(出典:個人情報保護委員会ホームページ)
平成29年5月30日に、改正後の個人情報保護法が全面施行されました。個人情報保護法は、平成15年に制定されて以来、大きな改正は行われておりませんでした。平成27年9月3日に、大幅に改正されて成立し、翌平成28年1月1日にその一部が施行されましたが、全面的な施行は、平成29年5月30日となりました。この機会に、改正された個人情報保護の内容を紹介しますので、個人情報の取得、保管、第三者提供との取扱について見直して頂ければと思います。
1 個人情報保護制度改正の背景
(1) ビッグデータ時代の到来
情報通権技術の進展により、膨大なパーソナルデータが収集・分析される、ビッグデータ時代が到来してきた。
すなわち、個人情報保護法の制定から10余年が経過したが、この間の情報通信技術の飛躍的な進展は、多種多様かつ膨大なデータ、いわゆるビッグデータの収集・分析を可能とし、このことが、新産業・新サービスの創出や我が国を取り巻く諸課題の解決に大きく貢献するなど、これからの我が国発のイノベーション創出に寄与するものと期待されている。特に、個人の行動・状態等に関する情報に代表される、パーソナルデータについては、現行法制定当時には実現が困難であった高度な情報通信技術を用いた方法により、本人の利益のみならず公益のために利活用することが可能となってきており、その利用価値は高いとされている。
(2) グレーゾーンの拡大
個人情報として取り扱うべき範囲の曖昧さ(グレーゾーン)のために、企業は利活用を躊躇している。(例:大手交通系企業のデータ提供)
しかし同時に、自由な利活用が許容されるのかが不明確な「グレーゾーン」が発生・拡大し、パーソナルデータの利活用に当たって、保護すべき情報の範囲や事業者が遵守すべきルールが曖昧になりつつある。
このような状況において、現在、パーソナルデータの利活用に当たって特に個人の権利利益の侵害に係る問題を発生させていない事業者も、前述のグレーゾーンの発生・拡大のために、プライバシーに係る社会的な批判を懸念して、パーソナルデータの利活用に躊躇するという「利活用の壁」が出現しており、パーソナルデータの利活用が必ずしも十分に行われてきているとは言えない状況にある。
(3) パーソナルデータを含むビッグデータの活用のための環境整備が必要
また、いわゆる名簿屋問題(例:大手教育出版系企業の個人情報大量流失)により、個人情報の取り扱いについて一般国民の懸念も増大している。
すなわち、個人情報保護法の制定から現在までの間、個人情報及びプライバシーという概念が世の中に広く認識されるとともに、高度な情報通信技術の活用により自分のパーソナルデータが悪用されるのではないか、これまで以上に十分な注意を払ってパーソナルデータを取り扱って欲しいなどの消費者の意識が拡大しつつあり、保護されるべきパーソナルデータが適正に取り扱われることを明らかにし、消費者の安心感を生む制度の構築が望まれている。
(4) 事業活動の国際化とパーソナルデータの国境を越えた流通
企業活動がグローバル化する中、情報通信技術の進展により、クラウドサービス等国境を越えた情報の流通が極めて容易になってきており、このような変化に対応するため、世界各国において、我が国も加盟国であるOECD(経済協力開発機構)が平成25年7月にプライバシー個人情報の保護に関する法律(平成15年法律第57号)を改正したほか、米国において平成24年2月に消費者プライバシー権利章典が公表され、EUにおいても平成26年3月に個人データ保護規則案が欧州議会本会議にて可決され、さらに継続検討が行われるなど、個人情報及びプライバシーの保護に関する議論や法整備が世界的にも進んできている。
(5) 個人情報保護法の改正
これらの環境の変化に対応し、消費者の個人情報の保護を図りつつ、事業者によるパーソナルデータの円滑な利活用を促進させ新産業・新サービスを創出するための環境の整備を行うことを目的とし、平成27年に個人情報保護法が改正された。
個人情報保護法の改正により、個人情報の定義を明確化することによりグレーゾーンを解決し、また、誰の情報か分からないように加工された「匿名加工個人情報」について、企業の自由な利活用を認めることにより経済を活性化させる。すなわち、政府の成長戦略においては、データ利活用による産業再興を掲げており、特に利用価値が高いとされるパーソナルデータについて、事業者の「利活用の壁」を取り払い、これまでと同様に個人の権利利益の侵害を未然に防止し個人情報及びプライバシーの保護を図りつつ、新産業・新サービスの創出と国民の安全・安心の向上等のための利活用を実現するための環境整備を行うこととした。
