色川法律事務所Irokawa Law Office

法律コラム

第83回 改正個人情報保護法の要点

2016/08/10

 平成27年9月9日に公布された改正個人情報保護法は、本年1月1日から個人情報保護委員会(以下「委員会」という。)に関する規定が一部施行され、来年9月までに全面施行*1されることになります。これまで消費者庁が所管し、事業分野ごとに各省庁の担当大臣が事業者を監督することとなっており、ガイドラインも27の事業分野にわたって38のガイドライン*2が策定され、用語の定義もそれぞれガイドラインごとに規定されるなどしたため、事業者もそれぞれのガイドラインに対応する必要がありました。そこで、マイナンバー法を所管していた特定個人情報保護委員会を改組して、内閣府の外局である三条委員会として、独立した委員会を設置したもので、改正法の全面施行時には、委員会規則やガイドラインも統一が図られる予定です*3。

 

 平成15年に制定され、平成17年から施行されてきた法律が、10年経過して大幅な改正がなされたのは、通信技術の進展に伴い、制定時に想定されなかった多様なパーソナルデータ(個人情報に限定しない、個人の行動・状態に関するデータをいう。)がインターネット等に流通し、ビッグデータとして活用されており、プライバシー保護の観点から慎重な取扱いが求められる一方、適正な活用ができる環境整備が求められてきたこと、また、企業活動はグローバル化し、国境を越えて多くのパーソナルデータが流通しており、EUにおいてもアメリカにおいても、法制度の見直しが検討されてきたことから、個人情報の保護を図りつつ、飛躍的な情報通信技術の進展に対応したパーソナルデータの利用活用を促進することにより、国民の安全安心の向上と新産業・新サービスの創出等による活力ある経済社会の実現等を目的*4としたものです。

 

 改正のポイントの一つとして、個人情報の定義の明確化があげられます。

 個人情報として、これまでと同様、生存する個人に関する情報であって、①氏名、生年月日、その他の文書等に記録されるなどして特定の個人を識別することができるものと、他の情報と容易に照合することによって特定の個人を識別することができるものが該当するほか、新たに、②特定の個人の身体の一部の特徴を電子データに変換して個人を識別できるようにしたものと、個人に提供されるサービスや販売される商品の購入に関して割り当てられたカード等に記録された記号で、その利用者等を識別できる個人識別符号*5が定義されました。

 具体的には、

 ①は、氏名、生年月日、住所、年齢、電話番号、メールアドレス、職業などのほか、身体、財産、職種、肩書き等の雇用管理情報、病歴、収入、家族関係,続柄などもいい、電話帳や職員録など公刊物に記載された情報も含みます。

 ②は、顔認識データ、指紋認証データ、声紋データ、防犯カメラの記録データ、旅券番号、免許証番号、クレジットカード番号、マイナンバー、IPアドレス、基礎年金番号などをいい、詳細は政令で定めることになっています。

 また、新たに、特に配慮を要する情報として、要配慮個人情報*6(センシティブデータ)の定義が設けられました。人種、信条、社会的身分、病歴、犯罪歴、犯罪により被害を受けた事実などは、これらが取り扱われることによって、不当な差別、偏見、その他の不利益が生じるおそれがあり、本人の意図しないところで利用されることのないよう、その取扱に特に配慮を要するものとして、特別の規律(取得及び提供に当たり、本人の同意*7を要する。)を設けることとしたのです。

 

 次に小規模取扱事業者に関する改正があげられます。

 これまで、取扱情報が5000人以下の小規模取扱事業者は、個人の権利利益を害するおそれが少ないとして法律の適用除外*8とされてきましたが、改正法では除外されておりません。その結果、小規模取扱事業者も改正法の適用を受けることとなり、個人情報取扱業者として各種の義務を守る必要が生じることとなりました。

 個人情報取扱事業者*9とは、個人情報データベースを事業の用に供しているものをいい、事業とは、反復継続して一定目的を遂行すること、社会通念上事業と認められる程度の社会性を有するもので、営利・非営利を問わず、法人に限定されないと解されています。したがって、これまで適用除外とされてきた小規模法人はもちろん、個人事業主や、自治会、NPO法人等の非営利組織であってもデータベースを有している限り、この事業者に該当することになります。ただ、小規模事業者の負担を考慮し、委員会の作成するガイドラインにおいて事業が円滑に行われるよう明示される予定*10になっています。ガイドラインが明示されれば、マイナンバーの場合*11と同様、これに沿うよう各種の規則等を制定する必要が生じますので、注意を要します。

