2005年4月1日に施行された個人情報保護法は、制定後10年以上が経ちました。この間、企業の活動がますますグローバル化されていることや、企業の取り扱う情報が多様化されていること、また情報インフラや通信技術の発展が進んだことによる事業環境の変化が起きています。
こうした変化は、「その情報が個人情報であるか否か」の判断を難しくし、いわゆる「グレーゾーン」の拡大を生みました。また、国内でマイナンバー制度が始まったことにより、企業が個人情報を適切に扱うことの重要性も改めて認識されています。
このような背景から、2015年9月に改正個人情報保護法が交付され、2017年5月30日より全面施行されました。今回の改正の背景には、個人情報の適正な取扱いと、ビジネスでの利活用の促進があります。本コラムでは、個人情報保護の法改正のポイントをみていきましょう。
個人情報の定義の明確化
特定の個人を識別できる情報として、「個人識別符号」という新たな考えかたが示され、「個人識別符号」は単体でも個人情報であることが明示されました。
「個人識別符号」とは具体的には次の通りです。
- 身体の一部の特徴を電子計算機のために変換した符号
⇒DNA、顔、虹彩、声紋、歩行の態様、手指の静脈、指紋・掌紋 - サービス利用や書類において対象者ごとに割り振られる符号
⇒公的な番号…旅券番号、基礎年金番号、免許証番号、住民票コード、マイナンバー、各種保険証等
個人情報取扱事業者の範囲拡大
5,000人分以下の個人情報を取り扱う事業者についても、あらたに改正法の適用対象となりました。さらに、個人事業主やNPO・自治会などの非営利組織も、取扱事業者となります。
取扱事業者が守るべきルールの整備
具体的には、以下のような改正がありました。
「要配慮個人情報」の取得ルールが明示されました
要配慮個人情報とは以下の情報をさします。
- 人種、信条、社会的身分、病歴、前科・前歴、犯罪被害情報
- その他本人に対する不当な差別、偏見が生じないように特に配慮を要するものとして政令で定めるもの
- 身体障害・知的障害・精神障害等があること
- 健康診断その他の検査の結果
- 保健指導、診療・調剤情報
- 本人を被疑者又は被告人として、逮捕、捜索等の刑事事件に関する手続が行われたこと
- 本人を非行少年又はその疑いのある者として、保護処分等の少年の保護事件に関する手続が行われたこと等
要配慮個人情報を取得するには、原則として事前の本人同意が必要で、オプトアウト(事前に同意をとらず、本人が拒否した場合に第三者への提供をやめる方式)は認められていません。
匿名加工情報の利活用に関する規定ができました
特定の個人を識別することができないように個人情報を加工した情報のことを匿名加工情報といいます。
匿名加工情報の利活用には、本人の同意を必要としないことが明示されました。
個人情報を第三者に渡す時のルールがより厳格になりました(いわゆる名簿屋対策)
第三者へ個人データを提供した時は、受領者の氏名等を記録し、一定期間保存することが義務化されました。
一方で、第三者から個人データを受け取るときにも、提供者の氏名等、取得経緯を確認し、受領年月日、確認した事項等を記録し、一定期間保存することが義務化されました。
また、外国の第三者に個人データを渡す場合のルールも明示され、違反した場合の処罰も強化されました。
個人情報保護委員会の新設
改正に伴い、所管がこれまでの消費者庁から個人情報保護委員会に移管されました。
個人情報保護委員会は、マイナンバーの適正運用を推進する業務もふくめ、個人情報の適切な取扱いの確保に関する業務を行う、内閣総理大臣直轄の委員会です。
経済産業省や個人情報保護委員会からも各種資料、ガイドラインが発行されていますので、詳細はそちらでぜひ確認をしてください。
この法改正をふまえ、派遣社員やパート・アルバイトも含めた全社員に、改めて個人情報保護に関する社内教育を徹底実施していく必要があります。
個人情報保護研修の詳細はこちらからご覧ください
月1回、社内教育ご担当者様向けにお役立ち情報のメルマガも配信しております。
ご購読はこちらよりしていただけます。