個人情報保護法改正の理由は、個人情報に該当するか否かのグレーゾーンの拡大にあるのです。ここでは、同法の改正について解説します。
1.個人情報保護法改正の理由
個人情報保護法改正の理由とは、技術革新により以前は個人の識別情報できなかったものが識別できるようになったため、個人情報に該当するか否かのグレーゾーンが拡大したこと。
ここでは、個人情報保護法の背景について触れながら、「個人識別符号」の導入によりグレーゾーンの解消を図った個人情報保護法の改正について解説します。
個人情報保護法の背景とは?
個人情報保護法の背景には、高度情報通信社会の進展に伴った個人情報の利用の著しい拡大があります。高度情報化社会の進歩は、個人情報の保護にも大きな影響を与えているのです。
- 以前なら個人情報の識別情報にはならなかったものが、個人情報に該当するようになる
- ビックデータなど情報解析技術が進む中、個人情報の利用が著しく拡大してきている
また通信情報技術の進歩により、個人情報保護法の持つ重要性が高まっているという点もあります。
2.個人識別符号とは?
個人識別符号とは、以下のような特徴をもつ文字、番号、記号などの符号のこと。
- 指紋データや顔認識データなど、個人の身体的特徴をコンピュータの用に供するために変換される
- 旅券番号や運転免許証番号など、個人に割り当てられる
ここでは、顔認識データや指紋データといった「生体情報」についてもあわせて解説します。
顔認識データ・指紋データなどの「生体情報」
顔認識データ・指紋データなどの「生体情報」は、政令において個人識別符号と定められます。これ以外にも、下記のようなものが、個人識別符号として認められているのです。
- 顔の骨格および皮膚の色並びに目、鼻、口そのほか顔の部位の位置および形状によって定まる容貌
- 歩行時の姿勢および両腕の動作・歩幅、そのほか歩行の態様
- 手のひらまたは手の甲若しくは指の皮下静脈の分岐および端点によって定まる、静脈の形状
- 指紋または掌紋
3.個人情報について
個人情報とは、生存する個人に関する情報で、「氏名や生年月日などにより特定の個人を識別する」「ほかの情報と容易に照合できる」「特定の個人を識別できる」ものです。ここでは、個人情報データベース等について解説します。
個人情報データベース等
個人情報データベースとは、個人情報をデータベース化し、情報を抽出するために検索可能な状態にしたもの。ここには個人データや保有個人データといった、さまざまな種類のデータが含まれています。
個人データ
個人データとは、個人情報データベースなどを構成する個人情報のこと。なお利用方法から見て個人の権利利益を害する恐れが少ない点から、住宅地図など個人情報データベースから除外されるものを構成する個人情報は、個人データに該当しません。
保有個人データ
保有個人データとは、一部例外を除き、個人情報取扱事業者が本人またはその代理人から請求される開示内容の訂正・追加・削除などに応じられる権限を有したうえで、6ヵ月以上保有する個人データのことで。
4.個人情報保護法の改正内容
個人情報保護法は、情報通信技術の発展などを受け、「平成27年9月に改正法が公布」「平成29年5月30日から全面施行」されています。ここでは個人情報保護法の改正内容に焦点を当て、計12の項目についてポイントを解説します。
- 個人情報の定義の明確化
- 要配慮個人情報
- 匿名加工情報
- 個人情報保護指針
- トレーサビリティの確保
- データベース提供罪
- 個人情報保護委員会
- 国境を越えた適用と外国執行当局への情報提供
- 外国事業者への第三者提供
- オプトアウト規定の厳格化
- 利用目的の制限の緩和
- 小規模取扱事業者への対応
①個人情報の定義の明確化
特定の個人の身体的特徴を変換したものは、特定の個人を識別する情報であるとしたうえで、個人情報の定義を明確化します。氏名のみでも社会通念上、特定の個人識別ができるものであれば個人情報になるとされているのです。
②要配慮個人情報
要配慮個人情報とは、本人に対して不当な差別や偏見が生じないよう、人種・信条・病歴などを含む個人情報は本人の同意を得て取得する」を原則義務化すること。
人の同意を得ない場合、第三者提供の特例も禁止されます。
③匿名加工情報
匿名加工情報とは、特定の個人を識別できないように個人情報を加工した情報のこと。こうした情報については、「個人情報の加工方法」「事業者による公表などその取り扱い」についての定めが設けられています。