 なお、市販されている名簿など、個人の権利利益を害するおそれが少ないデータベースは、政令により除かれる*12ことになっており、これまでも、氏名、住所、電話番号のみが掲載されたデータベース(電話帳やカーナビゲーション)、不特定かつ多数の者により随時購入することのできるデータベース(自治体職員録、弁護士会名簿など)があげられています。したがって、このような名簿などは、今後も除外されるものと思います。

 

 また、個人情報の適正な流通を確保するため、第三者への提供の手続が厳格化されました。個人データを第三者へ提供するには、法令に基づく場合など4つの場合を除き、原則としてあらかじめ本人の同意*13が必要ですが、オプトアウト手続*14によれば本人の同意を得ずに第三者に提供することができます。その際に委員会への届出が必要となるなど、要件が加重されました。

 

 取引のグローバル化などにより、外国へ情報を提供*15することも考えられます。その要件も定められました。①本人の同意を得ている場合のほか、本人の同意が無くとも、②その国が我が国と同等の個人情報保護制度を有していると委員会規則で定めた場合、③提供を受ける外国の第三者が、委員会規則で定める基準に適合する体制を整備している場合には、提供できるとされています。

 ②や③に該当する場合は、国内の第三者への提供と同じ扱いになります。また、外国の第三者とは、外国にある別人格を意味しますので、提供者の外国支店である場合や、自社のサーバが外国にある場合にはこれに該当しませんので、自社の国内支店などと同じ扱いになります。

 まだ委員会規則は定められておりませんが、これまで適正に行われていた外国への情報提供ができなくなる訳ではありません。

 

 ほかに、ポイントカードによる商品の購買履歴や、ICカードによる乗り物の乗降履歴、医療情報、カーナビによる運行履歴など,いわゆるパーソナルビッグデータを活用するため、特定の個人が識別できないように委員会規則に従って加工処理して復元できないようにした匿名加工情報*16も認められ、本人の同意がなくとも自由に活用することができるようになりました。

  

 なお、外国からの情報の提供については、なんら定めがありません。APEC域内では、米国、メキシコ、カナダ、日本の4か国が参加したAPEC越境プライバシールール制度があり、その承認を得た各国の認証団体が事業者の適合性を認証することになっています。そして、一般財団法人日本情報経済社会推進協会がAPECから認証団体として認定*17を受けています。EUでは、EUデータ保護指令によって、EU域内から第三国へデータを提供する場合、その国が十分な保護水準を確保しているかを判断するため、十分性認定の制度が設けられていますが、我が国は、まだ認定を受けておりません。

 今後、委員会が、国際機関その他の国際的な枠組みへの協力を通じて,各国政府と共同して国際的に整合のとれた制度を構築するため,必要な措置を講ずることになるようです*18。

 

 改正法の全面施行時にあわてないよう、今から準備をしておくことが必要です。

                               以上


*1  全面施行は平成27年9月9日から2年以内の政令で定める日です。

*2  個人情報の保護に関するガイドラインについて

*3  平成28年8月2日に、委員会から施行令案と規則案が示され、パブリックコ
        メントが実施されています。

*4  個人情報の保護に関する基本方針の一部変更(平成28年2月19日閣議決
        定)

*5  改正法2条2項

*6  改正法2条3項

*7  取得につき・改正法17条2項、提供につき・改正法23条2項

*8  旧法2条3項5号、施行令2条

*9  改正法2条5項

*10  改正法附則11条

*11  マイナンバーの場合と同様、取得のルールを定めたり、保管管理の安全管理措
          置を講じることが必要となります。

*12  改正法2条4項かっこ書き

*13  改正法23条1項

*14  改正法23条2項

*15  改正法24条

*16  改正法2条9項

*17  平成28年1月25日公表

*18 改正法6条・現に、APEC,OECDの他、ICDPPC(データ保護プライバシー・コ
        ミッショナー国際会議)、IWGDPT(情報通信分野におけるデータ保護に関す
        る国際ワーキンググループ)、APPA(アジア太平洋プライバシー機関フォーラ
        ム)などに参加しています。

執筆者:中村 隆次

ページの先頭へ