トップページ > ブログ > 改正個人情報保護法の主な内容は?

ごあいさつ

2017 3月 9一覧

改正個人情報保護法の主な内容は?

こんにちは。
豊田シティ法律事務所の弁護士米田聖志です。

2017年も企業や個人の活動に関わる法律やルールがいくつか変わります。『改正個人情報保護法』が施行され、『改正消費者契約法』も強化されます。また「企業統治」や「税制」などの分野でも、変更は多岐にわたります。

今回は、5月に施行される『改正個人情報保護法』に絞って、そのポイントや企業に求められる対応についてお知らせします。
(事務所通信3月号で書いた内容とほとんど同じです)

『改正個人情報保護法』は今年5月30日から施行されます。約10年ぶりの大改正で、①取り扱う情報が5千人以下の小規模事業者も新たに対象になります。「個人情報」に当たるかどうか、曖昧だった顔や指紋などの情報を電子化したデータが ②-a.「個人識別符号」と定義されるなど新たな規定が多数盛り込まれています。

企業の実務に大きな影響を与えるのは、まず個人情報を第三者に提供する際の③「記録作成」が義務付けられます。

個人データを提供した日付やデータの項目などを記録し、一定期間保存することが義務付けられるわけです。
データ提供を受ける側も取得の経緯を確認し、記録・保存する義務を負います。名簿業者の個人データ売買への批判の高まりを受け、売買処理の<透明性>を確保するためです。

また、本人が拒否した場合のみ第三者に提供しない手法は名簿業者が多用していますが、本人がデータの移転を知らない場合も多く、政府の「個人情報保護委員会」への届出を義務付けるなど厳格化されました。

一般的なビジネスには過大な負担にならないよう『ガイドライン(指針)』などで適用の減免が示されたが、『ガイドライン』には「解釈で対応」と曖昧な点もありますので、自社の状況に当てはまるか、事前に検討が必要だと考えられます。

②-b.「要配慮個人情報」という概念も新設されました。
「人種」「社会的身分」「信条」「病歴」などは、「本人に対する不当な差別・偏見などの不利益が生じないように取り扱いに特に配慮を要する情報」と定義され、<本人の事前同意>なしに取得することは禁止されました。
従って、本人確認書類のコピーを取る時など、該当する情報が含まれていないかを確認して塗りつぶす(=マスキングする)必要があります。「健康診断結果」の書類なども対象に含まれますので、現在、企業内でどう取り扱っているか、チェックが必要です。

日本から<海外にデータを移転する場合>の規制も盛り込まれ、原則として<本人の事前同意>が必要になります。海外のクラウドサービスを利用している場合が対象になるか懸念されていますが、海外にある一般的なグラウト利用の場合ならば対象外になるのかどうか、今後の当局の運用状況を注視する必要があります。

ビッグデータの利活用をにらんで導入される④「匿名加工情報」は運用基準が抽象的で、企業はまだ一歩を踏み出せないだろうと見られているようです。その理由は、4.で説明します。今後、当局はより詳細な④の運用の基準を示す見通しです。

【ポイント】
①取り扱う個人情報が5,000人以下の小規模事業者も対象になる。
②顔や指紋などのデジタルデータは a.「個人識別符号」、健診結果などは b.「要配慮個人情報」と定義され、規制対象になる。
③個人データを第三者へ提供する際の「記録作成」が義務づけられる。
④個人を特定できなくした「匿名加工情報」は本人の同意なしで利用可能になる。

お問い合わせ

ご相談のご予約受付時間  9:00~17:00

メールでのご予約
0565-42-4490