|
個人情報保護法は、平成17年(2005年)4月に全面施行されました。それから約10年が経過し、情報や通信に関する技術と環境が大きく変化したことに伴い、平成27年(2015年)9月、改正個人情報保護法が成立しました。
改正法の施行は成立から2年以内の予定ですが、今回の改正により、5000人分以下の個人情報を扱う小規模取扱事業者にも、個人情報保護法が適用されることになりました。
そこで、改めて、個人情報保護法に基づいて個人情報取扱事業者が守るべきルールのポイントをご紹介したいと思います。
 |
| ▲図1 個人情報の定義 |
改正前は、5000人分以下の個人情報のみを取り扱う、いわゆる「小規模取扱事業者」については、個人情報保護法の適用対象外とされていました。
改正法では、この5000人要件が撤廃されています。したがって、個人情報データベース等を事業の用に供している者は、会社の大小にかかわらず、また、個人事業主やNPO等の非営利組織であっても、「個人情報取扱事業者」(改正法第2条5項)として個人情報保護法上の義務を負うこととなります。
|
(1) 個人情報の取得・取扱
個人情報を取得するときは、下記が必要です。
1)あらかじめ利用目的を特定すること(改正法第15条)
2)利用目的の範囲内で取り扱うこと(改正法第16条)
3)偽りその他不正な手段で個人情報を取得してはならず、
適正な方法で取得すること(改正法第17条)
4)利用目的を通知・公表すること(改正法第18条)
(2) 保有する個人情報の管理等
取り扱う個人情報が個人情報保護法上の「個人データ」(特定の個人情報を検索できるように、紙・コンピューターなどで体系的に構成した「個人情報データベース等」に含まれる個人情報)にあたる場合は、データの漏えい等を防止するための安全管理措置を講じる必要があります(改正法第20条)。具体的には、i
組織体制や規程の整備などの組織的措置、ii 入退室管理や盗難防止などの物理的措置、iii 従業者への周知などの人的措置、iv パスワード管理や不正アクセス対策などの技術的措置、の4つの側面から措置を検討・実施していくことが必要です。
|
 |
| ▲図2 安全管理措置 |
|
改正法では、個人情報取扱事業者は、利用する必要がなくなった個人データを、遅滞なく消去する努力義務を負うこととなりました(改正法第19条)。例えば、個人情報を取得する際に、利用目的を「○○の懸賞賞品発送のため」としていた場合には、当該懸賞の期間が終了すれば、個人データを利用する必要がなくなるため当該個人データを消去する義務を負うことになります。この点から、個人情報を取得する際には、あらかじめ、利用目的を十分に検討したうえで、その内容を本人に通知・公表しておく必要があるといえます。
このほかにも、個人情報取扱事業者は、個人データを正確で最新の内容に保つこと(改正法第19条)、従業者や取扱の委託先に対して必要かつ適切な監督を行うこと(改正法第21条、第22条)が求められます。 |
(3) 第三者への情報提供、第三者からの情報受領
個人情報取扱事業者が取得した個人情報を第三者に提供する場合は、あらかじめ本人の同意を得なければなりません(改正法第23条)。
ただし、例えば、個人データの取扱を外部委託する場合(個人データの入力、編集等を外部の業者に委託する場合や消費発送を宅配業者に委託する場合など)は、「第三者」には該当せず、あらかじめの同意は要しないものとされています。もっとも、この場合、個人情報取扱事業者は、(2)で述べたとおり、当該委託先に対して必要かつ適切な監督を行うことが求められます(改正法第22条)。
同意を得て個人データを第三者に提供する場合は、提供した年月日、提供先の氏名等を記録し保存しなければなりません(改正法第25条)。
他方で、個人データを受領する側も、提供者の氏名等や個人情報の取得経緯等を確認し、また、提供を受けた年月日や確認した内容を記録・保存する必要があります(改正法第26条)。
これらは、個人データの流通の経緯において違法な行為があった場合に、どの段階で問題が生じたかを追跡できるようにするため(トレーサビリティ)に、改正法で新たに定められた内容です。
 |
| ▲図3 トレーサビリティ |
(4) 保有個人データの開示、訂正、利用停止等
改正法では、個人情報保護法上の「保有個人データ」についての開示請求権、訂正・追加・削除請求権、利用停止・消去請求権が明記されました(改正法第28条、第29条、第30条)。
これにより、本人は、個人情報取扱事業者に対して保有個人データの開示等の請求ができるとともに、個人情報取扱事業者が応じない場合には裁判で開示等の請求ができることとなりました。
 |
| ▲図4 第3者提供の際の注意事項 |
改正をふまえて、個人情報取扱事業者が押さえておくべき主要なルールは以上のとおりです。今後、今回新たに個人情報取扱事業者となる事業者向けのガイドライン等が発表される予定ですので、ガイドライン等にも注目したうえで施行までに準備を進めていただければと思います。
また、上記のほかにも、改正法では、社会のグローバル化に伴い外国の第三者への情報提供等についてのルールが定められたほか、いわゆるビッグデータの利用活用に関連して「匿名加工情報」についての仕組みが新設されました。「匿名加工情報」とは、個人情報の一部を削除したり抽象的な情報に置き換えたりすることによって匿名化し、特定の個人を識別することができないようにした情報です。
このような加工が施された匿名加工情報は、本人の同意がなくても第三者に提供することができますが、その取扱いについては一定の規制があります。該当する可能性のある案件を取り扱われます際には、ご留意いただければと思います。
参考文献
・経済産業省『「個人情報」の「取扱いのルール」が改正されます!』
http://www.meti.go.jp/policy/it_policy/privacy/downloadfiles/01kaiseikojinjohopamphlet.pdf
(※図1〜図4は上記ウェブサイトより抜粋)
・第二東京弁護士会 情報公開・個人情報保護委員会編『Q&A改正個人情報保護法』
監修:中本総合法律事務所
|