他方、いわゆる名簿屋問題対策として、必要に応じて個人情報の流通経念を辿ることができるようにし、また、不正に個人情報を提供した場合の罰則を設け、不正な個人情報の流通を抑止した。
更に、我が国に世界中のデータが集積し得る事業環境に対応するためにも、諸外国における情報の利用・流通とプライバシー保護の双方を確保するための取組に配慮し、制度の国際的な調和を図ることも盛り込まれた。
2 改正の骨子
(1) 個人情報保護委員会の新設
個人情報取扱事業者に対する監督権限を各分野の主務大臣から委員会に一元化。
(2) 個人情報の定義の明確化
①利活用に資するグレーゾーン解消のため、個人情報の定義に身体的特徴等が対象となることを明確化。
②要配慮個人情報(本人の人種、信条、病歴など本人に対する不当な差別又は偏見が生じる可能性のある個人情報)の取得については、原則として本人同意を得ることを義務化。
(3) 個人情報の有用性を確保(利活用)するための整備
匿名加工情報(特定の個人を識別することができないように個人情報を加工した情報)の利活用の規定を新設。
(4) いわゆる名簿屋対策
①個人データの第三者提供に係る確認記録作成等を義務化。(第三者から個人データの提供を受ける際、提供者の氏名、個人データの取得経緯を確認した上、その内容の記録を作成し、一定期間保存することを義務付け、第三者に個人データを提供した際も、提供年月日や提供先の氏名等の記録を作成・保存することを義務付ける)
②個人情報データベース等を不正な利益を図る目的で第三者に提供し、又は盗用する行為を「個人情報データベース提供罪」として処罰の対象とする。
(5) その他
①取り扱う個人情報の数が5000人以下である事業者を規制の対象外とする制度を廃止した。
②オプトアウト(※)規定を利用する個人情報取扱事業者は所要事項を委員会に届け出ることを義務化し、委員会はその内容を公表する。(※本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止する場合、本人の同意を得ることなく第三者に個人データを提供することができる)
③外国にある第三者への個人データの提供の制限、個人情報保護法の国外適用、個人情報保護委員会による外国執行当局への情報提供に係る規定を新設した。
1 個人識別符号の追加
(1) 個人識別符号の追加による個人情報の定義の明確化(第2条1項1号)
個人情報の定義として、以下の情報が対象となることを明確化した。
①身体的特徴を電子計算機の用に供するために変換した符号(顔認識データ、指紋認識データ)
②対象者ごとに異なるものとなるように役務の利用、商品の購入又は書類に付される符号(旅券番号、運転免許証番号、マイナンバー)
(2) 個人識別符号の内容(第2条1項2号)
政令・委員会規則で以下の番号・符号を個人識別符号と規定。
①DNA、顔、虹彩、声紋、歩行の態様、手指の静脈、指紋・掌紋を電子計算機のために変換した符号であって、特定の個人を識別するに足りるものとして個人情報保護委員会規則で定める基準に適合するもの
②公的な番号(旅券番号、基礎年金番号、免許証番号、住民票コード、マイナンバー、各種保険証の被保険者番号等)
2 要配慮個人情報の規定の新設
(1) 要配慮者個人情報の追加(第2条第3項)
人種、信条、病歴等が含まれる個人情報については、本人の同意をとって取得することを原則義務化し、本人の同意を得ない第三者提供の特例(以下「オプトアウト手続」という)を禁止した。
そして、次のいずれかに該当する情報を「要配慮個人情報」とし、取得について、原則として本人の同意を得ることを義務化した。
①人種、信条、社会的身分、病歴、前科・前歴、犯罪被害情報
②その他本人に対する不当な差別、偏見が生じないように特に配慮を要するものとして政令で定めるもの
(2) 要配慮者個人情報の内容(政令第2条)
政令第2条で以下の記述等を含む個人情報を要配慮個人情報と規定した。
①身体障害・知的障害・精神障害等があること
②健康診断その他の検査の結果(遺伝子検査の結果を含む)
③保健指導、診療・調剤情報
④本人を被疑者又は被告人として、逮捕、捜索等の刑事事件に関する手続が行われたこと
⑤本人を非行少年又はその疑いのある者として、保護処分等の少年の保護事件に関する手続が行われたこと
3 利用目的の制限の緩和とパーソナルデータの利活用
個人情報を取得した人の利用目的から新たな利用目的へ変更することを制限する規定の緩和。
(1) 利用目的の変更要件の緩和(第15条2項)
