報に関する規定の整備
「匿名加工情報」(特定の個人を識別すること及び復元することができないよう個人情報を加工した情報(例:ポイントカードの購買履歴、交通系ICカードの乗降履歴、医療情報等))について、その加工方法や、事業者による公表などその取扱いについての規律が設けられるなどし、一定の条件を満たせば、本人の同意を得ることなく第三者提供等を行うことが認められました。 - 利用目的の変更を可能とする規定の整備
従来の「相当の関連性」の規定が変更され、変更前の利用目的と「関連性」を有すると合理的に認められる範囲であれば、本人の同意なく利用目的の変更が可能になりました。 - 個人情報保護指針の作成や届出、公表等
認定個人情報保護団体が個人情報保護指針を作成する際には、消費者の意見等を聴くとともに個人情報保護委員会に届出ること等が定められました。
- 匿名加工情報に関する規定の整備
- 個人情報の保護を強化(名簿屋対策)
- オプトアウト規定の届出、公表等の厳格化
本人の同意を得ない第三者提供(オプトアウト)により個人データを第三者提供しようとする場合は、データ項目等を個人情報保護委員会へ届け出、個人情報保護委員会は、その内容を公表することが義務付けられました。 - トレーサビリティの確保
個人情報取扱事業者が第三者との間で個人データの授受を行う場合、原則として、受領者は、提供者の氏名や取得経緯等を確認して記録を作成し、一定期間その記録を保存することが義務付けられました。また、提供者も、受領者の氏名等の記録の作成し、一定期間その記録を保存することが義務付けられました。 - 個人情報データベース提供罪の新設
不正な利益を図る目的でその個人情報データベース等を第三者に提供し又は盗用する行為について、罰則が定められました。
- オプトアウト規定の届出、公表等の厳格化
- 個人情報保護委員会の新設及びその権限
- 個人情報保護委員会への権限の一元化
個人情報の保護に関する独立した監督機関として個人情報保護委員会が新設され、従来の主務大臣の有する権限が一元化されるとともに、立入検査等の権限の強化がなされました。
- 個人情報保護委員会への権限の一元化
- 個人情報の取扱いのグローバル化
- 国境を越えた適用等に関する規定の整備
日本国内の個人情報を取得した外国の事業者についても、原則として、個人情報保護法が適用されることとされました。 - 外国にある第三者への個人データの提供
個人データを外国の第三者に提供するには、一定の要件(個人情報の保護に関する制度が我が国の同等の水準にある等)を満たさない場合は、原則として、あらかじめが本人の同意を得ることとされました。
- 国境を越えた適用等に関する規定の整備
改正法施行までに中小企業は何をしなければいけないか
改正法は、段階的に施行されることとなっており、平成28年1月1日にまず個人情報保護委員会が設置され、改正法成立から2年以内に、全面施行されます。なお、執筆時現在、平成29年春頃を目指した施行準備が行われています。
既述のとおり、改正法は小規模事業者にも適用されますので、これまで個人情報対象外であった事業者も、改正法の全面施行までに、社内体制の構築(利用目的の特定、通知又は公表の準備、安全管理措置の構築、従業員や委託先に対する監督体制の整備、第三者提供の制限に関する対応準備等)や、従業員教育等を行っておくことが必要になります。小規模事業者が取るべき具体的な措置については、個人情報保護委員会がガイドライン等で明示することが予定されていますので(小規模事業者にとって過度な負担が生じないような内容となることが予想されます。)、今後明示されるガイドラインに注意しつつ、全面施行に備えた準備を進めましょう。
H28.10掲載