個人情報取り扱いのルール

Q.

　個人情報を取得するときの基本的なルールは、あらかじめ利用目的をできるかぎり特定する、利用目的の範囲内で個人情報を取り扱う、個人情報は適正な方法で取得する、取得する際には利用目的の通知・公表等を行う、という4点。また、個人情報取扱業者は、法律上個人データの安全管理措置を講じる義務があります。このたび個人情報保護法が改正され、今年(2017年)5月30日に施行されると聞きました。法改正により何が変わり、注意することは何ですか。

A.

　情報化の急速な進展により、個人の権利利益の侵害の危険性が高まったことなどから、個人情報保護法が2005年4月に全面施行されて10余年。その後も急速に情報通信技術が発展し、制定当時には想定されていなかった様々な問題が顕在化するようになりました。これらを踏まえ、パーソナルデータの利用・活用を促進することによる新産業・新サービスの創出と国民の安全・安心の向上の実現のために、個人情報保護法の改正が行われました。

◆個人情報の定義

①個人情報の定義の明確化　個人情報とは、生存する個人に関する情報であって、氏名、生年月日、その他の記述等により特定の個人を識別することができるものをいいます。
　改正法は、「個人識別符号」という概念を新設し、保護対象を明確にしました。個人識別符号とは、身体の一部の特徴を電子計算機のために変換した符号(DNA、顔、手指の静脈、指紋)や、サービス利用や書類において対象者ごとに割り振られる符号(旅券番号、基礎年金番号、住民票コード、マイナンバー)を指します。
②要配慮個人情報規定の新設　「要配慮個人情報」とは、人種、信条、社会的身分、病歴、前科・前歴など、本人に不当な差別や偏見が生じないように特に配慮が必要な情報をいいます。要配慮個人情報については、本人の同意がある場合や、法令に基づく場合など一定の場合を除いて、取得が禁止されます。
③匿名加工情報規定の新設　「匿名加工情報」とは、特定の個人を識別することができないように個人情報を加工し、復元できないようにした情報をいいます。本人の権利を侵害する危険性が除去されているため、個人情報の取り扱いよりも緩やかな規律のもとで、自由な流通や利用・活用を促進できる環境が整備されたのです。

◆個人情報取扱事業者

　インターネットの急速な普及により、取り扱う個人情報に係る個人の人数が少なくても個人の権利利益を侵害する危険性が高まっています。法改正前の5000人以上の個人情報を取り扱うという要件がなくなり、 1人の個人情報を取り扱う事業者でも法の適用対象となりました。小規模事業者であっても、個人情報保護法の規制を把握し、対応する必要があるのです。

◆個人情報の第三者提供

　個人情報取扱事業者が個人データを第三者に提供する場合、原則として、あらかじめ本人の同意を得る必要があります。
　例外的に本人の同意が不要な場合のうち、オプトアウトの方法で提供する場合は、個人情報保護委員会への届出が必要。オプトアウトとは、本人の求めに応じてその本人が識別される個人情報の第三者への提供を停止するという制度です。
　改正法はトレーサビリティ(流通源を追跡できる環境)の確保を義務づけています。
　第三者から個人データを受領する場合には、受領者は提供者の氏名やデータの取得経緯等を確認し、記録し、一定期間その内容を保存しなければなりません。第三者に個人データを提供する場合も、提供者は受領者の氏名等を記録し、一定期間保存をしなければなりません。
　改正法の施行に向けて、早期の対応が望まれます。