当初の利用目的から新たな利用目的への変更の要件を緩和し、個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と「関連性を有すると合理的に認められる範囲」を超えて行ってはならないとして、これまで存在していた「相当の」という文言が削除された(第15条2項)。
(2) 匿名加工情報の新設(第2条9号)
①匿名加工情報の新設(第2条9号)
特定の個人を識別することができないように個人情報を加工したものを匿名加工情報とし、その加工方法及び事業者による公表等その取扱いに関する規律を新設。適切な規律の下で個人情報等の有用性を確保した。
匿名加工情報とは、特定の個人を識別することができないように個人情報を加工した情報であって、当該個人情報を復元することができないようにしたものをいい、匿名加工情報の類型を新設し、個人情報の取扱いよりも緩やかな規律の下、自由な流通・利活用の促進を図る。
②匿名加工情報の加工方法(第36条1項、規則19条)
最低限の加工方法として、以下の措置を講ずることが考えられる。
ⅰ特定の個人を識別することができる記述等(例:氏名)の全部又は一部を削除(置換を含む。以下同じ)すること
ⅱ個人識別符号の全部を削除すること
ⅲ個人情報と他の情報とを連結する符号(例:委託先に渡すために分割したデータとひも付けるID)を削除すること
ⅳ特異な記述等(例:年齢116歳)を削除すること
ⅴ上記のほか、個人情報とデータベース内の他の個人情報との差異等の性質を勘案し、適切な措置を講ずること
4 適正な個人情報の流通の確保
(1) オプトアウト手続の厳格化(第23条2項、規則第7条、第8条、第10条)
事業者は、オプトアウト手続によって個人データを第三者に提供しようとする場合、データの項目等を個人情報保護委員会へ届出が必要となる。個人情報保護委員会は、その内容を公表する。
(2) トレーサビリティの確保(第26条1項、3項、4項)
個人データを提供した事業者は、受領者の氏名等の記録を一定期間保存。また、個人データを第三者から受領した事業者は、提供者の氏名やデータの取得経緯等を確認し、一定期間その記録を保存しなければならない。
①個人データの第三者提供に係る確認・記録の作成等を義務化(第26条1項、3項、4項)
第三者から個人データの提供を受ける際、提供者の氏名、個人データの取得の経緯を確認した上、その内容等の記録を作成し、一定期間保存することを義務付け、また、第三者に個人データを提供した際も、提供の年月日や提供先の氏名等の記録を作成し、一定期間保存することを義務付ける。
②記録事項、記録の作成方法、記録の保存期間、確認方法を個人情報保護委員会規則で定める。(第三者提供ガイドライン)
(3) 個人情報データベース等不正提供罪(第83条)
個人情報データベース等を取り扱う事務に従事する者又は従事していた者等が、不正な利益を図る目的で提供し、又は盗用する行為を処罰する規定を新設。
5 小規模事業者への配慮
(1) 取り扱う個人情報の数が5000人分以下である事業者を規制の対象外とする規定を廃止(附則第11条)
改正法の附則において、個人情報保護委員会はガイドラインの策定に当たって中小規模事業者に配慮する旨を規定した。
(2) 中小規模事業者の特例
①ガイドラインにおいて、安全管理措置について、一般的な義務・手法例とともに、中小規模の事業者の特例的な対応(手法の例示を含む。)を記載。(通則ガイドライン別添 中小規模事業者が高ずべき安全管理措置)
②なお、ガイドラインにおける「安全管理措置」の内容(特例含む。)は、原則、番号法ガイドラインに準じるものとするが、番号法固有の観点から講じることとされている措置に関する記載等は、中小規模事業者については措置の内容を緩和している。
(例)
・組織的安全管理措置の「取扱状況等の記録」に関する記載
・物理的安全管理措置の「区域の管理」に関する記載等
6 個人情報保護委員会の設置
(1) 沿革
①平成26年1月1日特定個人情報保護委員会設置
行政手続における特定の個人を識別するための番号の利用等に関する法律第36条)
②平成28年1月1日個人情報保護委員会設置(第50条)
特定個人情報保護委員会から改組
(2) 所掌事務(第52条他)
①基本方針の策定及び推進
②マイナンバー制度に関する事務(監視・監督、特定個人情報保護評価)
③個人情報保護法に関する事務(個人情報保護法を所管)
④個人情報保護法に基づく監視・監督業務。
⑤苦情処理事業者への協力
⑥認定個人情報保護団体に関する事務
⑦個人情報の保護及び適正かつ効果的な活用についての広報及び啓発
