「個人情報保護法の改正」
・・・弁護士・森 賢一
「個人情報の保護に関する法律」の一部を改正する法律が,平成27年9月3日に成立し,同月9日に公布されました。なお,施行日は,一部の規定を除き,公布日から2年以内の日とされています。個人情報保護法は,平成15年5月に成立し,平成17年4月に全面施行されて以来,実質的な改正は行われてきませんでしたが,個人情報及びプライバシーをめぐる状況の国内外での大きな変化に対応するため,今回の改正が行われました。
本改正は,個人情報の保護を図りつつ,パーソナルデータの利活用を促進することによる,新産業・新サービスの創出と国民の安全・安心の向上実現及び(前号のサムアップの特集でも取り上げた)マイナンバー制度の利用事務拡充を目的としています。本改正は,マイナンバー法と同時期に成立し,マスメディアの注目がマイナンバー制度に向いてしまったことから,あまり注目されていませんでしたが,今回の改正は多岐にわたるものであり,また規制強化及び緩和の双方の側面からの重要な改正が多く含まれています。そこで,本号では,本改正のポイント等について解説します。
1 個人情報の定義の明確化
(1)個人情報の定義の明確化
改正前個人情報保護法(以下「改正前法」といいます)では,個人情報の定義が不明確であったところ,「個人識別符号(特定の個人を識別できるもの)」が個人情報の定義に含まれることが明確化されました。
(2)要配慮個人情報に関する規定の整備
本人の人種,信条,社会的身分,病歴,犯罪の経歴,犯罪被害情報等の機微情報を要配慮個人情報と定義し,事前に本人の同意を得ない取得を原則禁止するともに,後述のオプトアウト規定からも除外されました。
(3)個人情報取扱事業者の範囲の拡大
改正前法では,個人情報が5,000人分以下の事業者に対しては同法の規制の対象外とされていましたが,本改正により,かかる例外規定が排除されました。
2 適切な規律の下で個人情報等の有用性の確保
(1)利用目的の変更を可能とする規定の整備
取得した個人情報の円滑な利活用を促進するために,取得時の当初の利用目的と関連性を有すると合理的に認められる範囲において,本人の個別同意を得ずに利用目的の変更ができることになりました。
(2)匿名加工情報に関する加工方法や取扱い等の規定の整備
特定の個人を識別することができないように個人情報を加工して,かつ,当該個人情報を復元することができないようにしたものを「匿名加工情報」と定義し,安全管理措置の構築や再識別禁止などその取扱いについての規律が新設されました。
3 個人情報の流通の適正さの確保
(1)本人同意を得ない第三者提供(オプトアウト規定)の届出,公表等厳格化
改正前法において,事業者は,オプトアウトの方法による場合(本人の求めに応じて個人データの第三者提供を停止することとしている場合であって,かつ,一定の事項をあらかじめ本人に通知等している場合)には,本人の同意を得ずに個人データを第三者に提供することが可能とされていました。本改正は,オプトアウト規定による第三者提供をしようとする場合,データの項目等を個人情報保護委員会へ届出ることを事業者に義務づけました。また,当該届出を受けた個人情報保護委員会には,その内容の公表が義務づけられました。
(2)トレーサビリティの確保(第三者提供に係る確認及び記録の作成義務)
個人情報の受領者は提供者の氏名やデータ取得経緯等を確認し,一定期間その内容を保存するとともに,提供者も,受領者の氏名等を一定期間保存することが義務とされました。
(3)不正な利益を図る目的による個人情報データベース等提供罪の新設
改正前法には,情報漏洩に関する行為を行った個人を直接罰する規定はなかったところ,情報漏洩事件に対する社会的危機意識が高まったことを受け,新設されました。
4 個人情報保護委員会の新設及びその権限
個人情報の適切な取扱いを図るため,個人情報保護委員会を新設するとともに,現行の主務大臣の権限を一元化し,監督強化を図ることになりました。
5 個人情報の取扱いのグローバル化
国境を越えた適用と外国執行当局への情報提供に関する規定の整備や外国にある第三者への個人データの提供に関する規定の整備がなされました。
6 まとめ
本改正は,個人事業取扱事業者の範囲を拡大し,個人情報の取扱について規制を強化するだけでなく,いわゆるビックデータを有効活用するための規制緩和の改正も盛り込まれています。事業者にとっては,マイナンバーとともに個人情報の取扱には慎重な対応が求められますが,本改正により,ビックデータを利用した新たなサービスの創造等を図っていくことも可能となります。
|