改正個人情報保護法をあらためておさらいしとくPart1

皆さん、こんにちは。
各地で猛威を振るった台風5号ですが、関東地方を過ぎ去っても全然涼しくならないですね…。
まだまだ暑い日は続きそうですが、体調だけは気を付けたいところです。

さて、今回のネタは、個人情報保護法についてです。
ちょっと長くなりそうなんで、2回に分けて書きたいと思います。

個人情報保護法が改正され、2017年5月30日に全面施行されました。
すでに2ヶ月が過ぎた訳なんですが、最近、ちょいちょいこのコトについて聞かれることがあるので、今回は、このネタにしようかと。「書籍も作り直さないとなぁ…」と思いつつ、とりあえずは、ブログ内で変更点だけでも改めて書いておこうかと思います。

個人情報保護法って何?

個人情報保護法とは、正式には、「個人情報の保護に関する法律」と言って、個人の権利と利益を保護する為に、個人情報を取得し取り扱っている事業者に対し、様々な義務と対応を定めた法律のことで、2003年(平成15年)5月に成立、公布され、2005年(平成17年)4月1日より全面施行されました。この法律が、2015年(平成27年)に改正され、2017年5月30日に全面施行されたって訳です。

個人情報保護法の条文については、こちら(法令データ提供システム)を見てください。

さて、この法律、基本的には、個人の権利を定める法律ではなく、企業が守らなければならない義務を定めていて、それに違反した場合には、行政機関が処分を行なうという性格を持っています。事業者は、この法律により、利用目的の特定および制限、適切な取得、取得の際に利用目的の通知または公表、安全管理、第三者提供の制限などの義務を果たさなければならず、違反すると行政処分が下され、更には、主務大臣の命令に反した場合には罰則が科せられることになります。また、事業者だけでは無く、民法上の不法行為や債務不履行、刑法上の犯罪、社内規則等により制裁を受けるなど、従業者自身にも不利益となる場合があり得ます。

要は、個人情報保護法は、事業者(企業とか団体とか)が守る義務を定めた法律であり、その法律を破った場合には、事業者に対して、勧告や命令などの他にも、罰則が科せられる場合があるということです。もちろん、法律を破った従業者自身に対しても、何らかの処罰が下される可能性もあるということですね。

改正個人情報保護法での変更点は?

じゃあ、今回の法律の改正で何が変わったのよ?って話なんですが、経済産業省の資料(改正個人情報保護法の概要と中小企業の実務への影響:PDFファイル)によると、改正のポイントは、こんな感じです。

  • 個人情報の定義の明確化
    • 個人情報の定義の明確化(身体的特徴等が該当)
    • 要配慮個人情報(いわゆる機微情報)に関する規定の整備
  • 適切な規律の下で個人情報等の有用性を確保
    • 利用目的の変更を可能とする規定の整備
    • 匿名加工情報に関する加工方法や取扱い等の規定の整備
    • 個人情報保護指針の作成や届出、公表等の規定の整備
  • 個人情報の保護を強化(名簿屋対策)
    • トレーサビリティの確保(第三者提供に係る確認及び記録の作成義務)
    • 不正な利益を図る目的による個人情報データベース提供罪の新設
  • 個人情報保護委員会の新設及びその権限
    • 個人情報保護委員会を新設し、現行の主務大臣の権限を一元化
  • 個人情報の取扱いのグローバル化
    • 国境を越えた適用と外国執行当局への情報提供に関する規定の整備
    • 外国にある第三者への個人データの提供に関する規定の整備
  • その他改正事項
    • 本人同意を得ない第三者提供(オプトアウト規定)の届出、公表等厳格化
    • 利用目的の変更を可能とする規定の整備
    • 取扱う個人情報が5,000人以下の小規模取扱事業者への対応

その他改正事項

「その他改正事項」ってかるーい感じで書かれていますが、まずもっての大きな点があるので、その他改正事項から説明を…。順番もちょっと前後させてもらいますね。

取扱う個人情報が5,000人以下の小規模取扱事業者への対応

今回の改正で大きな点は、ほとんどの企業や団体が対象になるよねってコトがあります。これまでの個人情報保護法では、保有している個人データが5,000件以上の個人情報取扱事業者が対象でしたが、いままで除外されていた中小企業もすべて法律の対象となります。条文には、以下のように書かれています。

この法律において「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。

また、個人情報データベースは、条文の中で、以下のように定義されています。

この法律において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるものをいう。
一  特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
二  前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの

まぁ、ほとんどの会社や団体では、個人情報をデータベース化(エクセルなどの表計算ソフトでまとめることも含む)しているはずですので、こういったものを使っている時点で、対象になっちゃうってことですね。ですので、これまで「うちは扱っている個人情報の件数が少ないから大丈夫だよ」と言っていたことが通用しなくなったよという話です。
また、「事業の用に供している者」が対象となるので、個人事業主だろうが、非営利組織(NPO法人や自治会など)だろうが、「個人情報取扱事業者」になってしまうので、注意しないといけないのです。

利用目的の変更を可能とする規定の整備

利用目的の変更に関して緩和されました。条文内の「利用目的の特定」には、以下のように書かれています。

(利用目的の特定)
第十五条  個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。
2  個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない

以前は、「関連性」の前に「相当の」という文言が入っていましたが、この文言が削られ、利用目的を変更する場合の制限が緩やかになったと言えます。とはいえ、利用目的の変更が無制限に広がった訳ではなくて、「利用目的の変更」の可否については、当初の利用目的から変更される範囲が、一般的な判断として、本人が通常予期し得る程度かどうかが判断基準となります。(まぁ、この一般的な判断というのが難しいんですけどね…)

で、なんで、この緩和が行われたかというと、当初の利用目的の範囲を超えるためには、本人への事前同意が必要になっちゃう。ところが、本人から利用目的の追加のために事前の同意を得るのは、事実上困難な場合が多いので、「利用目的の変更」というカタチが、実質機能しちゃっているということで、事実上の「利用目的の追加」として機能している「利用目的の変更」をより容易にすることが考えられ、「相当の関連性」における「相当」という文言を削除することで、個人情報取扱事業者が、当初の利用目的と関連性を有すると合理的に認められる範囲において機動的に目的変更をすることを解釈し、運用上可能とした…というワケです。

本人同意を得ない第三者提供(オプトアウト規定)の届出、公表等厳格化

まずは、オプトアウトについて説明しましょうかね…。「単語は聞いたことはあるんだけど意味は知らない」という方も多いので。

オプトアウトは、英語で書くと「opt out」です。「opt」は、”選ぶ”や”選択する”、”(選んで)決める”、「out」は、”(外に)出て”という意味があります。このため、「opt out」は、”不参加”や”脱退する”という意味になります。まぁ、意味としてはこんな感じです。で、この仕組みを、むかーしあった広告メールで説明すると、下図のような感じになります。

こんな感じで、メールの送信は原則自由で、受け取りたくない受信者が個別にメールの受信を拒否するというものです。

これに対して、「オプトイン」という言葉もありますが、こちらは、受信者となる人が事前に送信者に対してメール送信に対する同意する、もしくは依頼するというカタチです。つまり、受信者が参加の意思表示を「オプトイン」の手続きによって初めて、送信者はメールを送ることができるというわけです。

「オプトアウト」と「オプトイン」で重要なのは、主導権がどちらにあるかということで、オプトアウトは送信者に主導権があり、オプトインは受信者に主導権があるということになります。
オプトアウトは、受信者が出来ることは受信拒否手続きなどに限定されていましたが、オプトインでは受信者がメールを受信するにあたり、事前にその内容をチェックすることができることになります。要は、受信者が「メールをくれよ」と言わなければメールが送られてくることはありませんし、身に覚えのないメールに対して苦情が言いやすくなっているということなんです。
ちなみに…、日本では、2008年(平成20年)12月に施行されたた迷惑メール対策関連の法律改正により、広告・宣伝メールなどの送信が、オプトアウト方式からオプトイン方式に変更されています。

長々と説明しちゃいましたが…。

で、個人情報に関しては、これまでは実務上、オプトアウト方式が幅広く使われていたのですが、一部、乱用されているという指摘もありました。
たとえば、名簿業者は、オプトアウトに際し、本人に通知する内容を事務所に掲示し、顧客情報等の名簿を業者間で流通させていたワケですが、「どこに名簿業者の事務所があるのか」とか、「どの名簿業者が自分のデータを持っているのか」を把握することが出来ないですよね。なので、自分のデータを第三者に提供するのを止めさせる機会を持つことすらできません。このため、今回の改正で、以下のように規制を厳格化したので、これまでオプトアウト方式を取っていた企業(特に名簿業者)は、見直しが必要だということですね。

  • あらかじめ本人に通知または本人が容易に知りえる状態に置く場合の措置の強化
    (必要な期間を置く、確実に認識できる適切かつ合理的な方法によること)
  • 要配慮個人情報は、オプトアウト不可(必ず本人の事前同意が必要)
  • あらかじめ本人に通知・または容易に知りえる状態に置く事項(通知等事項)に「本人の求めを受け付ける方法」を追加
  • 第三者提供を行う場合には「個人情報保護委員会」への届出が必要(届け出については、こちら
    個人情報保護委員会は、オプトアウトの届出があったときは当該届出に係る事項を公表しなければならない