(3) 組織(第54条)
個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律第1条及び第4条)
①委員長1名・委員8名(合計9名)の合議制(行政委員会)
②委員長・委員は独立して職権を行使(任期5年)
③委員会事務局の職員数:97名(平成28年8月1日現在)
7 個人情報の取扱いのグローバル化
(1) 国境を越えた適用と外国執行当局への情報提供(第75条、第78条)
国境を越えた法の適用と外国執行当局への情報提供として、日本に居住する本人から個人情報を直接取得した外国の事業者についても個人情報保護法を原則適用とする。また、個人情報保護委員会による外国執行当局への情報提供が可能とする。
(2) 外国事業者への第三者提供(第24条)
外国事業者への第三者提供として、個人情報保護委員会規則に則った体制整備をした場合、個人情報保護委員会が認めた国の場合、又は本人の同意により、個人データを外国の第三者へ提供することが可能であることを明確化した。
8 認定個人情報保護団体の活用
(1) 認定個人情報保護団体の活用と個人情報保護指針(第43条)
認定個人情報保護団体は、個人情報保護指針を作成する際には、消費者の意見等を聴くよう努めるとともに個人情報保護委員会へ届出しなければならない。個人情報保護委員会は、その内容を公表する。
個人情報保護指針を遵守させるための対象事業者への指導・勧告等を認定個人情報保護団体に義務化した。
9 その他改正事項
(1) 開示等請求権(第25条?第30条)
本人の開示、訂正、利用停止等の求めは、裁判上も行使できる請求権であることを明確化した。
個人情報取扱事業者が開示、訂正、削除等の権限を有する個人データ(6月以内に消去することとなるものを除く。)
例:自社の事業活動に用いている顧客情報、従業員等の人事管理情報
(出典:個人情報の利活用と保護に関するハンドブック 個人情報保護委員会)
1 個人情報とは
個人情報保護法では、個人情報、個人データ、保有個人データの3つの概念を設けている。
(1) 個人情報
生存する個人に関する情報であって、
①氏名、生年月日、住所等により特定の個人を識別することができるもの(他の情報と容易に照合でき、それにより特定の個人を識別することができるものを含む)
例:データベース化されていない書面・写真・音声等に記録されているもの
②個人識別符号(ⅰまたはⅱ)が含まれるもの
ⅰ特定の個人の身体の一部の特徴を電子計算機のために変換した符号
例:顔認識データ、指紋認識データ等
ⅱ対象者ごとに異なるものとなるように役務の利用、商品の購入又は書類に付される符号
例:旅券番号、免許証番号等
(2) 個人データ
個人情報データベース等を構成する個人情報をいう。
例:委託を受けて、入力、編集、加工等のみを行っているもの
(3) 保有個人データ
個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして6か月以内に消去することとなるもの以外のものをいう。
(4) 個人データベース等
名簿、連絡帳のように、個人情報を含む情報の集合物であって、電子媒体・紙媒体を問わず、特定の個人情報を検索することができるように体系的に構成したもの。
(5) 要配慮個人情報
これまで、個人情報の取扱いに関しては一律に同じルールを定めていました。しかし、情報の内容や性質によっては差別や偏見を生じさせるおそれがあることから、改正後は、個人情報のうち、人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実等が含まれるものを「要配慮個人情報」とし、その取扱いについて本人が関与できるようになった。
2 個人情報取扱事業者とは
(1) 個人情報取扱事業者
個人情報保護法上の義務規定を守らなければならない「個人情報取扱事業者」とは、個人情報をデータベース化して事業活動に利用している者のこと。
法人に限定されず、営利・非営利の別は問われないため、個人事業主やNPO・自治会等の非営利組織であっても「個人情報取扱事業者」に当たる。
(2) 小規模取扱事業者の特例廃止
これまで5,000人分以下の個人情報を取り扱う事業者(小規模取扱事業者)は、個人情報保護法が適用される対象ではありませんでしたが、全面施行後は、小規模取扱事業者であっても個人情報保護法が適用されるため、同法を守らなければならないこととなった。
3 個人情報取扱事業者が守るべきルール
(1) 取得する際のルール
Q:本人は,自分の個人情報がどのような目的で利用されるのを知ることはできますか?
