ブログ

過去の講演,プレゼンテーション,執筆,投稿記事などを
まとめています。

『もうすぐ改正。個人情報保護法は怖くない! ~主な改正点の概説~』(執筆記事が掲載されました)

2015/08/26 ブログ,活動報告

『もうすぐ改正。個人情報保護法は怖くない! ~主な改正点の概説~』(執筆記事が掲載されました)

「もうすぐ改正。個人情報保護法は怖くない! ~主な改正点の概説~」というタイトルで,SOPHIA(愛知県弁護士会会報)2015年7月号に執筆記事を掲載していただきました。
全文を掲載します(平成27年9月3日,改正個人情報保護法が成立しました)。


 「個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律案」は,衆議院での可決後,日本年金機構における個人情報流出事案を受け,本稿提出時点(平成27年7月21日)で参議院での審議がいったん見送られたままの状態にあります。
 本稿は,同法案が原案どおり可決・成立し,公布されることを前提としたものです。この点,ご容赦ください。

主な改正点

 個人情報保護法は,制定後10年以上が経過し,その間のITの進歩や国民の意識の変化などに対応する必要が出てきました。このため,個人情報の保護を図りつつパーソナルデータの利活用を促進することによる,新産業・新サービスの創出と国民の安全・安心の向上の実現を狙いとして,制定後初めての大幅な改正が予定されています(以下,改正前の同法を「現行法」,改正後の同法を「改正法」とそれぞれ呼びます。また,条文番号は,特段の記載のない限り,改正法のものです)。
 改正点は,
(1) 「個人情報」の定義の明確化
(2) 「要配慮個人情報」の定義・規定
(3) 「匿名加工情報」の定義・規定
(4) 利用目的の変更についての規定の整備
(5) 第三者提供に係る確認及び記録作成等の義務づけ
(6) オプトアウト規定の厳格化
(7) 小規模事業者除外規定の撤廃
(8) 立入調査権等を持つ個人情報保護委員会の設置
(9) 個人情報等が国をまたいで取り扱われる場合に関する規定
(10) 個人情報データベース等不正提供・盗用罪の新設
という具合に,多岐にわたります。以下,特に重要と思われるものについて概観します。

「個人情報」の定義の明確化

 「個人情報」の定義に関しては,「個人識別符号が含まれるもの」との記述が加わりました(2条1項2号。ただし,現行法の個人情報の定義を拡大する位置づけではないとされています)。ここで,個人識別符号としては,概ね,顔認識や生体認証用のデータや,運転免許証番号,パスポート番号などが想定されているようです(同条2項)。
 なお,クレジットカード番号,メールアドレス,個人契約の携帯電話番号,各種ID番号などが個人識別符号に含まれるか否かは,政令の制定などによって明確化される見込みです。従前,これらの情報は単体ではほぼ個人情報に当たらないとされてきました。このため,明確に個人識別符号に含まれることとなれば,事業者の実務に非常に大きな影響を与えると思われます。
 なお,「個人情報データベース等」,「個人データ」の定義には,ほぼ変更はありません。

「要配慮個人情報」の定義・規定

 「要配慮個人情報」は,「人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報」と定義され(2条3項),これの取得または第三者への提供に原則として本人の同意が必要とされ(17条2項),オプトアウト方式による第三者提供はできないとされました(23条2項)。
 従来,センシティブ情報や機微情報とされていた情報に関し,新たに規定されたものです。

「匿名加工情報」の定義・規定

 「匿名加工情報」が定義されました(2条9項)。条文上詳細に定義されていますが,概ね,特定の個人を識別できないように個人情報を加工し,当該個人情報を復元することができないようにしたものをいいます。
 「匿名加工情報取扱事業者」(2条10項)は,匿名加工情報の作成,提供,安全管理のための措置,再識別の禁止などにつき一定の義務を負うこととれさました(36条~39条)。
 匿名加工情報は,個人情報に該当しないものとされ,本人の同意がなくとも第三者に提供することができます。いわゆるビッグデータの利活用の促進に途を開くものです。
 他方で,ある情報が匿名加工情報に該当するか否か(本当に個人情報に復元できないのかどうか,どのレベルで復元できにくくできていれば匿名加工情報に当たるかなど)の判断のためには,技術的な面も含めさまざまな検討を要することとなり,相当に難しい問題もはらんでいるといえます。

利用目的の変更についての規定の整備

 「個人情報取扱事業者は,利用目的を変更する場合には,変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない」(15条)とされ,「変更前の利用目的と相当の関連性」とされている現行法よりも,個人情報の利用目的を変更できる範囲が拡大されたと考えられます。
 もっとも,どのような場合が「変更前の利用目的と関連性を有すると合理的に認められる」かは,条文上相変わらず不明確といわざるを得ません。個別具体的な判断の基準や例については,今後公表される見込みであるガイドラインなどを詳細に検討する必要があります。

第三者提供に係る確認及び記録作成等の義務づけ

 個人情報取扱事業者が第三者から個人データの提供を受けた際は,当該第三者の情報や当該第三者が当該個人データを取得した経緯を確認し,提供の日付等とともに記録し,一定期間保存する義務を負うこととされました(26条)。
 また,個人情報取扱事業者が個人データを第三者に提供する際にも,原則として,記録,保存が必要とされました(25条)。
 いわゆる名簿屋などによる不適切な個人情報の流通への対策と位置づけられます。

小規模事業者除外規定の撤廃

 現行法では,扱う個人情報の量が少ない事業者(取り扱う個人データの数が過去6ヶ月以内に一度も5000件を超えたことがない事業者)は,「個人情報取扱事業者」からは除かれていました。改正法では,この除外が廃止されることとなりました(2条5項)。
 個人情報データベース等を事業の用に供している事業者は,個人情報取扱事業者に該当することになります。このため,改正後は,法律事務所もほぼ例外なく個人情報取扱事業者に該当することになると思われます。

個人情報データベース等不正提供・盗用罪の新設

 個人情報取扱事業者(その者が法人である場合にあっては,その役員,代表者または管理人)もしくはその従業者,またはこれらであった者が,その業務に関して取り扱った個人情報データベース等を自己もしくは第三者の不正な利益を図る目的で提供し,または盗用した場合には,1年以下の懲役または50万円以下の罰金に処せられるものとされました(83条,個人情報データベース等不正提供・盗用罪)。
 従前,個人情報の不正な漏洩に関しては不正競争防止法等の罰則によっており,同法上の営業秘密の要件などの要因で,適用される場面は限定的でした。改正後は,個人情報の不正な漏洩の場面で罰則が大幅に適用されやすくなると考えられます。


« »
あなたの削除顧問
好評連載『弁護士の使い方』
アクセス
名古屋市中区丸の内二丁目3番25号
Mizビル6階 (〒460-0002)

大きな案内図

Googleマップ
丸の内駅(名古屋市営地下鉄)
 1出入口より徒歩3分
 4出入口より徒歩5分