改正個人情報保護法で企業が留意すべきポイントとは？

改正個人情報保護法の施行により、2017年5月30日以降、ほぼすべての企業に個人情報保護法上の義務が課されることとなります。企業においては、改正個人情報保護法の内容についてしっかりと理解するとともに、適切に個人情報を取扱うことが必要です。

今回は、個人情報保護法の改正内容や、改正個人情報保護法の施行にあたって企業が留意すべきポイントについて解説します。

個人情報保護法とは

個人情報保護法とは、個人の権利・利益の保護と個人情報の有用性とのバランスを図るための法律であり、個人情報の定義や個人情報の適正な取扱いに関する基本理念、個人情報を取扱う事業者が個人情報の取得・利用・提供等を行うにあたって遵守すべき義務等について定めています。正式名称は、「個人情報の保護に関する法律」といいます。

個人情報保護法は、インターネットの普及等の情報化の進展により個人の権利・利益の侵害の危険性が高まったことや、国際的な法制定の動向への対処として、2003年5月に公布され、2005年4月に全面施行されました。

その後、個人情報保護法の全面施行から10年あまりが経ち、情報通信技術の発展等の急速な環境変化により法制定当初は想定されなかったようなパーソナルデータの利活用のための環境整備が必要となったことなどから、2015年9月に改正個人情報保護法が公布されました。改正法は、2017年5月30日より全面施行されることとなっています。

 

個人情報保護法の改正のポイント

ここでは、個人情報保護法の改正内容について解説します。今回の改正により、ほぼすべての企業が個人情報保護法の適用対象となるため、改正のポイントについてしっかりと押さえておくことが重要です。

定義の明確化

• 個人情報の定義の明確化
  顔認識データ・指紋認識データなど特定の個人の身体的特徴をデータ化したものや、運転免許証番号・マイナンバーなど個人に割り当てられる番号等が含まれる、特定の個人を識別できる情報について、個人情報の対象として明確化されます。

• 要配慮個人情報の規定の新設
  人種や信条、社会身分、病歴、前科前歴など本人に対する不当な差別や偏見が生じないよう特に配慮を要する個人情報を「要配慮個人情報」として新たに規定し、要配慮個人情報を取得する場合には、原則として本人の同意を得ることが義務づけられます。

• 小規模取扱事業者への対応
  個人情報保護法上の義務が課される「個人情報取扱事業者」について、個人情報をデータベース化して事業活動に利用しているすべての事業者が対象となります。
  改正前の個人情報保護法では、事業活動に利用している個人情報が5,000人分以下の小規模取扱事業者は個人情報保護法の適用対象とされていませんでしたが、改正法施行後は、小規模取扱事業者にも個人情報保護法が適用されることとなります。
  個人情報のデータベースにはメールソフトのアドレス帳や従業員名簿等も含まれるため、実質的には、ほぼすべての事業者に対して個人情報保護法上の各種義務が課されることとなります。

適正な条件下での個人情報等の有用性の確保

• 匿名加工情報の規定の新設
  特定の個人を識別することができないように個人情報を加工し、その個人情報を復元することができないようにしたものを「匿名加工情報」として新たに定義し、その加工方法を定めるとともに、事業者による公表など取扱いに関する規律が新設されます。
  匿名加工情報の取扱いは、個人情報の取扱いよりも緩やかに規律することで、自由な流通や利活用を促進することとされています。

• 利用目的の変更の制限の緩和
  個人情報の利用目的を変更する場合の制限が緩和され、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲において、利用目的を変更できるようになります。

 

個人情報の流通の適正さの確保

• オプトアウト規定の厳格化
  本人の同意を得ずに個人情報を第三者提供する「オプトアウト規定」を利用する場合、あらかじめ下記の事項について本人に通知または本人が容易に知りうる状態に置くとともに、個人情報保護委員会に届け出ることが義務づけられます。

＜届出事項＞

1. 第三者提供を利用目的にすることとその対象項目
2. 第三者への提供の方法
3. 求めに応じて第三者提供を停止することおよび本人の求めを受け付ける方法

• トレーサビリティの確保
  個人情報を体系的にまとめデータベース化した「個人データ」を第三者から受領する場合、受領者は、提供者の氏名や提供者が個人データを取得した経緯を確認するとともに、受領年月日や確認事項等を記録し、一定期間保存することが義務づけられます。
  また、個人データを第三者に提供する場合、提供者は、個人データの提供の年月日や受領者の氏名等を記録し、一定期間保存することが義務づけられます。

• データベース提供罪の新設
  個人情報データベース等を取り扱う事務に従事する者や従事していた者が、不正な利益を目的として個人情報データベースを第三者へ提供し、または盗用する行為を処罰する規定が新設されます。

個人情報保護委員会の新設

内閣府の外局として「個人情報保護委員会」を新たに設置し、これまで各主務大臣が有していた個人情報取扱事業者への監督権限を委員会に集約するともに、新たに立入検査の権限等が追加されます。

個人情報の取扱いのグローバル化

• 国境を越えた法の適用
  日本の住居者等の個人情報を取得した外国の事業者についても、原則として個人情報保護法が適用されることとなります。

• 外国事業者への第三者提供
  個人情報委員会の規則に則った方法、または個人情報保護委員会が認めた国、または本人の同意がある場合、外国への個人情報の第三者提供が可能となります。

 

改正個人情報保護法の施行にあたり、企業が留意すべきポイント

改正個人情報保護法の施行により、ほぼすべての事業者に個人情報保護法上の義務が課されることとなります。企業においては、下記のポイントに留意しながら、個人情報を適切に取扱うことが大切です。

個人情報の取得にあたっての注意点

個人情報を取得する場合、個人情報の利用目的をあらかじめ定めたうえで、その利用目的の範囲内で情報を取扱うことが必要です。利用目的を変更する場合は、変更前の利用目的と関連性を有すると合理的に認められる範囲で行わなければなりません。

また、個人情報は適正な手段により取得することが必要であり、不正な手段によって個人情報を取得してはいけません。特に、要配慮個人情報を取得する場合は、原則として本人の同意を得ることが必要です。

個人情報の保管・管理にあたっての注意点

個人情報を体系的にまとめた個人データを取扱う場合、適切に安全管理措置を実施することが必要です。個人データへのアクセスをパスワード設定により制限するなどの技術的措置を講じるとともに、従業員や委託先が適切に個人データを取扱うよう、しっかりと監督を行うようにしましょう。

個人情報の第三者提供にあたっての注意点

個人情報を第三者に提供する場合は、原則として本人から同意を得なければなりません。同意を得るにあたっては、本人が判断を行うために必要と考えられる合理的で適切な手段を用いることが必要であり、強制的に同意をさせたり、本人が気付かぬうちに同意書にサインをさせたりすることは認められません。

また、第三者から個人情報を受領する場合は、提供者の氏名のほか、データの取得経緯を確認し、記録・保存することが必要です。反対に、第三者に個人情報を提供した場合も、受領者の氏名等を記録し、一定期間保存しなければなりません。

 

まとめ

2017年5月30日以降、ほぼすべての企業に個人情報保護法上の義務が課されることから、これまで法の適用対象外だった企業においても、適切な対策を講じることが必要です。

改正個人情報保護法についてしっかりと理解するとともに、今回説明したポイントに留意しながら適切に個人情報を取扱うようにしましょう。