A:事業者が個人情報を取得する際には、取得する個人情報の利用目的を明確にし、その目的を本人に通知、又はHPや事業所内の掲示等で公表するため、本人はそれらを通じて利用目的を知ることができます。(第15条?第18条)
①取得時の利用目的の特定、通知・公表等
ⅰ事業者は、個人情報を取り扱うに当たっては、その利用目的を特定しなければなりません。また、個人情報を取得するに当たっては、次の2点のどちらかを行う必要がある。
ⅱ取得前にあらかじめ、その利用目的を公表する。
ⅲ個人情報を取得した後速やかに、その利用目的を本人へ通知、又は公表する。
なお、書面によって本人から直接個人情報を取得する場合には、あらかじめ本人にその利用目的を明示しなければならない。
②適正な手段による取得等
事業者は、偽りその他不正な手段によって個人情報を取得してはなりません。要配慮個人情報を取得するに当たっては、原則として本人の同意をとる必要がある。
③利用目的の変更
事業者は、特定した利用目的の範囲内で個人情報を取り扱わなければならず、その目的の範囲を超えて取り扱う場合には、あらかじめ本人の同意をとる必要がある。
もっとも、変更前の利用目的に関連すると合理的に認められる範囲内であれば、利用目的を変更することができる。
利用目的を変更した場合は、変更された目的を本人へ通知、又は公表する必要がある。
(2) 保管・管理する際のルール
Q:事業者は、どのように個人情報を保管・管理しているのですか?
A:事業者は、個人データを保管、管理する際には、その内容を正確に保ち、漏えい防止や安全に管理するために必要な措置をとらなければなりません。
①データ内容の正確性の確保
個人データは正確で最新の内容に保ち、利用する必要がなくなったときはデータを消去するよう努めなければならない。(第19条)
②安全管理措置
個人データの漏えいや滅失を防ぐため、セキュリティソフトの利用やパスワード設定を行うなど、事業の規模等に応じた適切な技術的措置等をとらなければならない。(第20条)
③従業員等の監督
安全にデータが管理されるよう、正社員、契約社員、アルバイト等の従業者に対して、適切な監督を行わなければならない。(第21条)また、個人データの取扱いを委託する場合には、委託先に対しても、適切な監督を行わなければならない。(第22条)
Q:事業者に対して、個人情報の取扱いに関する苦情を申し出ることはできますか?