④個人情報保護指針
個人情報保護指針とは、個人情報保護指針を作成する際、「消費者の意見などを聴く」「個人情報保護委員会に届け出る」と義務付けた内容のこと。個人情報保護委員会は、届け出のあった内容を公表することになっています。
⑤トレーサビリティの確保
トレーサビリティの確保とは、個人情報の受領者が「個人情報を提供する者の氏名」「データ取得経緯」などを確認するだけでなく、一定期間その内容を保存すること。個人情報の提供者自身も、受領者の氏名などを一定期間保存しなければなりません。
⑥データベース提供罪
データベース提供罪とは、「個人情報データベースなどを取り扱う事務に従事する者」「個人情報データベースなどの取り扱いに従事していた者」が、不正な利益を図る目的で個人情報を提供する、または盗用する行為に対する処罰のこと。
データベース提供罪では、1年以下の懲役または 50 万円以下の罰金が科せられ、法人も対象となります。
⑦個人情報保護委員会
個人情報保護委員会とは、内閣府の外局として新設された委員会です。「番号法の特定個人情報保護委員会を改組」「現行の主務大臣の有する権限を集約」「立入検査の権限などを追加」といった内容によって、その権限を強化しました。
なお報告徴収・立入検査に関する権限については、事業所管大臣などに委任できます。
⑧国境を越えた適用と外国執行当局への情報提供
日本国内の個人情報を取得した外国の個人情報取扱事業者については、国境を越えた形で個人情報保護法を原則、適用します。また執行に際する外国執行当局への情報提供も、可能です。
⑨外国事業者への第三者提供
以下に挙げるような条件のうちひとつをクリアすると、外国事業者に個人情報を第三者提供できます。
- 個人情報保護委員会の規則に則った方法
- 個人情報保護委員会が認めた国
- 本人の同意を得る
⑩オプトアウト規定の厳格化
オプトアウト規定の厳格化とは、オプトアウト規定による第三者提供をしようとする際、「データの項目などの個人情報保護委員会への届出」「個人情報保護委員会による内容の公表」を行わなければならないこと。
オプトアウト規定は、本人の求めに応じ当該本人識別データの第三者提供を停止する場合、本人の同意なく第三者に個人データを提供できる制度です。
⑪利用目的の制限の緩和
個人情報を取得したときの利用目的を改め、新たな利用目的へと変更する場合にかんする制限規定が緩和されます。具体的にいうと利用目的内の制限で、「相当の関連性」が「関連性」に緩和されるのです。
⑫小規模取扱事業者への対応
小規模取扱事業者への対応として、個人情報保護法の適用対象が下記のようになります。
- 改正前…5,000件を超える個人情報を保有する事業者のみ
- 改正後…保有している個人情報が5,000件以下の小規模取扱事業者も含む
5.個人情報取扱事業者が守るべき4つのルール
個人情報保護法には、個人情報取扱事業者が守るべき4つのルールが定められているのです。ここでは、これら4つのルールについて解説しましょう。
- 個人情報の取得、利用
- 個人データの安全管理措置
- 個人データの第三者提供
- 保有個人データの開示請求
①個人情報の取得・利用
個人情報の取得・利用とは、個人情報保護法第15条第1項に定められているルールのこと。個人情報取扱事業者が個人情報を取り扱う際、利用目的をできる限り特定しなければならないと明記されているのです。
また個人情報取扱事業者が個人情報を取り扱う場合、利用目的の公表や本人への通知なども必要になります。
要配慮個人情報とは?
要配慮個人情報とは、不当な差別・偏見・そのほかの不利益が生じることのないよう、個人情報の取り扱いに配慮を要する情報として、法律・政令・規則に定められた情報のこと。具体的には、以下に挙げるような項目です。
- 人種
- 信条
- 病歴
- 犯罪の経歴
- 身体・知的・精神における障がい
- 健康診断そのほかの検査の結果
要配慮個人情報の取得には、「使用目的の特定、通知または公表」「本人の同意」が必要です。
②個人データの安全管理措置
個人データの安全管理措置とは、個人情報取扱事業者が個人データを安全に管理するため必要かつ適切な措置を講じなければならない、というルールのこと。情報漏えいなどが生じないよう、「安全な管理」「業者や委託先での安全な管理」の徹底が求められます。
安全管理の方法とは?
