改正個人情報保護法をあらためておさらいしとくPart2

皆さん、こんにちは。

Part2の投稿となるので、あんまり間を空けてもいかがなものかと思い、早めの投稿です。
Part1では、改正個人情報保護法での改正ポイントを書かせていただき、そのうち、「個人情報の定義の明確化」について書かせてもらいました。
今回は、その続きということで、書きたいと思います。

適切な規律の下で個人情報等の有用性を確保

世の中の流れの中で、もうちょっと運用しやすいカタチにしましょうかね…という内容です。

匿名加工情報

条文の中で、匿名加工情報については、以下のように定義されています。

この法律において「匿名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう。
一  第一項第一号に該当する個人情報 当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
二  第一項第二号に該当する個人情報 当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。

簡単にまとめてしまうと、匿名加工情報は、特定の個人を識別することが出来ず、かつ、戻すことが出来ない状態に加工された情報のことを指すということです。
個人情報を加工するためには、個人情報保護委員会規則で定める基準を満たすことが求められているんですが、この基準がちょっと抽象的な部分があるため、経済産業省では、2016年に匿名加工情報作成マニュアルを公表しました。また、個人情報保護委員会からも匿名加工情報に関する事務局レポートが出されています。ビックデータ解析なんかやる企業さんでは、参考にしないといけないでしょうね。

匿名加工情報の取扱いに関しては、安全管理措置や作成した情報の項目の公表などの義務はあるんですが、本人の同意は不要となっており、取扱いのルールを遵守していれば利用目的も関係なく、データを活用できるようになります。とはいえ、これまで特定の個人を識別できないように加工した情報(個人情報ではない)として取り扱っていた情報のうち、「匿名加工情報」と位置づけられることによって、規制が強化されている部分があるので、注意しないといけないでしょうね。

まぁ、規制が強化されたと言っても、匿名加工情報に対して、「削除した記述等や加工方法の漏えいを防止しないといけない」とか、「他の情報との照合しちゃダメよ」とか、「委託先なんかも同じようにしなさいよ」とか、要は、せっかく匿名にしたものを、後から個人情報に紐づけ出来ちゃうようなことはやったらダメですよって話ですので、そんなに難しい話ではないでしょう。とはいえ、委託先や提供先などで問題が発生することが多いこともありますので、その点は、十分に注意しておくべきでしょうね。

個人情報の保護を強化(名簿屋対策)

もうね、名簿屋に対しては、厳しくしていきましょって話です。

トレーサビリティの確保(第三者提供に係る確認及び記録の作成義務)

まずは、トレーサビリティについてなんですが、この単語も、よく聞かれることがあります。なので、まずは、その意味から…。

〔追跡可能性の意〕

  1. 食品の安全を確保するために,栽培や飼育から加工・製造・流通などの過程を明確にすること。また,その仕組み
  2. ある測定結果が必要な精度を満たすために,その測定機器の校正手段が,国際標準や国家標準などに対する連続した比較校正の流れの中に位置づけられていること
  3. 出典:三省堂『大辞林 第三版』

要は、製品や商品の生産や流通履歴を追跡する仕組みのことです。

今回の改正で、個人情報取扱事業者が、第三者に個人データを提供したときの記録の作成・保存の義務、第三者から個人データの提供を受けるに際しての確認および記録の作成・保存の義務が定められました。要は、提供する側も、提供を受ける側も「いつどこに提供したか」「いつどこから提供を受けたか」を記録しなければいけないということですね。ただし、適用除外事由に該当する場合(下記参照)や提供先が第三者に該当しない場合には、これらの義務は負いません。

(第三者提供の制限)
第二十三条  個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
一  法令に基づく場合
二  人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
三  公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
四  国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。

どんなことを記録しておけば良いかというと、提供方法や、その日付、個人データの内容、本人の同意有無などは、必須だと思っておけば良さそうです。ですので、提供データ(受ける側も)そのものを保管、管理出来るようにすることが、実務上は良さそうです。

不正な利益を図る目的による個人情報データベース提供罪の新設

これまで、個人情報を不正に提供した者に対する直接の刑事罰(間接罰はある)はありませんでした。しかも、実際に漏えい行為をした従業員等を処罰することは出来ませんでした。

これまで、個人情報を不正に取得、売却したときに、窃盗罪や不正競争防止法違反など、苦しい罪状での罪にしか問えない状況とも言えます。
窃盗罪では、原則として財物が対象となり、情報は財物に含まれないという…。で、会社から個人情報を盗用した者に対しては、個人情報そのものではなくて、情報が具体的なカタチとなった文章、メモリ、ディスクなどなどといった媒体物を盗んだ場合に、窃盗罪としていたようです。また、企業の営業機密に属する電子データの持ち出しとして、営業秘密などを不正に取得、使用し、または開示する事で、不正競争防止法違反ということに…。

