2015年9月3日、個人情報保護法の改正法が成立し、同月9日に公布されました(平成27年法律第65号)。公布の日から2年以内に施行されます。
改正された点は多々ありますが、企業・事業者が特に注意すべき5つのポイントについて解説します。
◆すべての事業者が規制対象に!小規模事業者の適用除外の見直し
従来は、取り扱う個人情報の量が少ない事業者(過去6か月間の取扱いが5000人以下であるもの)については、個人情報保護法による規制の対象外とされていました。
しかし、情報通信技術の発展により情報が拡散しやすくなっていることを勘案し、この適用除外規定は見直されました。
改正後は、すべての事業者に個人情報保護法が適用されることとなります。
もっとも、大規模事業者と同様の措置が小規模事業者に求められるわけではありません。
改正法附則には、小規模事業者に配慮すべきことが定められており(改正法附則11条)、今後これを踏まえたガイドラインが示されるでしょう。
スタートアップ企業などの小規模事業者において、過度に萎縮する必要はありません。
◆個人情報の中でも特に取扱注意!「要配慮個人情報」の新設
改正前の個人情報保護法は、個人情報である限り、その内容や性質にかかわらず、一律の取扱いを定めていました。
しかし、人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実等が含まれる個人情報は、本人に対する不当な差別や偏見が生じ得ることから、特に慎重な取扱いが求められます。
改正法は、このような情報を「要配慮個人情報」として類型化し(改正法2条3項)、通常の個人情報よりもさらに厳しい規律を定めました。
具体的には、要配慮個人情報の取得については、原則として本人による事前の同意が必要になります(改正法17条2項)。
また、第三者提供について、本人による事前の同意が必要であることは通常の個人情報と変わりませんが、要配慮個人情報の場合は、本人の同意を得ない個人データの第三者提供の特例(オプトアウト)が認められないことに注意が必要です(改正法23条2項)。
現在、個人情報の取得・第三者提供に際して、「要配慮個人情報」に該当する情報とそれ以外の個人情報とを分けて管理していない場合には、社内体制の整備が必要になるでしょう。
◆「個人情報」にあたらない情報にも注意!「匿名加工情報」の新設
改正前の個人情報保護法の下でも、個人情報を加工して特定の個人を識別できないようにすれば、個人情報保護法の対象ではなくなることから、これを比較的自由にビジネスに活用することができました。
これに関するルールを明確化するため、改正法は、①特定の個人を識別することができないよう加工され、かつ、②当該個人情報を復元することができないようにされた情報を「匿名加工情報」として類型化し(改正法2条9項)、そのビジネスへの活用を促す一方で、匿名加工情報の作成者、提供者・受領者に対し、一定の義務を課しました(改正法36~39条)。
実務上問題となるであろう「加工」の具体的な内容や程度については、個人情報保護委員会規則で定める基準に委ねられ、さらに具体的な内容は、認定個人情報保護団体等を通じた自主的なルールに委ねられています。「重要なところは丸投げか…」という気がしないでもありませんが、事業の実態を踏まえた規律にするためにはやむを得ないのでしょうね。
◆情報の移転は慎重に!第三者提供に関する規律の厳格化
ベネッセの個人情報漏洩事件(2014年)などを踏まえ、個人データの第三者提供に関する規律が厳しくなりました。
⑴ オプトアウト手続の厳格化
改正前は、本人の求めに応じて提供を停止することとして、あらかじめ、一定の事項を本人に通知し(例:電話、メール)、または本人が知りうる状態に置くことで(例:ホームページへの掲載)、本人による事前の同意がなくても個人データの第三者提供を行うことができました。
改正後は、このようなオプトアウト手続を用いる事業者は、個人情報保護委員会に対して、一定の事項を届け出なければなりません(改正法23条2項)。
⑵ トレーサビリティの確保の要請
個人情報の漏洩等が発生した際に個人情報の取得経路を迅速に把握できるように、トレーサビリティの確保するための規律が整備されました。
第三者提供にあたって、提供者は、年月日や提供先に関する記録を作成し、これを保存しなければなりません(改正法25条)。
他方、受領者は、年月日や提供者に関する記録を作成・保存するとともに、提供者による取得の経緯を確認しなければなりません(改正法26条)。
◆海外展開をする企業は要注意!国境を越えたデータ移転に関する規制の整備
国外へのデータ移転については、移転先の国や企業が十分な個人情報保護体制を整えているかどうかによって、規制の内容が異なります。
具体的には、①日本と同水準の個人情報保護制度を有する国にある第三者、または②日本法に基づくものと同等の個人情報保護体制を整備している第三者に情報を移転する場合には、国内における第三者提供と同様のルールの下での第三者提供(本人による事前同意、オプトアウト、委託、合併または共同利用)が認められます。
これに対し、①②にあたらない場合には、国外の第三者への個人情報の提供には、(単なる第三者提供への同意ではなく)外国にある第三者への提供を認める旨の本人の同意が必要になります。この場合、オプトアウトは認められませんし、委託、合併や共同利用を行うときでも外国にある第三者への提供を認める旨の本人の同意が必要となる点に注意してください。
◆まとめ
今般の改正は、個人情報保護法の制定から10年ぶりの改正であり、10年間の情報通信技術の発展や個人情報漏洩事件の教訓を踏まえた大規模な改正となっています。
①小規模事業者の適用除外の見直し、②「要配慮個人情報」の新設、③「匿名加工情報」の新設、④第三者提供に関する規律の厳格化、⑤国外へのデータ移転に関する規制の整備については、ぜひ注意してください。
本ブログ及びこれに関連する法律相談等については、下記URLからお問い合わせください。
http://kondo-law.com/contact/