弁護士コラム
全面施行!改正個人情報保護法の押さえておくべき重要ポイント
ついに全面施行!改正個人情報保護法の押さえておくべき重要ポイント4点
平成29年5月30日より、改正個人情報保護法が全面施行されました(以下、「改正法」といいます)。この機会に、改正法の押さえておくべき重要ポイント4点をもう一度復習しておきましょう!
改正個人情報保護法の重要ポイント
①5000人要件の撤廃
②「個人情報」の定義の具体化
③「要配慮個人情報」の新設
④第三者提供規定の整備
①5000人要件の撤廃
改正前の個人情報保護法は、取り扱っている個人情報の数が5000人分を超える事業者のみが個人情報取扱業者に該当するとしていました(5000人要件)。
しかし、今回の改正によって、この5000人要件が撤廃され、「個人情報データベース等を事業の用に供している者」であれば、個人情報保護法の規制を受けることになります(改正法2条5項)。
したがって、ほぼすべての事業者が、改正個人情報保護法の規制を受けることになりました。「うちは中小零細企業だから個人情報保護体制なんて整備しなくても大丈夫」とは言えなくなるということですね。
②「個人情報」の定義の具体化
改正法は、保護の対象となる「個人情報」の定義を具体化しています(改正法2条1項)。特に重要なのは、「個人識別符号」が含まれる情報についても個人情報として保護されると規定された点です。
「個人識別符号」の定義は、改正法2条2項に定義されており、1号個人識別符号と2号個人識別符号に分かれています。
1号個人識別符号とは、特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した符号のうち、特定の個人を識別できるものをいいます。典型例としては、指紋データや顔認識データ、ゲノムデータが挙げられます。
2号個人識別符号とは、個人に提供される役務の利用もしくは個人に販売される商品の購入に割り当てられ、または個人に発行されるカードその他の書籍に記載され、もしくは電磁的方法により記録された符号であって、その利用者ごとに異なるものとなるように割り当てられるなどすることで、特定の利用者等を識別できるものをいいます。典型例としては、個人番号、免許証の番号、健康保険証の番号、旅券番号、国民年金番号などが挙げられます。
多くの企業で、労務管理上、従業員の個人番号や健康保険証の番号等を取り扱う機会は増加していますが、これらの情報は2号個人識別符号を含む情報として、改正法の下で保護されます。
したがって、氏名や住所等、一見して個人情報と分かるものだけでなく、顧客番号など単なる番号の羅列からなる情報についても、厳格な取扱いが必要となる場合があります。
③「要配慮個人情報」の新設
今回の改正により、個人情報の中でも特に取扱いに配慮すべきものを「要配慮個人情報」として新たに定義し、通常以上に厳格な規制を課すこととされました。
「要配慮個人情報」とは、人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等に含まれる個人情報をいいます。「要配慮個人情報」に該当する情報は、取得の際に、原則として本人の同意が必要となります。また、要配慮個人情報以外の個人情報は、本人の求めに応じて提供を停止することとしたうえで、本人の同意を得ずに第三者提供すること(オプトアウトによる第三者提供)が可能ですが、要配慮個人情報についてはオプトアウトによる第三者提供も禁止されています(改正法23条2項)。
④第三者提供規定の整備
改正法により、企業が保有している個人情報を、本人以外の第三者に提供する場合(第三者提供)の規定が整備されました。
具体的には、以下のような規定です。
【オプトアウトによる第三者提供の際の届出義務等、手続の厳格化(改正法23条2項~4項)】
オプトアウトによる第三者提供を行う場合に、提供する個人データの項目や提供方法など、一定の事項を個人情報保護委員会に届け出ることとされ、手続が厳格化されています。
なお、「要配慮個人情報」を含む個人情報は、オプトアウトによる第三者提供それ自体が禁止されています。【第三者提供をする際の提供先等の記録・保存義務(改正法25条)】
個人情報を第三者に提供した場合、個人情報取扱事業者は、原則として、規則で定めるところにより、提供年月日や提供先の第三者の氏名等を記録しなければならないこととされました。【第三者提供を受ける際の提供元や取得経緯等の確認・記録・保存義務(改正法26条)】
個人情報を第三者から受領した事業者は、原則として、規則で定めるところにより、当該第三者の氏名または名称、住所、代表者の氏名等、当該個人データの取得の経緯等、一定の確認事項を記録しなければならないこととなりました。
オプトアウトによる第三者提供を行う場合に、提供する個人データの項目や提供方法など、一定の事項を個人情報保護委員会に届け出ることとされ、手続が厳格化されています。
なお、「要配慮個人情報」を含む個人情報は、オプトアウトによる第三者提供それ自体が禁止されています。【第三者提供をする際の提供先等の記録・保存義務(改正法25条)】
個人情報を第三者に提供した場合、個人情報取扱事業者は、原則として、規則で定めるところにより、提供年月日や提供先の第三者の氏名等を記録しなければならないこととされました。【第三者提供を受ける際の提供元や取得経緯等の確認・記録・保存義務(改正法26条)】
個人情報を第三者から受領した事業者は、原則として、規則で定めるところにより、当該第三者の氏名または名称、住所、代表者の氏名等、当該個人データの取得の経緯等、一定の確認事項を記録しなければならないこととなりました。
企業がとるべき対策
以上、改正法の重要ポイント4点を確認しましたが、個人情報を取り扱う企業としては以下のような対応が求められます。
取り扱っている個人情報の種類を確認する
「要配慮個人情報」に該当する個人データがないかなどを確認し、自社が取り扱っている個人データの種類や範囲を把握しておくと良いでしょう。そうすることによって、今後どのような管理体制を整備していくかの方針を決定することができます。
秘密保持規定等の新設、見直しを行う
就業規則に秘密保持に関する規程を盛り込んだり、個人情報取扱に関する誓約書等の書面を準備しておくと良いでしょう。既に秘密保持規程を設けている企業についても、改正法の趣旨を反映する形で規程の見直しを検討してみることが必要です。
個人情報取扱についての社内研修等を定期的に実施する
いくら個人情報の管理体制を整備したとしても、それが適切に運用されていなければ、個人情報漏洩を防ぐことはできません。
そこで、管理体制を整備したうえで、それが適切に運用されるよう、従業員に周知徹底を図ることが必要であり、そのための社内研修等を行うことを検討してみると良いでしょう。
個人情報保護の機運が高まる一方で、個人情報流出に対する社会の目は厳しくなっています。
個人情報の適切な取扱いに不安がある場合は、当事務所にご相談下さい。
0120-783-645
365日24時間電話予約受付(フリーダイヤル)