で、今回の改正において、以下のような直接罰を設けています。

第八十三条  個人情報取扱事業者(その者が法人(法人でない団体で代表者又は管理人の定めのあるものを含む。第八十七条第一項において同じ。)である場合にあっては、その役員、代表者又は管理人)若しくはその従業者又はこれらであった者が、その業務に関して取り扱った個人情報データベース等(その全部又は一部を複製し、又は加工したものを含む。)を自己若しくは第三者の不正な利益を図る目的で提供し、又は盗用したときは、一年以下の懲役又は五十万円以下の罰金に処する。

この条文における「従業者」には、事業者の組織内で、直接・間接に、事業者の指揮監督を受けて事業者の業務に従事している者であって、具体的には、従業員以外にも、取締役、監査役、理事、監事、派遣社員等を含んでいます。

個人情報保護委員会の新設及びその権限

これまた、今後、よく聞かれそうなネタですよね。個人情報保護委員会って何?って。
ということで、個人情報保護委員会についても、解説しておこうかと思います。

個人情報保護委員会を新設し、現行の主務大臣の権限を一元化

個人情報保護委員会は、内閣府設置法に基づき内閣府の外局として位置付けられており、個人情報(マイナンバー(個人番号)を含む。)の有用性に配慮しつつ、その適正な取扱いを確保するために設置された独立性の高い機関(『第三者委員会』に該当する)です。主務大臣は、内閣総理大臣となります。

この委員会の委員長や委員は、職権行使の独立性が認められています。

個人情報保護委員会については、こちらをご覧ください。

で、具体的には、次のような業務を行っているようです。

  • 特定個人情報の監視・監督に関すること
  • 苦情あっせん等に関すること
  • 特定個人情報保護評価に関すること
  • 個人情報の保護に関する基本方針の策定・推進
  • 国際協力
  • 広報・啓発
  • その他(委員会の所掌事務の処理状況を示すための国会報告や必要な調査・研究等)

まぁ、個人情報保護に関することなら、ここに聞けと覚えておけばよろしいかと…。

個人情報の取扱いのグローバル化

国境を越えた適用と外国執行当局への情報提供に関する規定の整備

日本国外から、インターネット等を通じて日本国内の消費者に向けて、商品やサービス(役務)を提供する事業者(海外事業者)が増えてきていますが、これまでの個人情報保護法では、日本国内のみ効力があると考えられていて、国外から国境を越えて商品・サービスを提供する事業者に対しては、効力がありません(と考えられている)。このような状況下では、日本国内の消費者(個人)の個人情報が、濫用的に扱われてしまう恐れがあるため、日本国外からの商品やサービスを提供する事業者に対しても、個人情報保護法上の個人情報取扱事業者としての規律を適用しようというのが改正の目的です。

外国にある第三者への個人データの提供に関する規定の整備

外国へのデータ移転に対しては、たとえ従業員に関するものでも原則として事前に本人の同意が必要となります。
ただし、例外として、今後公表される委員会規則で定める「日本と同等の水準にある外国への提供」や「基準に適合する体制を整備している者(移転先企業)への提供」に関しては、事前同意が不要としています。この規制は、委託や共同利用の場合にも適用されるので、注意しなければいけません。

実務的には、本人から同意をとるか、移転先企業の体制整備を確認することになるでしょうね。
体制整備に関しては、移転先企業との契約書等で、日本の個人情報保護法の義務の実施が確保されているか、または、国際的な枠組みに基づく認定を受けていることを以て条件が満たされているということになります。国際的な枠組みに基づく認定については、具体的には、APEC/CBPR認証などが該当します。また、委託については、委託元がCBPR認証を受けることで、海外へのデータ移転の際の本人同意が不要となる旨が、ガイドラインで謳われているので、実務で委託による移転がある場合は、対応策として検討しても良いかもしれません。
なお、「外国にある」とは、外国法人(法人格を取得している)のことであり、個人データを管理するサーバの所在地ではありません。
また、その外国法人が、日本国内で個人データを事業の用に供しており、日本の個人情報取扱事業者に該当する場合は、「外国にある第三者」には該当しません(通常の個人情報取り扱い事業者です)し、さらに、クラウドサーバ(サービス)に関しては、日本国内における委託と同様の考え方が出来るので、純粋に外国にある第三者への提供という場面は、非常に限定的なレアケースとなる可能性が高そうです。

※APEC/CBRP認証とは…「越境プライバシールールシステム(CBPRシステム)」は、企業等が、自社の越境個人情報保護に関するルール、体制等に関して自己審査を行い、その内容についてあらかじめ認定された中立的な認証団体(アカウンタビリティ・エージェント: 民間団体又は政府機関)から審査を受け、認証を得るものです。

改正に伴った影響って何?

と、もろもろ説明を書かせて頂きましたが、どんな組織でも影響があります。
少なくとも、プライバシーポリシーの見直しや、体制整備などは検討する必要はありそうです。

ただ、これまでの個人情報保護法でもそうなのですが、当たり前のことをちゃんとやることが出来れば、面倒なことはありません。

関連記事

  1. 視点のはなし

  2. テストとゴミ拾いのはなし

  3. 健康診断は受けましょうね

  4. ベトナムでのソフトウェア開発

  5. 改正個人情報保護法をあらためておさらいしとくPart1

コメント

  1. この記事へのコメントはありません。

  1. この記事へのトラックバックはありません。