• 事務所概要
  • 企業の皆様へ
  • 個人の皆様
  • 弁護士費用
  • ご利用方法
  • 所属弁護士

弁護士コラム・論文・エッセイ

弁護士コラム・論文・エッセイ

ホーム弁護士コラム・論文・エッセイ重富弁護士著作 一覧 > 改正個人情報保護法が施行されました
イメージ
弁護士 重富 智雄

2017年09月06日

改正個人情報保護法が施行されました

(丸の内中央法律事務所事務所報No.31, 2017.7.1)

1.改正個人情報保護法の施行

個人情報の保護に関する法律(以下「個人情報保護法」)が2005年に施行されてから10余年の月日を経て、個人情報保護法が改正され、平成29年5月30日に施行されました。これまでは、保有する個人情報の合計件数が5,000件を超えない小規模事業者については、個人情報取扱事業者から除外されていましたが、今回の改正でこの要件が撤廃されたことにより、個人情報を取り扱うほぼ全ての事業者が個人情報保護法による規制を受けることとなります。本稿では、改正個人情報保護法の概要について解説したいと思います。

2.個人情報の定義の明確化等(要配慮個人情報等)

 本改正で新たに「要配慮個人情報」(いわゆる機微情報)が定義され、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪被害の事実等について、本人の同意のない取得・第三者への提供といった取り扱いが原則禁止となりました。
 また、新たに「個人識別符号」が個人情報の定義に加わりました。個人識別符号における身体的特徴としては、DNAを構成する塩基配列、容貌、虹彩の模様、声紋、歩行態様、静脈、指紋・掌紋を、また、番号としては、パスポート番号、基礎年金番号、運転免許証番号が挙げられます。

3.適切な規律の下で個人情報等の有用性を確保(匿名加工情報、利用目的の変更要件の緩和)

 いわゆる「ビッグデータ」を有効に活用するために、本改正で新たに「匿名加工情報」の定義が新設され、本人の同意なく目的外利用や第三者提供が可能となる枠組みが導入されました。「匿名加工情報」とは、特定の個人を識別することができないように個人情報を加工して得られる個人の情報であって、当該個人情報を復元することができないようにしたものをいいます。
 匿名加工情報を作成し、または第三者提供をする場合には、後述する個人情報保護委員会が定める規則に従って、情報の項目及び提供方法を公表しなければなりません。匿名加工情報の作成に関する基準についても個人情報保護員会が規則で定めておりますので、事業で個人情報を取り扱う場合は、個人情報保護委員会の規則等をホームページで確認する必要があります。
 また、本改正により、利用目的の変更に関する要件が緩和されました。改正前は、「変更前の利用目的と相当(・・)の関連性を有すると合理的に認められる範囲」でしか利用目的を変更できなかったのが、本改正により相当性の要件が緩和され、「変更前の利用目的と関連性を有すると合理的に認められる範囲」での利用目的変更が可能となりました。
 ただし、この場合でも無限定に変更ができるわけではありませんので、利用目的を設定する際は慎重に検討をする必要があるでしょう。なお、「利用目的の変更」の可否は、当初の利用目的から変更される範囲が、通常人の判断として、本人が通常予期し得る限度であるか否かが判断基準となります。

4.個人情報の保護を強化(名簿屋対策)

 これまで、企業が個人データを第三者に提供する場合には、その提供に関する記録の作成は義務付けられておりませんでしたが、本改正により、これを作成する義務が課されることとなりました。また、第三者から個人データの提供を受ける場合についても、原則として取得の経緯などを確認し、その記録を作成・保存することが義務付けられました。
 また、個人データをオプトアウト(※)により第三者提供する場合に、第三者への提供を利用目的とすることや、第三者に提供される個人データの項目、第三者への提供方法などについて、個人情報保護委員会に届け出ることが必要となります。届出書の様式や届出方法等については個人情報保護委員会のホームページに記載がありますので、個人データを取り扱う事業者の場合は、速やかにこの届出を行う必要があります。
(※)オプトアウトとは、一定事項を本人が知り得る状態に置くことによって、本人の同意なく個人データを第三者に提供し、本人の求めがあれば第三者への提供を停止するという仕組みのことをいいます。

5.個人情報保護委員会の新設

 改正前はそれぞれの主務大臣が個人情報の取り扱い等を監督していたところ、本改正により、内閣府の外局として個人情報保護委員会が新設され、個人情報保護に関する権限が集約され、監督の一元化が図られることとなりました。
 先述した匿名加工情報の公表・作成に関する基準等が規則で定められているほか、オプトアウトに関する届け出先ともなっていることから、個人情報を取り扱う事業を実施する際は、個人情報保護委員会の規則やホームページ等を慎重に確認する必要があります。

6.外国にある第三者に対する個人データの移転について

 改正前は外国にある第三者に対する個人データの提供について、明確な規制はありませんでしたが、本改正により、次のいずれかに該当する場合でなければ、外国にある第三者に個人データを提供してはならないこととなりました。たとえ委託や事業承継、共同利用の場合であっても、これらの要件のいずれかを充たす必要があります。 
 ①外国にある第三者に対して個人データを提供することについて本人の同意がある場合
 ②外国にある第三者が個人情報保護委員会の規則で定める基準に適合する体制を整備している場合
 ③外国にある第三者が、個人情報保護委員会が認めた国に所在する場合
 ④法令に基づく場合など

7.その他の改正事項

 その他の改正事項として、利用目的の変更基準の緩和、不要となった個人データを遅滞なく消去するよう努めること、安全管理措置などが定められました。
 改正内容を正確に把握し、事業においてどのような影響があるか、また、自社の管理状況が法改正に対応できているかを慎重に検討した上で、個人情報を適切にビジネスに利活用するなどの戦略と方針を練ることが肝要となります。

ページトップ