ちなみに、個人情報取扱事業者による本人への通知方法や本人が容易に知りうる状態が不適切な場合には、

  1. 個人情報保護委員会が、その個人情報取扱事業者に対して、違反行為の中止やその他違反を是正するために必要な措置をとるべき旨を勧告する
  2. 勧告を受けた個人情報取扱事業者が正当な理由なく勧告された措置をとらなかった場合において、個人の重大な権利利益の侵害が切迫していると認められるときは、勧告した措置をとるよう命令する

といったことが出来るようになりました。
また、個人情報保護委員会は、個人情報取扱事業者に対して、個人情報の取扱いについて報告を求め、又は立入検査を行うことも出来るようになりましたし、措置命令を受けた事業者が命令に従わない場合は、6か月以下の懲役または30万円以下の罰金に処せられることもあるのです。

個人情報の定義の明確化

これまでの個人情報保護法では、個人情報の定義が、ちょっと曖昧な部分があり、よく「個人情報って何が該当します?」という質問もありました。で、改めて個人情報とは何ぞやということが明確になっています。

個人情報の定義の明確化(身体的特徴等が該当)

「個人情報の定義の明確化」なんですけど、今回の改正で、個人情報保護法が対象とする個人情報の定義として、次の3つの個人情報が定められました。

  • 個人情報
    住所・氏名・生年月日・性別などの、特定の個人を識別できるもの
  • 個人識別符号
    特定の個人の身体の一部の特徴を電子計算機のために変換した符号(e.g. 顔認識データ、指紋認識データ、etc…)
    対象者ごとに異なるものとなるように役務の利用、商品の購入又は書類に付される符号(e.g. 旅券番号、免許証番号、etc…)
  • 要配慮個人情報
    人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報

これまでも、「個人情報」の部分に記載されている内容は、書かれていましたが、今回の改正で「個人識別符号」も含むんですよってコトが追加され、また、「本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するもの」(いわゆるセンシティブ(機微)情報ですね)として「要配慮個人情報」が追加されました。

要配慮個人情報(いわゆる機微情報)に関する規定の整備

よく「機微情報って何ですか?」と聞かれることがあるんですけど、「本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するもの」のことなんですよね…。デジタル大辞泉によると、

《sensitive information》個人の思想・信条や国家機密など、きわめて慎重に取り扱うべき情報をいう。機微情報。

と書かれています。配慮を要する情報が、機微情報だと思えば良いのですが、何が配慮を要するのかは、それぞれの人で違うよね?とか言われることもあるんですが、このあたりは、ちょっと曖昧ではあるんですけどね…。

この「要配慮個人情報」については、あらかじめ本人の同意を得ずに取得することは認められていませんし、利用にも制限があるので、注意しなきゃいけないですね。

で、せっかくなので、個人データ、保有個人データについても書いておきます。

個人データは、条文で、以下のように書かれています。

この法律において「個人データ」とは、個人情報データベース等を構成する個人情報をいう。

要は、データベースなんかにある個人情報(あるいはその集まり)を、個人データと言うんですよってコトですね。まぁ、これは、なんとなく分かりますよね。

では、保有個人データは…というと、以下のように書かれています。

この法律において「保有個人データ」とは、個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの又は一年以内の政令で定める期間以内に消去することとなるもの以外のものをいう。

何やら面倒くさい文章なんですけど、
要は、自分たちがもろもろ操作(開示、訂正、追加、削除などなど)が出来ちゃう個人データで、1年を超えて保有しちゃうものが保有個人データですよってコトです。

とりあえずは、こんな感じで、それぞれの概念を定めて、取扱いを定めているんです。(取扱いについては、次回ですね…)

…ということで、とりあえず今回は、ここまで。
用語くらいしか説明できていなくて、全然、進んでいないような気もするけど…。

次回は、残りの改正ポイントについて書きたいと思います。

関連記事

  1. 品質とコストのはなし

  2. 人工知能イメージ

    人間の脳ってすごい

  3. COVID-19

    濃厚接触者になっちゃったという話

  4. テストとゴミ拾いのはなし

  5. ベトナムでのソフトウェア開発

  6. 改正個人情報保護法をあらためておさらいしとくPart2

コメント

  1. この記事へのコメントはありません。

  1. この記事へのトラックバックはありません。