A:本人は、自分の個人情報を取り扱う事業者に対して、苦情を申し出ることができます。
①個人取扱事業者による苦情の処理
事業者は、個人情報の取扱いに関する苦情について適切かつ迅速な処理に努めなければならないこととされている。(第31条)
Q:事業者が自分のどのような個人情報を持っているのかを確認したいです。
A:本人は、事業者に対して、自分の個人情報の開示を請求することができます。事業者は、その個人情報が保有個人データである場合には、第三者の利益を害する等の一定の場合を除き、原則として本人からの開示請求に応じる必要があります。(第28条)
①開示等の求めに応じる手続
本人からの請求に応じて、保有個人データの内容に誤りがある場合には訂正・削除を、事業者が第16条、第17条、第23条第1項、第24条の義務に違反している場合には保有個人データの利用の停止・消去等をする必要がある。(第29条、第30条)
②利用目的の通知
保有個人データの利用目的や事業者の名称等を継続的にHPへ掲載するなど本人が知ることができる状態に置き、本人の求めに応じて、その本人の保有個人データの利用目的を通知しなければならない。(第18条)
③開示等の求めに応じる手続の整備
これらに必要な手続は、各事業者において定めることができる。(第29条3項)
(3) 第三者に提供する際のルール
Q:A社が、私の個人情報をB社に渡そうとしています。法律上問題はありますか?
A:原則として、あらかじめ本人の同意をとれば、事業者は個人データを他の事業者に提供することができます。なお、次の①?③のいずれかに該当する場合には、例外的に、本人の同意がなくても提供することができます。(第23条)
①以下のいずれかによって提供する場合
ⅰ法令に基づく場合
例:警察から刑事訴訟法に基づく照会があった場合
ⅱ人の生命、身体又は財産の保護に必要であり、かつ、本人の同意を得ることが困難な場合
例:災害や事故の緊急時に患者に関する情報を医師に伝える場合
ⅲ公衆衛生・児童の健全な育成に特に必要であり、かつ、本人の同意を得ることが困難な場合
例:児童虐待防止のために、児童や保護者に関する情報を児童相談所、学校等で共有する場合
ⅳ国の機関等へ協力する必要があり、かつ、本人の同意を得るとその遂行に支障を及ぼすおそれがある場合
例:統計調査に協力する場合
②以下の3点すべてを行って提供する場合(オプトアウト手続。要配慮個人情報を提供する場合を除く。)
ⅰ本人の求めに応じて、その本人の個人データについて、第三者への提供を停止することとしていること
ⅱ本人の求めを受け付ける方法等をあらかじめ本人に通知、又は継続的にHPに掲載するなど本人が容易に知ることができる状態に置くこと
ⅲ本人に通知等した事項を個人情報保護委員会に届け出ること
③委託、事業承継、共同利用に伴って提供する場合には、「第三者」に提供するものとはならない。
Q:外国へ個人情報が提供される場合に、特別なルールはありますか?
A:次の①から③の何れかに該当する場合には、事業者は,個人データを外国の第三者へ提供することができる。
①外国の第三者へ提供することについて本人の同意をとっている場合
②第三者が日本の個人情報保護制度と同等の水準であると認められる国にある場合
③第三者が個人情報保護法に相当する措置を継続的に行うために必要な体制を整備している場合
Q:不正な流通が発覚した場合、どのように漏えい元や流通先が判明するのですか?
A:個人情報の不正な流通が発覚した場合には、個人情報保護委員会が以下の記録を調査することによって、漏えい元や流通先を特定することになります。
①第三者提供時の記録等
事業者は、個人データを第三者に提供したときは、提供年月日、受領者の氏名等を記録し、一定期間保存しなければならない。(第25条)
②第三者からの受領時の確認・記録等
事業者は、個人データの提供を第三者から受けるときは、提供者の氏名等、その提供者がその個人データを取得した経緯を確認するとともに、受領年月日、確認した事項等を記録し、一定期間保存しなければならない。(第26条)
この確認により、受領者は、受け取る情報が不正に入手されたものでないかどうかを認識できるようになる。
(4) 国による監督について
Q:事業者が法律に違反するとどうなるのですか?
A:事業者が法律上の義務に違反していると疑われる場合には、国は事業者に対して、必要に応じて報告を求めたり、立入検査を行ったりすることができます。また、その実態に応じて、必要な指導、助言を行うほか、勧告、命令を行うことができます。(第40条?第42条)
①事業者が、国からの命令に違反した場合には6月以下の懲役又は30万円以下の罰金が、虚偽の報告をした場合等には30万円以下の罰金がそれぞれ科される。(第84条、第85条)
②個人情報データベース等を取り扱う事務に従事する者又は従事していた者等が、不正な利益を図る目的で個人情報データベース等を提供し、又は盗用した場合には、1年以下の懲役又は50万円以下の罰金が科される。(第83条)
(5) 匿名加工情報に関するルール
Q:匿名加工情報とは何ですか?