安全管理の方法とは、個人データの漏えいなどによって該当する個人が被る権利利益の侵害の大きさを考慮し、「事業の規模や性質」「個人データの取扱状況やデータの記録媒体の性質など」に起因するリスクに応じて、必要かつ適切に管理する方法のこと。
安全管理のためには、「基本方針」「個人データの取扱いに係る規定」の策定が重要です。
小規模事業者に対する特例がある
安全管理の方法には、小規模事業者に対する特例があります。
ガイドラインでは、小規模事業者の管理が円滑に行われるよう配慮するため、一部の事業者を除いて従業員数が100人以下の中小規模事業者に対し、「従業者を教育」「紙で管理する場合、鍵のかかる引き出しに保管する」といった対応方法が明示されています。
③個人データの第三者提供
個人データの第三者提供とは、個人情報保護法第23条第1項に定められているルールのこと。個人情報取扱事業者は、個人データを第三者に提供する場合、原則としてあらかじめ本人の同意を得なければなりません。
また「第三者に個人データを提供した」「第三者から個人データの提供を受けた」場合、一定事項を記録する必要があります。
基本的な記録事項とは?
個人データの第三者提供における基本的な記録事項では、「情報提供した」「情報提供を受けた」2つのパターンがあります。具体的には、以下のような記録が必要になるのです。
- 情報提供した場合:いつ・誰の・どんな情報を・誰に提供したかについて
- 情報提供を受けた場合:いつ・誰の・どんな情報を・誰から提供されたかに加え、相手方の取得経緯について
オプトアウトとは?
オプトアウトとは、個人情報保護法第23条第2項に定められている制度です。本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止する場合、本人の同意を得ずとも第三者に個人データを提供できます。
④保有個人データの開示請求
保有個人データの開示請求とは、個人情報保護法第28条に定められているルールです。
個人情報取扱事業者は、本人から保有個人データの開示請求を受けたときは原則、当該保有個人データを開示しなければならなりません。
また個人情報保護法第35条には、個人情報の取扱いに関する苦情などには、適切かつ迅速に対応するよう努めることも必要だと定められています。
以下の①~⑤について、「本人が知り得る状態」に置く必要(?以下が不明なので、通常のまとめを書きます) 記事内で、博士・専門家キャラ的な人物にセリフとして、段落の「重要ポイントのまとめ」や、「特徴的な内容・トピック」を話させます
6.匿名加工情報に対する事業者の義務
匿名加工情報とは、「本人が特定できないように個人情報を加工した情報」「当該個人情報を復元できないようにした情報」のこと。個人情報保護法の改正により、自由な流通や利活用の推進を目的として導入されました。
こうした匿名加工情報に対する事業者の義務は、4つです。4つそれぞれについて、解説しましょう。
- 適切な加工
- 安全管理措置
- 公表義務
- 識別行為の禁止
①適切な加工
適切な加工とは、匿名加工情報を作成する事業者による個人情報の適切な加工のこと。具体的には、下記のような内容を削除または置換することです。
- 特定の個人を識別できる記述などのすべてまたは一部
- 個人識別符号のすべて
- 個人情報とほかの情報とを連結する符号
- 特異な記述など
- 個人情報とデータベース内のほかの個人情報との差異などの性質を勘案し、適切な措置を講ずる
②安全管理措置
安全管理措置とは、匿名加工情報を作成する事業者がとらなければならない安全管理に関する措置のこと。内容として挙げられるのは、以下の2つです。
- 匿名加工情報の加工方法など、情報の漏えいを防止しなければならない
- 匿名加工情報に関する苦情の処理、適正な取り扱い措置、公表をしなければならない
③公表義務
公表義務については、下記のように定められています。
匿名加工情報を作成した事業者は、匿名加工情報の作成後遅滞なく、ホームページなどを利用し、当該匿名加工情報に含まれる個人に関する情報の項目を公表しなければならない
匿名加工情報を第三者に提供する際はあらかじめホームページなどで、第三者に提供する匿名加工情報に含まれる項目および匿名加工情報の提供の方法を公表しなければならない
④識別行為の禁止
匿名加工情報を取り扱う際、作成元となった個人情報の本人を識別する目的で行ってはならないとされている行為があります。たとえば以下のようなものです。
- 自らが作成した匿名加工情報を、本人を識別するためにほかの情報と照合する
- 受領した匿名加工情報の加工方法等情報を取得する
- 受領した匿名加工情報を、本人を識別するためにほかの情報と照合する
【人事評価運用にかかる時間を90%削減!】
評価シートの作成、配布、集約、管理を全てシステム化。
OKR、MBO、360度評価などテンプレートも用意!
●作成:ドラッグ&ドロップ評価シートを手軽に作れる
●配布:システム上で配るので、配布ミスや漏れをなくせる
●集約:評価の提出、差戻はワンクリック。進捗も一覧でわかる
●管理:過去の結果も社員ごとにデータ化し、パッと検索できる