A:匿名加工情報とは、個人情報を加工して、通常人の判断をもって、個人を特定することができず、かつ、加工する前の個人情報へと戻すことができない状態にした情報のことです。匿名加工情報には、個人情報に関するルールは適用されず、一定の条件の下、本人の同意をとらなくても自由に利活用することができます。これにより、新事業や新サービスの創出や、国民生活の利便性の向上が期待されます。
Q:匿名加工情報を取り扱う事業者は、どのようなルールを守る必要がありますか?
A:事業者は、匿名加工情報を作成する場合、第三者に提供する場合、第三者から受領する場合における各ルールを守る必要があります。
①匿名加工情報を作成する場合(第36条)
ⅰ適正な加工
ⅱ削除した情報や加工の方法に関する情報の漏えいを防止するための安全管理措置
ⅲ匿名加工情報に含まれる情報の項目の公表
ⅳ加工前の個人情報における本人の特定禁止
ⅴ苦情の処理等(努力義務)
②匿名加工情報を第三者に提供する場合(第36条、第37条)
ⅰ匿名加工情報に含まれる情報の項目と提供の方法の公表
ⅱ提供先に対する匿名加工情報であることの明示
③匿名加工情報を第三者から受領した場合(第38条、第39条)
ⅰ加工前の個人情報における本人の特定禁止
ⅱ加工方法の取得禁止
ⅲ苦情の処理等(努力義務)
4 認定個人情報保護団体の活用
認定個人情報保護団体は、事業者に対し、業界の特性に応じた個人情報の適切な取扱いを促し、業界全体における個人情報の保護の水準を高めている。
Q:認定個人情報保護団体とは何ですか?
A:事業者の個人情報の適切な取扱いの確保を目的として、国の認定を受けた民間団体(法人、又は代表者若しくは管理人の定めのある団体)のことです。
①改正個人情報保護法の全面施行前は各主務大臣の、施行後は個人情報保護委員会の監督(認定、指針の届出受理、報告徴収、命令、認定取消)を受けることとされている。
また、認定個人情報保護団体は、法律上、
ⅰ対象事業者の個人情報等の取扱いに関する苦情の処理、
ⅱ対象事業者に対する情報の提供、
ⅲそのほか必要な業務
を行うこととされている。(第47条?第49条)
Q:個人情報保護指針とは何ですか?
A:認定個人情報保護団体が、安全管理措置や匿名加工情報の作成方法等、法律に定められた義務に関して業界の特性に応じた具体的な履行方法等を定める自主的なルールのことです。認定個人情報保護団体は、所属する対象事業者に対して、個人情報保護指針を遵守させるために必要な指導、勧告等を行わなければなりません。(第53条)
①認定個人情報保護団体は、消費者や有識者の意見を聴きながら個人情報保護指針を作成するように努め、作成後は、個人情報保護委員会に同指針を届け出なければなりません。届け出られた同指針は、同委員会において一覧性をもって公表されます。
5 個人情報保護委員会の役割
平成28年1月1日から個人情報保護法は個人情報保護委員会が所管しています。改正前の個人情報保護法では、事業分野ごとに担当大臣が事業者を監督していますが、改正後は、事業者の監督権限が個人情報保護委員会に一元化される。それまでの間、個人情報保護委員会は、政令の検討を行い、規則・ガイドライン等を定める。
委員会に一元化されるのは、改正個人情報保護法の全面施行の日(平成29年5月30日)からである。
6 全面施行日
平成29年5月30日 全面施行
7 個人情報保護法改正に関するまとめ
以上のとおり、今回の個人情報保護法の改正は、小規模事業者の特例の廃止や、第三者提供の制限の追加等大幅な改正がある上、個人情報の取扱に関する行政についても個人情報保護委員会に一元化されるなど、改正点も多岐にわたっております。このため、この機会に、個人情報の取扱に関する詳細は、個人情報保護委員会が公表しているガイドラインを参照して、日頃の個人情報の保管、管理状況について、是非見直しをすることをお勧めします。